Die Energiewende kommt und mit ihr Smart Meter Gateways, die den Energieverbrauch sehr viel granularer als heutige Zähler messen können. Datenschutz und Informationssicherheit spielen dabei zum einen zum Schutz der einzelnen Bürger und zum anderen zur Gewährleistung der Versorgungssicherheit eine entscheidende Rolle. Dies nicht nur auf der Eben der Gateways sondern auch auf der Ebene der Administratoren.

Ob ein Smart Meter Gateway Administrator (GWA) eine natürliche Person oder ein Stück Technik ist und wofür er zuständig ist, haben wir bereits in einem früheren Beitrag geklärt.

Zur Erinnerung: Smart Meter Gateway Administratoren sind für den sicheren, technischen Betrieb des intelligenten Messsystems verantwortlich. Auch für die Installation, Inbetriebnahme Konfiguration, Administration, Überwachung und Wartung des Smart Meter Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart Meter Gateway angebundenen technischen Einrichtungen ist der Smart Meter Gateway Administrator zuständig.

Technische Richtlinie

Aufgrund vieler Nachfragen möchten wir heute detailliert auf die Anforderungen an den Smart Meter Gateway Administrator, wie sie in der „Technischen Richtlinie TR-03109-6: Smart Meter Gateway Administration“ (TR), normiert sind, eingehen. Die Richtlinie umfasst sowohl Interoperabilitätsanforderungen zu den Gateways und Aspekte der Kryptographie als auch Anforderungen zur Smart Meter PKI und zur Administration. Sie gliedert sich grob in drei Teile:

  • In Kapitel 3 der TR werden Anwendungsfälle des Smart Meter Gateway Administrators genannt.
  • Die umzusetzenden Sicherheitsanforderungen an den Admin-Betrieb werden in Kapitel 4 formuliert.
  • Die TR sieht einen unabhängigen Nachweis, dass die Anforderungen umgesetzt sind, in Form eines Zertifikates vor, dazu sind in Kapitel 5 Aspekte zur Auditierung und Zertifizierung normiert.

Die Aufgaben des Smart Meter Gateway Administrators sollen hier nur stichwortartig aufgezählt werden, da das Hauptaugenmerk auf den sicherheitsrelevanten Normierungen liegen soll.

Dem Smart Meter Gateway Administrator werden folgende Anwendungsfälle zugewiesen:

  • Verbindungsaufbau
  • Dienste
  • Administration und Konfiguration
  • Monitoring
  • Unterstützung der Messwertverarbeitung
  • Fehlerbehandlung

Zentraler Bestandteil: Sicherheitsanforderungen

Eines vorweg: Die Gateway Administration ist eher als Trust Center denn als Call Center anzusehen. Grundsätzlich wird ein Informationssicherheits-Managementsystem (ISMS) für den GWA vorausgesetzt. Mit „ISO/IEC 27001“ und „ISO 27001 auf der Basis von IT-Grundschutz“ werden zwei anerkannte Standards zur Wahl gestellt. Im Hinblick auf den IT-Sicherheitskatalog der Bundesnetzagentur, der für Netzbetreiber ein ISMS gem. ISO/ IEC 27001 fordert, verspricht womöglich die internationale Ausprägung von ISO 27001 – häufig als 27001 „native“ bezeichnet – mehr Synergieeffekte.

Nur ISO 27001 reicht nicht

Ein ISMS gem. ISO 27001 alleine reicht allerdings nicht aus. Hintergrund ist, dass die Smart Meter Gateways gegen ein hohes Angriffspotential geprüft werden. Und im Sinne eines ganzheitlichen Sicherheitskonzeptes muss dieses Sicherheitsniveau der Gateways auch für die Administration gelten, von wo aus typischerweise sehr viele Gateways angegriffen werden könnten. Dieser Gedanke ist in der TR entsprechend umgesetzt. Aus diesem Grund definiert die TR ausgehend von den Aufgaben des GWA die zu schützenden werthaltigen Objekte, beschreibt Schutzziele und schätzt das Bedrohungs- und Risikopotential ab. Daraus abgeleitet werden spezifische Bedrohungen behandelt und Mindest-Sicherheitsmaßnahmen formuliert.

