Informationssicherheitskonzept für EMT

Um Verbrauchsdaten aus den intelligenten Messssystemen auszulesen, ist künftig die Teilnahme an einer Smart-Meter-Public-Key-Infrastruktur (SM-PKI) erforderlich. Foto: gopixa/shutterstock

Ob einfacher Datenabruf oder die Steuerung von Anlangen – für jede Kommunikation mit dem Smart Meter Gateway Administrator gelten künftig klare Sicherheitsanforderungen

Auszug aus dem EMT Informationssicherheitskonzept

Der bevorstehende Rollout intelligenter Messsysteme (iMSys) ist ein komplexer Transformationsprozess, der die Organisation und Arbeitsweisen vieler Unternehmensbereiche und Marktrollen tiefgreifend verändert. Betroffen sind insbesondere Netzbetrieb, Messstellenbetrieb und Vertrieb, aber auch beliebige Lieferanten und Betreiber dezentraler Erzeugungsanlagen. All diese Akteure werden in der neuen Nomenklatur als Externe Marktteilnehmer (EMT) bezeichnet. Als solche müssen sie grundlegende Neuerungen in Technik, IT und Prozessen umsetzen und gesetzliche Fristen einhalten. Da EMT mit dem Smart Meter Gateway (SMGW) als zentraler Datendrehscheibe kommunizieren beziehungsweise über das SMGW Anlagen sogar aktiv steuern werden, ist auch bei ihnen das Thema Informationssicherheit von zentraler Bedeutung. „Die zentralen Sicherheitsziele betreffen die personenbezogenen Daten des Anschlussnehmers sowie Schalthandlungen im Niederspannungsnetz“, erläutert Uwe Sendlhofer. „Hier soll ein unberechtigter Zugriff verhindert werden.“ Sendlhofer ist Sicherheitsbeauftragter der Stadtwerke Saarbrücken und Leiter der Stabsstelle Beauftragtenwesen für Informationssicherheit bei der co.met.

Wie der Smart Meter Gateway Administrator (SMGWA) müssen EMT daher an der Smart-Meter-Public-Key-Infrastruktur (SM-PKI) teilnehmen. Der Aufbau der PKI ist in der TR- 03109-4 definiert. Das geltende Modell der Smart Meter-PKI sieht eine zentrale, staatliche Root (Wurzel) als Vertrauensanker in der Infrastruktur der Gateways vor. Darunterliegend operieren private Unternehmen, sogenannte Sub-CAs (untergeordnete Zertifizierungsstellen), welche die Betreuung der Marktteilnehmer übernehmen und die Zertifikate für die Kommunikation mit SMGW ausstellen. „Man kann sich diese Zertifikate in etwa so vorstellen, wie die PINs und TANs für das Online-Banking“, erläutert Uwe Sendlhofer. „Ohne Zertifikat ist noch nicht einmal ein Zugriff auf die Messdaten möglich.“ Der Saarbrücker Messdienstleister co.met ist als Sub-CA zertifiziert und berechtigt, die entsprechenden Zertifikate für EMT zu vergeben.

Passiver und aktiver EMT

Grundsätzlich wird bei den Externen Marktteilnehmern zwischen aktiven und passiven EMT unterschieden. Aktive EMT empfangen nicht nur Daten, sondern steuern über das SMGW auch nachgelagerte Geräte. Dies geschieht mittels eines Controllable Local Systems (CLS), zum Beispiel zur Schaltung von EEG-Anlagen. Ein aktiver EMT muss eine Zertifizierung gemäß ISO/IEC 27001 oder IT-Grundschutz vorweisen, die alle SM-PKI-relevanten Prozesse und IT-Systeme umfasst. Passive EMT können von Smart Meter-Gateways nur Daten empfangen. Dies ist allerdings eine zentrale Voraussetzung, um bestimmte Geschäftsprozesse abwickeln zu können, etwa auf Basis empfangener Messwerte Abrechnungen zu erstellen und Netzzustände zu ermitteln. Konkret sind also der Messstellenbetreiber, die Verteilnetzbetreiber, Bilanzkoordinatoren, Bilanzkreisverantwortliche, aber auch jeder Direktvermarkter oder beliebige andere Akteure, die vom Anschlussnehmer berechtigt sind, Messdaten abzurufen, von den neuen Sicherheitsvorgaben betroffen. „Vom passiven EMT wird in jedem Fall gefordert, ein Sicherheitskonzept zu erstellen”, sagt Uwe Sendlhofer. Dieses muss die Anforderungen der Certificate Policy der Smart Metering PKI (SM-PKI-CP) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berücksichtigen und – grob gesagt – einen Überblick über sicherheitsrelevante Betriebseinrichtungen, Prozesse, Zuständigkeiten und Maßnahmen geben (siehe Textkasten).

Die Beratungspraxis der co.met GmbH zeigt, dass die Einführung des Informationssicherheitskonzeptes für EMT vielerorts noch unterschätzt wird. Das Thema ist umfangreicher als allgemein gedacht und erfordert einen entsprechend hohen Aufwand bei der Realisierung. Nach Einschätzung des Sicherheitsexperten könnten gerade kleinere Stadtwerke hier an Ihre Grenzen stoßen und es im Zweifel nicht schaffen, die Voraussetzung bis zum Rollout zu erfüllen. „Daraus kann als Handlungsempfehlung für zukünftige EMT abgeleitet werden, sich frühzeitig mit den Sicherheitsanforderungen zu befassen“, sagt Uwe Sendlhofer. Die co.met greift das Thema im Rahmen ihres Workshop- und Beratungsprogramms auf und unterstützt bei der Erstellung eines Sicherheitskonzepts für passive EMT. Neben einer grundsätzlichen Einführung erhält das Unternehmen quasi eine Blaupause für ein rechtskonformes Informationssicherheitskonzept. Dieses lässt sich vom Werk personalisieren und anpassen. Dadurch, so Sendlhofer, minimiert sich der Implementierungsaufwand erheblich.

Kontakt: co.met GmbH, Verena Hoff, 66117 Saarbrücken, Tel. +49 6815 872 – 2434, verena.hoff@co-met.info

Lesen Sie auch: