Für alle, die mit dieser Überschrift nicht wirklich viel anfangen können: Es geht einmal mehr um die Energiewende, genauer um die digitalen Stromzähler, die sog. Smart Meter. Wie bereits von uns berichtet, steht die Sicherheit bei den Smart Metern an erster Stelle und aus diesem Grund dürfen diese nur verschlüsselt miteinander kommunizieren. Bisher war unklar, wer als oberste Zertifizierungsstelle der Smart Meter PKI fungieren soll.
Jetzt ist es über das Messstellenbetriebsgesetz (MsbG) raus : Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als oberste Zertifizierungsstelle (Certification Authorits) – auch Root-CA genannt – fungieren. § 28 MsbG besagt:
„Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für die Smart Metering-Public Key Infrastruktur; für die Teilnahme an der SmartMetering-Public-Key-Infrastruktur gelten die Bestimmungen der Zertifizierungsrichtlinie des Bundesamtes für Sicherheit in der Informationstechnik.“
Auf dem Gebiet der Kryptografie und Informationssicherheit ist ein Wurzelzertifikat (auch als Root-Zertifikat oder Stammzertifikat bezeichnet) ein unsigniertes Public-Key-Zertifikat oder selbstsigniertes Zertifikat einer oberen Zertifizierungsstelle (Root-CA), das dazu dient, die Gültigkeit der untergeordneten Zertifikate zu verifizieren. Wurzelzertifikate sind ein wichtiger Bestandteil eines Public-Key-Infrastruktursystems (PKI-Systems).
Schon seit längerem ist über die TR-03109 die Smart Meter PKI bekannt. Danach wird es eine Root-CA und darunter mehrere Smart Meter CAs geben, die dann wiederum die Endteilnehmer-Zertifikate erstellen. Nur wer diese Root betreibt, war bislang nicht geregelt. Obwohl sich die Hinweise auf das BSI verdichteten.
Alternativ wäre ja auch denkbar gewesen, die BNetzA hiermit zu betrauen. Denn schließlich ist die BNetzA für den qualifizierten Bereich gem. Signaturgesetz und –verordnung bereits die Root.
Ferner referenziert das MsbG in der Anlage zu § 22 auf die relevanten Technischen Richtlinien des BSI; in diesem Kontext relevant ist Teil 4: „BSI: Technische Richtlinie TR-03109-4, Smart Metering PKI – Public Key Infrastruktur für Smart Meter Gateways“. Die TR ist hier verfügbar.
TR-03109-4 normiert übrigens auch, dass die „Certificate Policy der Smart Metering-PKI“ dazu eine Zertifizierung des Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001 oder IT-Grundschutz sowie eine Zertifizierung gemäß BSI TR-03145 „Secure CA Operation“ fordert.
Damit kann nun auch der letzte Baustein zur sicheren Kommunikation – nach den Anforderungen an die Gateways und ihre Administration – geschlossen werden.