Die „Kosten-Nutzen-Analyse für einen flächendeckenden Einsatz intelligenter Zähler“ (KNA) skizziert zunächst die politischen Hintergründe der Energiewende und benennt anschließend die gesetzlichen Vorgaben.
Die aktuellen gesetzlichen Vorgaben in Deutschland sind:
- das Energiewirtschaftsgesetz (EnWG),
- das Gesetz für den Vorrang Erneuerbarer Energien (Erneuerbare-Energien-Gesetz – EEG),
- die Messzugangsverordnung (MessZV),
- die Messsystemverordnung (MsysV).
Daneben werden unter dem Stichwort „Datensicherheit, -schutz und Sicherheitsprofile“ die Datenschutzanforderungen sowie die beiden Common Criteria-Schutzprofile für Smart Meter Gateway und Sicherheitsmodul sowie die Technischen Richtlinien BSI-TR-03109 genannt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Aktueller Stand ist, dass die beiden Schutzprofile (Protection Profiles – PP) und einige der Technischen Richtlinien in einer Version 1.0 seit März 2013 vorliegen. Darüber hinaus sind eichrechtliche Bestimmungen relevant.
Zertifizierungen sollen Vertrauen schaffen
In der KNA wird ausführlich auf Aspekte des Datenschutzes und der IT-Sicherheit hingewiesen sowie auf ihren Stellenwert bei der Entwicklung der BSI-Schutzprofile und Technischen Richtlinien. Dieses hohe Datenschutz- und IT-Sicherheits-Niveau bezeichnet die KNA als wegweisend und führend.
Um Vertrauen in dieses hohe Niveau zu schaffen, fordert MsysV-E in §6 eine Zertifizierung des Smart Meter Gateways sowie in §7 eine Zertifizierung des Smart Meter Gateway Administrators. Etwas genauer wird gefordert:
- Prüfung gegen die Technischen Richtlinien BSI TR-030109 – sowohl relevant für das Smart Meter Gateway als auch den Administrator;
- Zertifizierung gem. Common Criteria-Evaluierungsstufe EAL4+ und gemäß des BSI-Schutzprofils „Protection Profile for the Gateway of a Smart Metering System (Smart Meter Gateway PP), Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems für Stoff- und Energiemengen – SMGW-PP“ (BSI-CC-PP-0073);
- Zertifizierung gem. ISO 27001 für das Informationssicherheits-Managementsystem (ISMS) des Smart Meter Gateway Administrators.
Deutscher Sonderweg oder internationale Standards?
Die Forderungen der gesetzlichen Verordnungen dürfen dabei durchaus kritisch betrachtet werden. So fordert beispielsweise §7 MsysV-E, dass der Smart Meter Gateway Administrator „ein Information Security Management System nach ISO 27001“ zu betreiben hat, dass dieses ISMS „durch vom Bundesamt für Sicherheit in der Informationstechnik anerkannte Prüfstellen“ auditiert wird und dass diese Audits durch das BSI bestätigt werden. Da das BSI keine international anerkannten ISO/IEC 27001:2005-Zertifikate erteilt, dürfte hiermit vermutlich der BSI-Ansatz „ISO 27001 auf der Basis von IT-Grundschutz“ gemeint sein. Allerdings gibt es auch keine vom BSI „anerkannten Prüfstellen“, die Audits durchführen, sondern nur zertifizierte Auditoren.
Doch gerade, wenn es um die EU-Notifikation der Richtlinien geht, könnte ein deutscher Sonderweg problematisch werden. Zu klären bliebe daher die Frage, ob die Verordnung neben dem vom BSI erteilten Zertifikat nicht auch ein international anerkanntes ISO/IEC 27001:2005-Zertifikat, das von einer akkreditierten Zertifizierungsstelle erteilt wurde, anführen müsste.
Weitere Empfehlungen der KNA
Abschließend empfiehlt die KNA, verschiedene Maßnahmen auf gesetzgeberischem Wege zu diskutieren, um die Erfolgschancen beim flächendeckenden Einsatz intelligenter Zähler zu erhöhen:
- Ausdehnung der Einbauverpflichtung;
- Einbeziehen der Gaszähler in das Rollout;
- Präzisierung der Vorgaben für den Smart Meter Gateway.