Mittlerweile gibt es kaum eine Dienstleistung oder Anwendung, die nicht auch als Cloud-Lösung angeboten wird. Diese Entwicklung hat auch vor der Smart Meter-Gateway-Administration (GWA) nicht haltgemacht: Häufig wird die Software für eben diese Smartmeter-Gateway-Administration als Software-as-a-Service (SaaS) aus der Cloud angeboten. Anbieter für die SaaS-Lösungen sind dabei in der Regel die Softwarehersteller, die ihre Software als gehostete SaaS-Lösung und damit eine zusätzliche Dienstleistung anbieten oder Systemhäuser, die die Systeme z.B. bereits für ein „all-inclusive“ GWA-Outsourcing betreiben.
Diese Angebote werden von den GWAs auch gerne angenommen, denn neben dem Outsourcing des Systembetriebs erhoffen sich diese dadurch auch geringere Aufwände bei der Erfüllung der geltenden Anforderungen, d.h. aus der TR-03109-6 Smart Meter Gateway Administration bzw. der Certificate-Policy der Smart Metering-PKI.
1. Ist es wirklich so einfach?
Unter bestimmten Voraussetzungen kann durch die Nutzung einer SaaS-Lösung der Einführungsaufwand beim GWA tatsächlich stark reduziert werden. Denn die anforderungsgemäß notwendigen technischen und organisatorischen Maßnahmen für die IT-Systeme, z.B. Netztrennung, Dienstsegmentierung und Prozessbeschreibungen, können von einem gut aufgestellten SaaS-Anbieter für alle seine Auftraggeber – zumindest teilweise – gebündelt umgesetzt werden.
Für die korrekte Umsetzung der Maßnahmen bleibt aber weiterhin der GWA verantwortlich, d.h. er muss sicherstellen, dass alle relevanten Maßnahmen aus der ISO/IEC 27001 bzw. IT-Grundschutz, der TR-03109-6 und der Certificate Policy der SM-PKI vom SaaS-Dienstleister erfüllt werden. Dies sollte im Rahmen der Dienstleistersteuerung sichergestellt werden. Hier zeigt sich, wieviel Aufwand tatsächlich durch den Einsatz der SaaS-Lösung eingespart werden kann.
Damit tatsächlich Einsparungen entstehen können, sollte zu Beginn festgelegt werden, welche Maßnahmen und Prozesse, sowohl für den Betrieb des ISMS als auch aus der TR-03109-6 und der Certificate Policy, einerseits durch den Dienstleister und welche andererseits durch den Auftraggeber bzw. durch beide Parteien umzusetzen sind. Diese Aufteilung der Maßnahmen und Prozesse sollte Vertragsbestandteil werden, um die Umsetzungsverantwortung für die einzelnen Maßnahmen klar zu dokumentieren. Dadurch kann vermieden werden, dass Maßnahmen schlicht deshalb nicht umgesetzt werden, weil beide Parteien davon ausgehen, dass die jeweils andere Partei die Maßnahme umsetzt.
2. Klarheit durch zertifizierte Dienstleister
Ein Dienstleister mit einem eigenen Zertifikat, das die Berücksichtigung der Anforderungen aus der der TR-03109-6 und Certificate Policy attestiert, kann zur Reduzierung der Aufwände bei seinen Kunden führen. Denn der Kunde kann die Auditierung des ISMS seines Dienstleisters durch die unabhängige Zertifizierungsstelle in seiner Dienstleistersteuerung berücksichtigen und auf die detaillierte eigene Kontrolle von Maßnahmen verzichten – sofern diese im Rahmen der ISMS-Zertifizierung bereits geprüft worden sind. Der Fokus der Dienstleisterkontrollen kann daher auf die Prüfung der ISMS-Zertifizierung des Dienstleisters und die Prüfung von Maßnahmen und Prozessen, die nicht vom ISMS abgedeckt werden, gelegt werden.
Damit beim Zertifizierungsprozess tatsächlich Aufwandreduzierungen für den Kunden entstehen, muss der SaaS-Dienstleister darauf achten, dass seine Zertifizierung den Vorgaben des BSI für die TR-03109-6 genügt: U.a. müssen die Auditierung des ISMS von einem vom BSI anerkannten Auditor für die TR-03109-6 durchgeführt werden und die Prüfergebnisse zur TR-03109-6 und der Certificate Policy dokumentiert werden, z.B. im regulären Auditbericht oder in einem separaten Bericht.
3. Alles gesteuert durch den Auftraggeber
Wenn der beauftragte SaaS-Dienstleister keine eigenständige Zertifizierung vorweisen kann, sollte seitens des Auftraggebers mit einer Aufwandsverlagerung anstatt mit einer Aufwandsverringerung gerechnet werden. Denn in diesem Fall muss der Auftraggeber die Maßnahmen zwar nicht umsetzen, er muss aber für alle vom Dienstleister umzusetzenden Maßnahmen prüfen und sicherstellen, dass diese konform zu den zu beachtenden Standards und Richtlinien umgesetzt wurden: Zum Beispiel ist im Rahmen der Dienstleistersteuerung ein wesentlich engerer Austausch mit dem Dienstleister notwendig. Denn der Auftraggeber sollte sich auch regelmäßig über Änderungen beim Dienstleister informieren, die Auswirkungen auf die eingekauften Dienstleistungen, IT-Systeme und umgesetzte Maßnahmen haben könnten. Hinzu kommt, dass im Rahmen des internen Audits auch Maßnahmen beim Dienstleister überprüft werden müssen und auch damit zu rechnen ist, dass der unabhängige Zertifizierer sich ein eigenes Bild über die Umsetzung von Maßnahmen durch und insbesondere beim Dienstleister machen möchte.
Wenn durch den Dienstleister mehrere Kunden betreut werden, können die für oder mit jedem Kunden durchzuführenden internen und externen Audits auch beim Dienstleister zu beachtlichen Mehraufwänden führen. Für jedes Audit kann schnell mit 1-2 vor Ort Tagen für die Durchführung der Prüfung gerechnet werden, für die jeweils verschiedene und ggf. mehrere Ansprechpartner beim Dienstleister verfügbar sein müssen. Hinzu kommen wahrscheinlich noch mehrere Tage zur Planung und Vorbereitung der Audits.
4. Fazit
Sollen durch den Einsatz eines SaaS-Dienstleisters für die Gateway-Administration die Aufwände für den GWA deutlich reduziert werden, so sollte darauf geachtet werden, dass dieser Dienstleister über ein ISO 27001 oder IT-Grundschutz-konformes ISMS verfügt, in dem die TR-03109-6 berücksichtigt wird. Zudem sollte genau geklärt werden, welche Aufgaben und Tätigkeiten sowie welche der notwendigen Schutz-Maßnahmen vom Dienstleister und welche vom Auftraggeber umzusetzen sind.
Für den SaaS-Dienstleister mit einer Vielzahl von Kunden sollte die Zertifizierung daher nicht als zusätzlicher Aufwand gesehen werden, sondern als sinnvolle Investitionen um den Mehrwert der angebotenen Dienstleistung für die Kunden zu erhöhen und um gleichzeitig die eigenen Aufwände durch zusätzliche Auditierungen von Kunden und Zertifizieren zu reduzieren.
Verwandte Artikel:
Alles Rund um die Smart Metering PKI
Änderungen durch die neue SM-PKI-Policy