Die Anforderungen an den Smart Meter Gateway Administrator (GWA) sind in der TR-03109-6 formuliert: u.a. wird ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) gefordert. Um den Aufwand hierfür möglichst gering zu halten, sind derzeit einige Outsourcing-Szenarien in der Diskussion. Ein Überblick.
Szenario 1: MSB wird GWA
Ausgangspunkt – ganz ohne Outsourcing – ist das Szenario 1: Ein Messstellenbetreiber wird Smart Meter Gateway Administrator und etabliert bei sich ein ISMS, in dem er die TR-03109-6 berücksichtigt.
Das ISMS wird gemäß ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz zertifiziert, wobei der Auditor beim BSI auf diese TR-03109-6 speziell geschult ist.
Szenario 2: GWA mit Sub CA
Wenn der Smart Meter Gateway Administrator auch die SubCA der Smart Meter PKI betreibt, können Synergien genutzt werden, dazu verweisen wir auf diesen Artikel.
Szenario 3: GWA ohne Sub CA
Eine Sub CA muss ein Smart Meter Gateway Administrator nicht selber betreiben, er kann diese Dienstleistung quasi einkaufen. Das fällt noch nicht einmal unter den Begriff des Outsourcings, denn der Gateway Administrator muss zwar PKI-Zertifikate verwenden und von einer Sub CA beziehen, er muss sie aber nicht selber betreiben.
Szenario 4: GWA nutzt externes RZ
Der Smart Meter Gateway Administrator nutzt ein externes Rechenzentrum, in dem er seine Serversysteme betreibt.
Spezifische Anforderungen der TR-03109-6, die der GWA nicht selber umsetzt, sondern sein externes Rechenzentrum, werden per Vertrag auf den RZ-Betreiber verlagert.
Im Rahmen des Audits beim GWA wird dann kontrolliert, ob diese Anforderungen beim externen RZ umgesetzt werden; wenn hierfür ein entsprechendes Zertifikat vorliegt, kann dies zur Nachweisführung herangezogen werden.
Wichtig: Ein ISO 27001-Zertifikat dieses Rechenzentrums ist hilfreich, aber nicht ausreichend!
Szenario 5: MSB nutzt Cloud-Lösung
In diesem Szenario werden in einem externen Rechenzentrum nicht nur Serversysteme gehostet, sondern die Applikation der Gateway Administration. Damit greifen die Mitarbeiter des Messstellenbetreibers für die Gateway Administration über sogenannte Admin-Clients auf diese Systeme zu und administrieren ihre Gateways.
Die Formulierung „Mitarbeiter des Messstellenbetreibers“ ist mit Bedacht gewählt, denn hier sind zwei Varianten möglich, je nachdem, wer Smart Meter Gateway Administrator ist und das Zertifikat hält.
Szenario 5a: MSB ist GWA und nutzt Cloud-Lösung
In diesem Szenario ist der Messstellenbetreiber der Smart Meter Gateway Administrator. Er nutzt eine Cloud-Lösung, häufig auch Software-as-a-Service genannt.
Hier gilt wie in Szenario 4: Spezifische Anforderungen der TR-03109-6, die der GWA nicht selber umsetzt, sondern seine Cloud-Lösung, werden per Vertrag auf den Cloud-Dienstleister verlagert. Hierbei handelt es sich weitestgehend um einen sogenannten „Virtuellen GWA“, denn die eigentlichen Prozesse zur Gateway Administration liegen beim Cloud-Anbieter.
Im Rahmen des Audits beim GWA wird dann kontrolliert, ob diese Anforderungen beim Cloud-Dienstleister umgesetzt werden; wenn hierfür ein entsprechendes Zertifikat vorliegt, kann dies zur Nachweisführung herangezogen werden.
Wichtig: Ein ISO 27001-Zertifikat beim Cloud-Dienstleister, das evtl. sogar die TR-03109-6 berücksichtigt, ist hilfreich, aber nicht ausreichend, da in diesem Szenario die ISMS-Prozesse beim Gateway Administrator liegen.
Szenario 5b: MSB nutzt Cloud-GWA
Dieses Szenario ist besonders spannend. Offiziell Smart Meter Gateway Administrator ist nämlich nicht der Messstellenbetreiber, sondern der Cloud-Dienstleister. Er setzt die Anforderungen der TR-03109-6 samt ISMS um und zertifiziert es. Gleichwohl liegt die Administration beim Messstellenbetreiber.
D.h. die Admin-Clients des Messstellenbetreibers müssen im Rahmen des ISMS beim Cloud-GWA betrachtet werden. Und es müssen entsprechende Sicherheitsmaßnahmen beim Messstellenbetreiber durchgesetzt werden. Damit beauftragt der MSB einerseits den Cloud-GWA, erhält aber andersherum Anweisungen von seinem Dienstleister.
Dennoch ist der Messstellenbetreiber in diesem Szenario nicht raus aus dem Thema Informationssicherheit: Denn als externer Marktteilnehmer (EMT) wird er an die Smart Meter PKI angeschlossen werden wollen, damit muss er der Certificate Policy („Certificate Policy der Smart Metering PKI“) genügen, die für EMTs mindestens ein Sicherheitskonzept vorsieht.
Szenario 6: MSB nutzt externen GWA
Ein Unternehmen bietet die Dienstleistung des externen Gateway Administrators an und lässt sich gem. ISO 27001 und TR-03109-6 zertifizieren. Dieser externe Dienstleister ist dann Smart Meter Gateway Administrator.
Der Messstellenbetreiber „beauftragt“ seinen Dienstleister mit der Administration seiner Gateways, dazu werden definierte Schnittstellen genutzt. Wichtig an dieser Stelle ist wiederum, wie diese Admin-Clients in das ISMS des externen GWA eingebunden sind und wer die Administration durchführt. Wird von hieraus eine Administration vorgenommen, gilt wie zuvor: Die Admin-Clients des Messstellenbetreibers müssen im Rahmen des ISMS beim externen GWA mitbetrachtet werden. Und es müssen entsprechende Sicherheitsmaßnahmen beim Messstellenbetreiber durchgesetzt werden. Damit beauftragt der MSB einerseits den externen GWA, erhält aber andersherum Anweisungen von seinem Dienstleister.
Hier verhält es sich ähnlich wie zuvor: Als externer Marktteilnehmer (EMT) wird der MSB an die Smart Meter PKI angeschlossen werden wollen, damit muss der MSB die Anforderungen der Certificate Policy erfüllen, wonach für EMTs mindestens ein Sicherheitskonzept vorgesehen ist.
Kennen Sie ein weiteres Szenario? Schreiben Sie mir gerne. Ich freue mich.