Zertifizierung inbegriffen


Mit einem intelligenten Geschäftsmodell der Thüga SmartService GmbH können Stadtwerke die Gateway-Administration operativ in der Hand behalten und müssen keine eigene Zertifizierung durchführen.


Foto: Roland Horn Fotografie / Thüga SmartService GmbH
Als grundzuständige Messstellenbetreiber übernehmen Stadtwerke in der Regel auch die Rolle des Smart Meter Gateway- Administrators (SMGWA). In dieser Eigenschaft sind sie verpflichtet, mit Beginn des Smart Meter-Wirkbetriebs ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) für den SMGWA und die dort hinterlegte Infrastruktur vorzuweisen. So will es das neue Messstellenbetriebsgesetz (MsbG). Ein schwieriger Spagat, weiß Peter Hornfischer, Geschäftsführer der Thüga SmartService aus Erfahrung: "Einerseits will die überwiegende Mehrzahl der Unternehmen die Grundzuständigkeit für die intelligenten Messsysteme verständlicherweise nicht aus der Hand geben, andererseits verfügen gerade kleinere und mittlere Unternehmen oft nicht über ausreichende Ressourcen, um ein rechtskonformes ISMS aufzubauen und zertifizieren zu lassen.

Daher bietet der Markt unterschiedliche Modelle an, um die Stadtwerke hier zu entlasten. Im Grundsatz geht es darum, die Gateway-Administration in unterschiedlichem Umfang auszulagern. Dabei können Dienstleister im Auftrag des grundzuständigen Messstellenbetreibers die Gateway-Administration komplett übernehmen oder die erforderlichen IT-Ressourcen bereitstellen."
SERVICE FÜR INTELLIGENTE MESSSYSTEME AUS EINER HAND

Als Dienstleister verfügt die Thüga SmartService über eine eigene hochskalierbare Administrations-Plattform, welche die Prozesse der SMGWA abdecken. Die Software, die als SaaS-Dienstleistung angeboten wird, ist auf kurze Einführungszeiten ausgelegt und senkt die Investitionen des Stadtwerks in eigene IT.

Mit jeder neuen Kooperation kommen weitere wichtige Zählpunkte hinzu, wodurch sich die Fixkosten für das einzelne Stadtwerk weiter verringern. Neben der N-ERGIE AG aus Nürnberg, der Mainova AG aus Frankfurt/M., den Stadtwerken Hannover und der Rheinhessischen Energie- und Wasserversorgungs-GmbH aus Ingelheim haben sich schon zahlreiche Energieversorger für das Angebot entschieden.

Wichtige Feinheiten

Doch die Dienstleistungen und Zertifizierungsmerkmale unterscheiden sich erheblich, wie Peter Hornfischer klarstellt: "Nachdem Gesetz ist die Frage entscheidend, wer die Gateway-Administration operativ durchführt." Sofern der Messstellenbetreiber (MSB) diese Aufgabe einem entsprechend zertifizierten Dienstleister komplett überträgt, benötigt er in der Regel kein eigenes ISMS. Bei diesen sogenannten BPaaS (Business Process as a Service-) Modellen liegt der Prozess damit aber auch nicht mehr beim MSB. "Viele Stadtwerke wollen hier selbst das Heft in der Hand behalten. Sie haben die Möglichkeit, auf sogenannte SaaS-(Software-as-a-Service-) Lösungen zurückzugreifen, die beim Dienstleister gehostet und beim MSB bedient werden", führt Peter Hornfischer aus. Die Zertifizierung für das Hosting obliegt in diesem Fall dem Anbieter. Für die operative Umsetzung der Gateway-Administration allerdings benötigt der MSB nach wie vor ein eigenes ISMS inklusive Zertifizierung. Damit - so der SmartService-Geschäftsführer - sei das oben erwähnte Grundproblem nach wie vor nicht gelöst.

Innovatives Geschäftsmodell

Als Dienstleister für den Betrieb der SMGWA beschäftigt sich die Thüga SmartService seit langem mit dem Thema Zertifizierung. "Unser erklärtes Ziel war es, hier eine Lösung für die Kunden zu finden, welche alle gesetzlichen Anforderungen nach MsbG und BSI TR-03109-6 erfüllt und ihm gleichzeitig größtmögliche Autonomie bei der Ausgestaltung der Prozesse gibt.

In enger Abstimmung mit dem BSI hat das Unternehmen im fränkischen Naila inzwischen ein Zertifizierungsmodell entwickelt, welches nach eigenem Bekunden bislang einmalig am Markt ist: Es bietet dem MSB die Möglichkeit, die Gateway-Administration im eigenen Haus zu behalten, aber die Pflicht der Zertifizierung des ISMS sowie die Einhaltung der Mindestmaßnahmen aus der TR- 03109-6 an die Thüga SmartService zu übertragen. Das wirklich Besondere daran ist, dass das Modell mit dem Saas-Angebot der Thüga SmartService zur Gateway-Administration funktioniert: Diese konfiguriert und betreibt als zertifizierter Gateway Administrator die Infrastruktur für die eigens entwickelte Gateway Administrations-Software. Die Software selbst wurde auf Art und Umfang der Zertifizierung konkret abgestimmt und kann beim Messstellenbetreiber als SaaS-Lösung im eigenen Unternehmen eingesetzt werden. "Zusätzlich wird über entsprechende vertragliche Regelungen und Konfigurationen in der Software die Einhaltung von Sicherheitsmaßnahmen gewährleistet, die wir für das jeweilige Unternehmen konzipieren", ergänzt Hornfischer.

BSI-Fachbereichsleiter Thomas Gast (rechts) überreicht das Zertifikat an Peter Hornfischer, Geschäftsführer der Thüga SmartService. Foto: Thüga SmartService GmbH

Zertifizierte Sicherheit

Die Zertifizierung des Informationsverbundes der SMGWA-Leitstelle ließ SmartService direkt beim BSI durchführen - im Gegensatz zur vielfach üblichen ISO 27001-Native-Zertifizierung, die eine andere Zertifizierungsstelle übernimmt. Dabei wählte man die anspruchsvolle Variante der ISO 27001-Zertifizierung auf Basis IT-Grundschutz - auch das eine Premiere am Energiemarkt. "Wir wollten im Sinne unserer Kunden hier keinerlei Zweifel aufkommen lassen", betont der Geschäftsführer. Die Erstzertifizierung erfolgte am 6. März 2017 - damit sind die Anforderungen aus der Technischen Richtlinie TR-03109-6 des BSI nachweislich umgesetzt. Das ISO 27001-Zertifikat auf Basis von IT-Grundschutz in Verbindung mit der Technischen Richtlinie bestätigt, dass der technische Betrieb der SMGWA-Leitstelle von SmartService methodisch durch die Anwendung des IT-Grundschutzes abgesichert ist.

"Dank unseres Zertifizierungsmodells können die Kunden sich die zeit- und kostenintensiven Erst- und Folgezertifizierungen eines eigenen ISMS ersparen", freut sich Peter Hornfischer über die Vorreiterrolle des Unternehmens. Das Zertifikat ist bis März 2020 gültig und damit über die Laufzeit des sogenannten Interimsmodells (bis 1.1.2020) sichergestellt und wird danach verlängert.

IMPRESSUM
Für den Inhalt verantwortlich:
Thüga SmartService GmbH
95119 Naila
www.smartservice.de