Im Stromnetz kommunizieren zukünftig verschiedene Stellen miteinander, damit u.a. eine genauere Erfassung der Stromverbräuche möglich ist. Um die Authentizität und Vertraulichkeit bei der Kommunikation der einzelnen Teilnehmer zu sichern, wird eine Smart Metering Public Key Infrastruktur (SM-PKI) etabliert. Diese, eine sichere Kommunikation im Stromnetz erst ermöglichende Struktur, nimmt immer mehr Gestalt an.
In der Smart Metering Public Key Infrastruktur werden drei Hierarchiestufen unterschieden: Root-CA, Sub-CA und Endverbraucher (vgl. hier).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert in der Smart Metering Public-Key-Infrastructure als oberste Zertifizierungsstelle (Certification Authorits) – auch Root-CA genannt.
Neben der obersten Zertifizierungsstelle, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) der Certification Authority , haben mittlerweile auch die ersten Sub-CA die notwendigen Zertifizierungen abgeschlossen und können nun mit der Ausstellung von Zertifikaten für die SM-PKI beginnen. Die aktuelle Liste der Sub-CAs kann beim BSI eingesehen werden (siehe hier).
In einem vorherigen Beitrag wurde bereits das zu grundliegende Messstellenbetriebsgesetz im Detail vorstellt. In diesem Beitrag möchten wir Ihnen die Rollen in der SM-PKI und die für diese Rollen geltenden Anforderungen kurz vorzustellen.
1. Die Certificate Policy der Smart Metering PKI
Ein entscheidendes Dokument in der der SM-PKI ist die Certificate Policy der Smart Metering PKI (SM-PKI-Policy). Die SM-PKI-Policy basiert auf den Vorgaben der Technischen Richtlinie 03109-4 und wird von der Root-CA der SM-PKI (siehe hier) administriert und veröffentlicht.
In der SM-PKI-Policy werden die Rollen definiert, die Teilnehmer der SM-PKI einnehmen können. Hierbei werden die Rollen Root-CA, Sub-CA, Gateway-Administrator (GWA), Gateway-Hersteller (GWH) und externer Marktteilnehmer (EMT) unterschieden sowie die Aufgaben der jeweiligen Rollen definiert. Die Rollen GWA, GWH und EMT werden häufig auch als Endnutzer der SM-PKI bezeichnet, da sie die SM-PKI-Zertifikate zur Absicherung von ausgetauschten Informationen und zur Ihrer ausgeführten Geschäftsprozesse nutzen.
Außerdem wird in der SM-PKI-Policy festgelegt, welche Sicherheitsanforderungen die Rollen erfüllen müssen und unter welchen Bedingungen ein Teilnehmer die von ihm angestrebte Rolle in der SM-PKI wahrnehmen darf. Die Erfüllung der Anforderungen aus der SM-PKI-Policy müssen vor der Teilnahme an der SM-PKI sichergestellt werden, dies geschieht teilweise im Rahmen der ISMS-Zertifizierungen oder bei separaten Prüfungen durch die zuständige übergeordnete (Sub-)CA (Root-CA bei Sub-CAs, ansonsten Sub-CAs).
2. Rollen in der SM-PKI
2.1 Root-CA
Die zentrale Rolle der Root-CA wird in der SM-PKI vom BSI wahrgenommen (vgl. hier). Den technischen Betrieb der Root-CA übernimmt das BSI allerdings nicht selbst, sondern dieser wurde an die T-Systems ausgegliedert. Das BSI bleibt aber die verantwortliche Organisation und ist damit u.a. für die Administration und Veröffentlichung der SM-PKI-Policy für die SM-PKI verantwortlich.
Die Root-CA ist der Vertrauensanker in der SM-PKI-CA; diese stellt insbesondere Zertifikate für die Sub-CAs aus. Zum Schutz des Vertrauensankers muss die Root-CA eine Zertifizierung gemäß TR-03145-1 Secure CA operation vorweisen, die auch den Betrieb eines ISMS gemäß ISO 27001 mit einem entsprechenden Geltungsbereich umfasst.
2.2 Sub-CA
Die Sub-CAs übernehmen in der SM-PKI die Ausstellung von Zertifikaten für Endnutzer, mit denen die Kommunikation einschließlich Authentifizierung innerhalb der SM-PKI erfolgen.
