Ein Zertifikat für alle Fälle

Foto: Thüga SmartService GmbHFoto: Thüga SmartService GmbH

Mit dem Grundschutz-Zertifikat des BSI schafft die Thüga SmartService GmbH die Grundlagen für ein besonderes Geschäftsmodell im Bereich der Gateway Administration.

BSI-Fachbereichsleiter Thomas Gast (rechts) überreicht das Zertifikat an Peter Hornfischer, Geschäftsführer der Thüga SmartService. Foto: Thüga SmartService GmbH

Bei der Vorbereitung des Smart Meter-Rollouts sehen sich Stadtwerke und Messstellenbetreiber (MSB) nicht nur mit den inzwischen hinlänglich bekannten technischen und organisatorischen Herausforderungen konfrontiert. Auch die Sicherheitsdimension gewinnt durch den Einbau der intelligenten Messsysteme massiv an Bedeutung, denn durch die neue Technologie werden Kommunikationsschnittstellen geschaffen, über die theoretisch auch Unbefugte auf personenbezogene Daten und versorgungsrelevante Anlagen zugreifen könnten. Zum Schutz dieser Daten fordert das neue Messstellenbetriebsgesetz ein zertifiziertes Informationssicherheitsmanagement-system (ISMS) für den Smart Meter Gateway-Administrator und die dort hinterlegte Public-Key-Infrastruktur (PKI). Nach dem Willen des Gesetzgebers müssen die entsprechenden Prozesse und Einrichtungen mit Beginn des Smart Meter-Wirkbetriebs vorliegen und zertifiziert sein.

Entscheidende Unterschiede beim Outsourcing

Speziell kleine und mittlere Stadtwerke besitzen in der Regel keine ausreichenden Ressourcen, um ein rechtskonformes ISMS aufzubauen und zertifizieren zu lassen. Diese Unternehmen bauen daher auf Dienstleister, die im Auftrag des grundzuständigen Messstellenbetreibers die Gateway-Administration komplett übernehmen oder die erforderlichen IT-Ressourcen bereitstellen.

Doch die Dienstleistungen und Zertifizierungsmerkmale sind nicht alle gleich. Für Messstellenbetreiber gibt es entscheidende Unterschiede, die Andreas Gluth, Leiter Forschung und Entwicklung bei SmartService, erläutert: „Die wesentliche Frage ist, wer die Gateway-Administration operativ durchführt. Wird diese Aufgabe einem entsprechend zertifizierten Dienstleister komplett übertragen, benötigt der Messstellenbetreiber in der Regel kein eigenes ISMS.“ Dann, so Gluth, liege der Prozess aber eben auch nicht mehr beim Messstellenbetreiber. Stadtwerke, die hier selbst das Heft in der Hand behalten wollen, haben die Möglichkeit, auf sogenannte SaaS (Software-as-a-Service)- Lösungen zurückzugreifen. „Die Zertifizierung für das Hosting dieser Lösungen obliegt in diesem Fall dem Anbieter“, erklärt Andreas Gluth. „Für die operative Umsetzung der Gateway- Administration allerdings benötigt der MSB nach wie vor ein eigenes ISMS inklusive Zertifizierung.“

Keine Zertifizierung für Anwender

Diese Situation ist nach der Erfahrung von SmartService für viele Stadtwerke unbefriedigend. Daher entwickelten die Metering- Experten im fränkischen Naila in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein besonderes Geschäftsmodell. Es ermöglicht Stadtwerken, die Gateway-Administration operativ im eigenen Hause zu behalten, ohne hierfür ein eigenes ISMS aufbauen zu müssen. Das, so Andreas Gluth, sei bislang bundesweit einmalig.

Als zertifizierter Gateway-Administrator konfiguriert und betreibt die SmartService dabei die Infrastruktur für den Betrieb der eigens entwickelten Gateway-Administrations- Software. Auch diese wurde auf Art und Umfang der Zertifizierung konkret abgestimmt und kann beim Messstellenbetreiber als SaaS-Lösung vor Ort operativ eingesetzt werden. „Zusätzlich wird über entsprechende vertragliche Regelungen und Konfigurationen in der Software die Einhaltung von Sicherheitsmaßnahmen gewährleistet, die wir für das jeweilige Unternehmen individuell konzipieren“, ergänzt Gluth.

BSI bestätigt Konzept

Andreas Gluth, Leiter Forschung und Entwicklung bei SmartService. Foto: Thüga SmartService GmbH

Die Zertifizierung für die Dienstleistung ließ SmartService direkt beim BSI durchführen – im Gegensatz zur vielfach üblichen ISO 27001-Native-Zertifizierung, die eine andere Zertifizierungsstelle übernimmt. Zudem wählte man die anspruchsvolle Variante der ISO 27001-Zertifizierung auf Basis IT-Grundschutz – auch das eine Premiere am Energiemarkt „Wir wollten im Sinne unserer Kunden hier keinerlei Zweifel aufkommen lassen“, betont der Leiter Forschung und Entwicklung.

Am 6. März 2017 wurde die Zertifizierungs- Urkunde für die Dienstleistung der Smart Meter-Gateway-Administration (SMGWA) durch den Fachbereichsleiter des BSI, Thomas Gast, feierlich an SmartService-Geschäftsführer Peter Hornfischer übergeben. Mit der Zertifizierung des Informationsverbundes der SMGWA-Leitstelle sind die Anforderungen aus der Technischen Richtlinie TR-03109-6 des BSI nachweislich umgesetzt. Das ISO 27001-Zertifikat auf Basis von IT-Grundschutz in Verbindung mit der Technischen Richtlinie bestätigt, dass der technische Betrieb der SMGWA-Leitstelle von SmartService methodisch durch die Anwendung des IT-Grundschutzes abgesichert ist.

„Dank unseres Zertifizierungsmodells können die Kunden sich die zeit- und kostenintensiven Erst- und Folgezertifizierungen eines eigenen ISMS ersparen“, freut sich Peter Hornfischer über die Vorreiterrolle des Unternehmens. Das Zertifikat ist bis März 2020 gültig und damit über die Laufzeit des sogenannten Interimsmodells (bis 1.1.2020) sichergestellt.

Die Palette der SmartService umfasst neben der eigentlichen Gateway-Administration auch weitere Dienstleistungen, die künftig laut Gesetz zur Digitalisierung der Energiewende benötigt werden. Zum Beispiel eine eigene SubCA, die die Zertifikate für die Teilnehmer der PKI generiert.

 

Kontakt: Thüga SmartService GmbH, Ralf Oelschlegel, 95119 Naila, Tel. + 49 (0) 9282 / 9193-0, Ralf.Oelschlegel@smartservice.de

Lesen Sie auch: