Smart Meter

Ein zentrales Element der Energiewende sind intelligente Stromzähler – sogenannte Smart Meter. Die Anforderungen an Smart Metering sind hoch: Einerseits muss der Datenschutz gewahrt werden, andererseits muss die Versorgungssicherheit gegeben sein. Dies betrifft sowohl die Smart Meter Gateways als auch die Einsatzumgebung, d.h. Smart Meter Gateway-Administratoren und die Trust Center (Smart Meter-CA).

Zum Thema Smart Meter gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) u.a. die Technische Richtlinie BSI TR-03109 sowie die Certificate Policy für die Smart Metering PKI heraus. Diese Anforderungen betreffen

• den Smart Meter Gateway Administrator (SMGW-Admin, GWA)
• die Smart Meter SubCA für die technischen x.509 Zertifikate sowie
• aktive Externe Marktteilnehmer (EMT).

Vom Smart Meter Gateway-Administrator (kurz SMGW-Admin oder GWA) wird ein Informationssicherheits-Managementsystem (ISMS) erwartet, das geprüft und zertifiziert ist:

• gemäß ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz und
• gemäß BSI TR-03109-6
• durch einen gemäß TR-03109-6 beim BSI zertifizierten Auditor.
• Ferner sind regelmäßige Penetrationstests durch beim BSI zertifizierten Sicherheitsdienstleister durchzuführen.

Für die sichere Kommunikation der Smart Meter Gateways wird Public-Key-Infrastructure (PKI)-Technik eingesetzt. Elektronische Zertifikate für Gateways, SMGW-Admins und externe Marktteilnehmer werden von einer Smart Meter-CA (Sub-CAs) ausgestellt. Smart Meter-CAs müssen alle Funktionalitäten einer Zertifizierungsstelle (Certification Authority – CA) bereitstellen:

• Betrieb von Registrierungsstellen (Registration Authority – RA) für die Beantragung von Zertifikaten
• Ausstellen von Zertifikaten für registrierte Teilnehmer
• Auskunftsdienst für ausgestellte Zertifikate sowie
• Sperrdienst für zurückgezogene Zertifikate.

Smart Meter-CAs müssen ebenfalls geprüft und zertifiziert werden:

• gemäß ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz und
• gemäß BSI TR-03145 „Secure CA Operation“
• durch einen gemäß TR-03145 beim BSI zertifizierten Auditor.

Ferner müssen aktive Externe Marktteilnehmer (aktive EMTs), die mit einem Smart Meter Gateway steuernd kommunizieren möchten, ein ISO 27001 konformes ISMS betreiben und die Umsetzung über ein ISO 27001-Zertifikat nachweisen. Für passive Externe Marktteilnehmer genügt ein Sicherheitskonzept.

Zunächst einmal ist aufgrund der gesetzlichen Anforderungen eine Prüfung und Zertifizierung notwendig für den Marktzutritt.

Eine unabhängige Prüfung bietet aber auch weitere Vorteile:

• Erwiesenermaßen wird ein Produkt besser, wenn es von unabhängigen Experten begutachtet und getestet wird. Dies führt häufig dazu, dass ein Produkt weniger Fehler aufweist und seltener einem Update unterzogen werden muss. Dies gilt prinzipiell auch für die Entwicklungs- und Produktionsumgebung, die ab einer bestimmten Evaluierungsstufe mitbetrachtet wird.
• Durch das Etablieren eines Informationssicherheits-Managementsystems (ISMS) werden die internen Prozesse und Verfahren besser und effizienter. Da ein etabliertes ISMS kaum Mehraufwand bedeutet, können durch ein funktionierendes ISMS Effizienzgewinne erzielt werden. Steigern lässt sich dies erfahrungsgemäß durch eine unabhängige Begutachtung und Zertifizierung.
• Durch den ganzheitlichen Ansatz und die Prozessorientierung erhalten Sie einen guten Überblick über die Informationssicherheit in Ihrem Verantwortungsbereich. Sie können das "Maß" Ihrer Informationssicherheit messen und steuern - was auch Ihr Haftungsrisiko verringern kann.

Wir sind bei der Deutschen Akkreditierungsstelle (DAkkS) selbst als ISO/IEC 27001-Zertifizierungsstelle akkreditiert. Daneben sind unsere Experten als Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz beim BSI zertifiziert. Derzeit stellen wir eines der GS-Zertlabs und führen in dieser Rolle für das BSI die Prüfbegleitung von IT-Grundschutz-Verfahren durch.

Auditoren der datenschutz cert GmbH sind beim BSI für die TR-03109-6 zertifiziert und dürfen TR-03145 „Secure CA Operation“-Prüfungen durchführen. Ferner sind wir beim BSI zertifizierter Sicherheitsdienstleister für Penetrationstests.