ISMS im Messwesen

Nicht nur Netz- sondern auch Messstellenbetreiber (MSB) unterliegen künftig der Zertifizierungspflicht. Ein Vergleich der Betriebs- und Geschäftsmodelle zeigt, dass Stadtwerke dabei erhebliche Handlungsoptionen haben.

Während die Anforderungen zur Umsetzung eines Informationssicherheits- Managementsystems (ISMS) bei Netzbetreibern intensiv diskutiert werden, finden die entsprechenden Regelungen für den Messstellenbetrieb in der Öffentlichkeit vergleichsweise wenig Beachtung. Doch in der Tat fordert auch der Gesetzesentwurf zur Digitalisierung der Energiewende – genauer gesagt: der § 25 des neuen Messtellenbetriebsgesetzes – ein zertifiziertes ISMS für den Smart Meter-Gateway Administrator (SMGW-A) und die dort hinterlegte Public Key-Infrastruktur. Konkret geht es dabei um personenbezogene Informationen in Form von Stamm- und Verbrauchsdaten sowie Schalthandlungen. Das ISMS, das die Prozesse und Einrichtungen zu deren Schutz umfasst, müsste nach dem Willen des Gesetzgebers bis zum Beginn des Smart Meter-Wirkbetriebs aufgebaut und zertifiziert werden, sprich: bis Anfang 2017. Die Zertifizierung kann als sogenannter BSI IT-Grundschutz oder nach ISO 27001 erfolgen. Ein ISMS wird alle drei Jahre vollständig auditiert. Dazwischen finden jährliche Wiederholungsaudits statt.

Eigener Betrieb der Infrastruktur Stadtwerke, die den Messstellenbetrieb – insbesondere SMGW-A und PKI – komplett im eigenen Haus betreiben, müssen bis zum Rollout ein ISMS aufbauen und zertifizieren lassen.
Eigener Betrieb der Infrastruktur
Stadtwerke, die den Messstellenbetrieb – insbesondere SMGW-A und PKI – komplett im eigenen Haus betreiben, müssen bis zum Rollout ein ISMS aufbauen und zertifizieren lassen.

Schon bei einer ersten groben Betrachtung der für die Zertifizierung geforderten Sicherheitsmaßnahmen – darunter zum Beispiel auch der Aufbau einer doppelten Stromversorgung und eines Notfallrechenzentrums – wird klar, dass diese Anforderungen speziell für kleine und mittlere MSB praktisch nicht zu bewältigen sind. „Ein Stadtwerk, das die erforderliche Infrastruktur für die SMGW-A komplett selbst betreibt, muss mit einem initialen Zeitaufwand von ungefähr 240 Personentagen (PT) rechnen. Das entspricht einem Vorlauf von rund 13 Monaten“, sagt Uwe Sendlhofer, Leiter Stabsstelle Beauftragtenwesen für Informationssicherheit beim Saarbrücker Messdienstleister co.met. Hinzu kämen erfahrungsgemäß etwa 120 externe Beratertage sowie mindestens 20.000 Euro für Zertifizierungs- und Wiederholungsaudits. „Im laufenden Betrieb kann man nochmals 55 PT jährlich als Richtwert ansetzen“, sagt Sendlhofer. Glücklicherweise sehen die geplanten Regelungen zum intelligenten Messwesen jedoch Alternativen vor, mit denen der MSB seine Grundzuständigkeit und seine Rolle als SMGW-A behalten kann, ohne die vorgeschriebenen Sicherheitsanforderungen vollumfänglich umsetzen zu müssen.

SaaS: Externer Softwarebetrieb Durch die Entscheidung, die IT-Infrastruktur nicht im eigenen Unternehmen vorzuhalten, sinkt der Aufwand für das Stadtwerk erheblich. Betroffen sind dann nur die Bereiche, die für den Einsatz der Software relevant sind.
SaaS: Externer Softwarebetrieb
Durch die Entscheidung, die IT-Infrastruktur nicht im eigenen Unternehmen vorzuhalten, sinkt der Aufwand für das Stadtwerk erheblich. Betroffen sind dann nur die Bereiche, die für den Einsatz der Software relevant sind.

„Für Software, die ein Unternehmen im eigen Haus betreibt, sind naturgemäß besondere Sicherheitvorkehrungen erforderlich“, erläutert Uwe Sendlhofer. Dieser Tatsache trügen die gesetzlichen Vorgaben Rechnung. Im Umkehrschluss kann es daher eine interessante Option sein, die für das intelligente Messwesen erforderliche Software in Form einer sogenannten SaaS (Software as a Service) zu nutzen. Diese wird vom Anbieter in einem externen Rechenzentrum gehostet und dem Stadtwerk via Webservice zur Verfügung gestellt. Anstelle von Lizenzgebühren bezahlt man eine nutzungsabhängige Miete. „Ist der Anbieter der Lösung zertifiziert, entfallen zahlreiche Maßnahmen, die den Rechenzentrumsbetrieb betreffen. In diesem Fall muss das Stadtwerk eine Zertifizierung in deutlich geringerem Umfang erreichen“, führt der IT-Experte aus. Daraus resultiere bereits ein deutlich geringerer Aufwand für die Umsetzung und Zertifizierung des ISMS. Stadtwerke, die noch einen Schritt weiter gehen und den gesamten Prozess an einen zertifizierten Dienstleister übertragen, können bei entsprechender Gestaltung des Geschäftsmodells praktisch vollständig auf den Aufbau eines ISMS für den Messtellenbetrieb und dessen Zertifizierung verzichten. Im Kontext einer sogenannten Vereinbarung zur Auftragsdatenspeicherung ist nämlich im Prinzip nur noch der Dienstleister zertifizierungspflichtig. Das Konstrukt heißt Business Process as a Service, kurz BPaaS. Die Verantwortung und Kontrollpflicht verbleibt dennoch beim Auftraggeber, der nach wie vor die Rolle als grundzuständiger Messtellenbetreiber wahrnimmt.

BPaaS: Outsourcing von IT und Prozess Für Stadtwerke, die den gesamten Prozess an einen zertifizierten Dienstleister übergeben, entsteht in der Regel höchstens ein minimaler Aufwand im Bereich Informationssicherheit.
BPaaS: Outsourcing von IT und Prozess
Für Stadtwerke, die den gesamten Prozess an einen zertifizierten Dienstleister übergeben, entsteht in der Regel höchstens ein minimaler Aufwand im Bereich Informationssicherheit.

Die co.met bietet die entsprechenden IT-Lösungen für das intelligente Messwesen als SaaS und Dienstleistung an. Die eigene ISO 27001 Zertifizierung des Unternehmens soll noch in 2016 erfolgreich abgeschlossen werden.

 

BSI-Grundschutz vs. ISO 27001

Der BSI-Grundschutz richtet sich nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Hier werden nach dem Bottom-Up-Modell für sämtliche Einrichtungen der Informationstechnik ausführliche Kataloge zur Beschreibung und Minimierung von Risiken angegeben und nach der Strukturanalyse umfangreiche Maßnahmen flächendeckend ausrollt.

Bei der ISO 27001 werden die Zertifikate von DAkkS akkreditierten Prüfungsstellen ausgestellt. Hier wird nach dem Top-Down-Modell vorgegangen und mit einer Risikoanalyse begonnen.

Kontakt: co.met GmbH, Verena Hoff, 66117 Saarbrücken, Tel. +49 6815 872 – 2434