Schutzziele

Gemäß der TR stellen die gesetzliche Zeit, Alarme und Nachrichten, Firmware-Updates, Kommunikationsprofile, Zertifikate, Schlüssel, Wake-Up-Pakete, Konfigurationsdateien, Log-Einträge, Messwerte oder Kommunikationsverbindungen Assets dar.

Bei den Bedrohungen wird zwischen für den GWA spezifische und übergreifende Bedrohungen unterschieden. Die GWA-spezifischen Bedrohungen gehen direkt auf die zuvor aufgeführten Assets ein. Demgegenüber werden bei übergreifenden Bedrohungen typische Szenarien der Informationssicherheit betrachtet.

Mindest-Maßnahmen

Diese strukturierte Istaufnahme ist die Vorbereitung für die daran anschließende Auflistung von Mindest-Maßnahmen, die damit auch eine Begründung liefert. Die in der TR vorgeschriebenen Mindest-Maßnahmen umfassen beispielweise folgende Punkte:

  • Dokumentation von Prozessabläufen und Verantwortlichkeiten;
  • Sensibilisierung der Mitarbeiter;
  • Inferenzprävention: Realisierung eines Need-To-Know-Prinzips;
  • Rollen- und Rechtekonzept: Realisierung einer Funktionstrennung mit Etablieren der Rollen Fachanwender, Administratoren der GWA-Software und Systemadministration;
  • Regelungen zur Vorhaltezeit und Aufbewahrungsdauer von Daten;
  • SMGW Admin Software und Frontend SMGW Admin Software: Auswahl geeigneter Produkte, Abnahme- und Freigabeverfahren, Nutzungsort des GWA-Clients, Datenbanksicherheitskonzept, Sicherstellung der Integrität, Protokollierung, Prozessausgestaltung mit -freigabe;
  • Regelungen für Wartungs- und Reparaturarbeiten: sowohl Inhouse als auch extern oder remote;
  • Entwicklung und Umsetzung eines Anbindungskonzeptes zu den Kommunikationspartnern;
  • Einsatz Zeitserver mit gesetzlicher Zeit: Einbindung der Uhr der PTB mit hoher Verfügbarkeit;
  • Netzsegmentierung und -trennung: sehr dezidierte Anforderungen zur Absicherung des Netzes für den GWA-Admin-Betrieb;
  • Integritätsschutz von IT-Systemen und IT-Komponenten;
  • Dienstsegmentierung: mit Einsatz von Virtualisierungslösungen;
  • Einsatz eines oder mehrerer Protokollierungsserver
  • Penetrationstest: regelmäßige Penetrationstests durch einen beim BSI zertifizierten Penetrationstester (IT-Sicherheitsdienstleister des BSI);
  • Reaktion auf Verletzung der Sicherheitsvorgaben;
  • Aufrechterhaltung der Informationssicherheit: Etablieren eines Informationssicherheits-Managementsystems mit internen Audits und kontinuierlichem Verbesserungswesen;
  • Regelungen für den Einsatz von Fremdpersonal;
  • Schlüsselmanagement mit mehrfach redundanter Speicherung privater Schlüssel;
  • SMGW Firmware Update mit regelmäßiger, mindestens täglicher Prüfung und ggf. unverzüglicher Einspielung;

Eine vollständige Auflistung der Mindest-Maßnahmen finden Sie in der TR 03109-6.

Pflicht zur Zertifizierung

Es ist vorgesehen, dass ein Smart Meter Gateway Administrator die Erfüllung der Anforderungen aus der TR 03109-6 durch eine unabhängige Auditierung und Zertifizierung nachweisen muss. Es ist also ein Zertifikat gem. ISO/IEC 27001 oder ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz erforderlich. Je nach Standard ist eine bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Zertifizierungsstelle oder das BSI als Zertifizierungsstelle eingebunden.

Wichtig: Unabhängig vom Standard muss der Auditor, der die Erfüllung gegen die TR 03109-6 prüft, beim BSI als Auditor für diese TR selber zertifiziert sein (Personenzertifizierung). Damit soll sichergestellt werden, dass der Auditor über eine hinreichende Kompetenz zur Auditierung von Smart Meter Gateway Administratoren hat.

Ausblick/ Fazit

Man wird „nicht mal eben“ Smart Meter Gateway Administrator! Die Liste der Aufgaben und Anforderungen ist lang. Alle die das Ziel haben, Administrator zu werden, sollten sich auf den Weg machen.