Genau wie die Root-CA haben auch Sub-CAs eine SM-PKI-Policy, die von den jeweiligen Endnutzern berücksichtigt werden muss. In dieser Policy werden im Gegensatz zur SM-PKI-Policy aber eher spezifische Regelungen zu den Prozessen und Anforderungen der Sub-CA geregelt – denn die übergreifende SM-PKI-Policy der SM-PKI durch die Root-CA gilt weiterhin. Damit die Endnutzerzertifikate ausgestellt werden können, muss die Sub-CA die Einhaltung der relevanten Anforderungen durch die Zertifikatsinhaber sicherstellen bzw. selbst prüfen. Der notwendige Prüfumfang der Sub-CAs bei den Endnutzern umfasst mindestens die Prozesse zur Zertifikatsbeantragung und -annahme.
Das Ausüben der Rolle der Sub-CA ist nicht eingeschränkt und kann von jedem Unternehmen wahrgenommen werden, das – genaue wie die Root-CA – die Anforderungen der TR-03145-1 und dem damit verbundenen ISMS gemäß ISO 27001 sowie der SM-PKI-Policy der SM-PKI erfüllt.
2.3 Gateway-Administrator
Die GWAs sind für die Administration der Smart Meter Gateways (SMGW) verantwortlich, die in den Haushalten bzw. Unternehmen installiert wurden. Zu den Hauptaufgaben gehören die Verwaltung der auf den SMGWs hinterlegten Zertifikate zur Teilnahme an der SM-PKI sowie der Kommunikationsprofile, über die bspw. der Versand der Messdaten an Dritte festgelegt wird.
Um als GWA tätig werden zu können, muss zunächst gemäß § 25 Messstellenbetriebsgesetz die TR-03109-6 Smart Meter Gateway Administration eingehalten werden. Zudem müssen die Anforderungen aus der SM-PKI-Policy berücksichtigt werden, um an der Smart Metering-PKI teilnehmen zu dürfen.
Genauere Informationen zu den Anforderungen aus der TR-03109-6 können einem früheren Blog entnommen werden.
2.4 Gateway-Hersteller
Die GWHs produzieren die eingesetzten SMGWs Auf den SMGWs sind die Zertifikate unterschiedlicher Teilnehmer der SM-PKI gespeichert, sodass diese als Ablageort für Zertifikate eine zentrale Rolle einnehmen. Auch hier muss Sicherheit der gespeicherten Informationen sichergestellt werden; die von den SMGWs zu erfüllen Anforderungen wurden bereits im folgenden Blogbeitrag genauer erläutert.
Im Rahmen der Kommunikation innerhalb der SM-PKI sind die GWHs für das Aufspielen der initialen Gütesiegel-Zertifikaten auf die SMGWs verantwortlich, damit die GWAs die SMGWs in Betrieb nehmen können und die produktiven Zertifikate zur Kommunikation in der SM-PKI aufspielen können.
2.5 Externe Marktteilnehmer
EMTs nehmen an der SM-PKI teil, um mit Hilfe der für Sie ausgestellten Zertifikate mit den SMGWs kommunizieren zu können. Bei den EMTs wird zwischen passiven und aktiven Teilnehmern unterschieden.
Passive EMTs empfangen Daten von SMGWs, um ihre Geschäftsprozesse, z.B. die Erstellung von Abrechnungen auf Basis von empfangen Messdaten, auszuführen. Aktive EMTs empfangen dagegen nicht nur Daten, sondern steuern auch nachgelagerte Geräte (auch Controllable Local Systems – CLS genannt), die an die SMGWs angeschlossen werden können.
Zur Teilnahmen an der SM-PKI muss ein passiver EMT lediglich ein Sicherheitskonzept erstellen, das die in der SM-PKI-Policy spezifizierten Anforderungen berücksichtigt und bei Bedarf vorgelegt werden kann. Ein aktiver EMT muss dagegen eine Zertifizierung gemäß ISO 27001 oder IT-Grundschutz vorweisen, die alle SM-PKI relevanten Prozesse und IT-Systeme umfasst.
3. Weitere Themen der SM-PKI
Wie dargestellt, kennt die SM-PKI verschiedene Rollen, an die unterschiedliche Anforderungen für Ihre Teilnahme gestellt werden. Bei den gestellten Anforderungen aus der SM-PKI stellt sich häufig die Fragen, wie diese zu interpretieren sind und. welche Maßnahmen konkret zur Erfüllung einer Maßnahme umgesetzt werden müssen. Daher werden wir in den nächsten Wochen typische Themen im Kontext der SM-PKI behandeln und mögliche Fallstricke und Lösungsmöglichkeiten aufzeigen:
Wenn der Smart Meter-Gateway-Administrator in der Wolke sitzt
Änderungen durch die neue SM-PKI-Richtlinie
Notfallmanagement als Gateway-Administrator