Beitrag

IT-Sicherheitskatalog für Netzbetreiber: Änderungen bei Betriebsführung durch Dritte Di 23.03.2021

Was für ein Paukenschlag! Das Oberverwaltungsgericht Münster stoppt die Einbau-Verpflichtung für den Smart Meter-Rollout!

Eigentlich sollte das Smart Metering jetzt so richtig losgehen, jetzt wo nach Jahren der Vorbereitung endlich drei zertifizierte Smart Meter Gateways vorhanden sind. Smart Meter Gateways sind laut Wikipedia „die zentrale Kommunikationseinheit eines Intelligenten Messsystems, welches nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Die Hauptaufgabe des Smart Meter Gateways ist die sichere Datenübertragung im intelligenten Messsystem.”

Im Messstellenbetriebsgesetz ist als Voraussetzung für den Start der Smart Meter-Einbauverpflichtung genannt, dass drei voneinander unabhängige Gateways zugelassen sein müssen. Dies ist seit Februar 2020 gegeben.

Und genau dagegen hat nun – lt. Webseite des Oberverwaltungsgerichts NRW – „ein privates Unternehmen aus Aachen“ Beschwerde eingelegt. Und Recht bekommen. Auf den Webseiten des BSI findet sich übrigens eine Entgegnung.

Doch worum geht es genau?

Kurzfassung der Darstellung des Oberverwaltungsgerichtes unter dem Aktenzeichen: 21 B 1162/20:

  • Das Messstellenbetriebsgesetz (MsbG) und die Technischen Richtlinien normieren die Interoperabilitätsanforderungen nicht – wie eigentlich gesetzlich vorgeschrieben.
  • Deshalb können Messsysteme danach nicht zertifiziert werden.
  • Dass Smart Meter Gateways den Anforderungen der Anlage VII der TR-03109-1 genügen würden, reicht nicht aus.
  • Diese Anlage VII sei nicht „ordnungsgemäß zustande gekommen, weil die vorgeschriebene Anhörung des Ausschusses für Gateway-Standardisierung nicht erfolgt sei.“
  • Ferner sei die Anlage VII auch „materiell rechtswidrig“, da sie unvollständig sei.

In diesem Beitrag wollen wir mit Blick auf die veröffentlichten Technischen Richtlinien (TRs) versuchen, diese Begründung ein Stück weit nachzuvollziehen. Denn: Mir liegen neben den im Web veröffentlichten Informationen keine weiteren zur Verfügung, also insbesondere keinerlei Insider-Wissen.

Starten wir unsere Recherche mit dem Messstellenbetriebsgesetz.

§24 MsbG behandelt die Zertifizierung von Smart Meter Gateways.

Danach müssen Smart Meter Gateways gemäß Common Criteria (CC) evaluiert und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sein. Grundlage für diese CC-Evaluierung ist ein Schutzprofil, dessen Funktionsumfang in §22 MsbG beschrieben ist.

Und dann der wichtige Passus aus §24 Abs. 1 MsbG: „Der Zeitpunkt der Nachweispflicht zur Interoperabilität wird durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt und nach § 27 im Ausschuss Gateway-Standardisierung bekannt gemacht.“

Forschen wir also weiter und schauen, was sich hinter §27 MsbG verbirgt. Wir erfahren dort, dass „weitere Schutzprofile und Technische Richtlinien“ sowie deren Weiterentwicklungen vom BSI erarbeitet werden. In den Prozess sind ferner Bundesnetzagentur, die Physikalisch-Technische Bundesanstalt (PTB) sowie der Bundesdatenschutzbeauftragte (BfDI) einbezogen. Und dann: Es ist der „Ausschuss Gateway-Standardisierung“ anzuhören.

Wer ist dieser Ausschuss Gateway-Standardisierung? Auch das ist geregelt: §27 Abs. 2 MsbG erläutert dazu, dass diesem Ausschuss angehören: BMWI, BSI, PTB, BNetzA, BfDI plus Verbände. Und offenbar – wenn ich den Ausführungen des Oberverwaltungsgerichtes folge – hat diese illustre Runde eine gewisse Anlage VII nicht hinreichend abgenommen.

Was ist das nun für eine Anlage? Und was steht da drin?

Auf der TR-03109-Webseite des BSI findet sich eine Übersicht über die verschiedenen Bestandteile dieser Technischen Richtlinie:

  • BSI TR-03109 stellt ein sogenanntes „Dachdokument“ dar. Dieses bereits gut sechseinhalb Jahre alte Dokument erläutert kurz den Inhalt aller TRs. Oder zumindest derjenigen, die im November 2015 schon bekannt waren.
  • Teil 1, also BSI TR-03109-1, enthält zusammen mit verschiedenen Anlagen die eigentliche technische Spezifikation der Smart Meter Gateways. Mit Anforderungen an die Interoperabilität, den Datenformaten und verschiedenen Feinspezifikationen.

BSI TR-03109-1 Anlage VI stammt aus dem Jahre 2013 und beschreibt die Betriebsprozesse, also Inbetriebnahme, Messung, Datenübertragung, Administration, Störung und Wechsel.

Für uns hier besonders wichtig: BSI TR-03109-1 Anlage VII „Interoperabilitätsmodell und Geräteprofile für Smart-Meter-Gateways“, veröffentlicht als Version 1.0 vom 16.01.2019. In diesem 16-seitigen Dokument wird zunächst ein Interoperabilitätsmodell vorgestellt und sodann den Anforderungen der 03109-1 zugeordnet. Darüber hinaus werden Geräteprofile definiert.

Ach so, die TR-Bestandteile gehen noch weiter: Es gibt ein Testkonzept, Anforderungen an das Sicherheitsmodell, Vorgaben an die Kryptographie, Regularien an die PKI sowie Maßgaben an die Administration.

Halten wir also fest:

  • Die Anlage VII der BSI TR-03109-1 enthält zwar ein Interoperabilitätsmodell für Smart Meter Gateways. Allerdings war der Ausschuss Gateway-Standardisierung nicht ausreichend involviert. Und die Anlage VII ist „materiell rechtswidrig“ weil unvollständig.
  • Demzufolge reicht es nicht aus, dass Smart Meter Gateways die Anforderungen der Anlage VII erfüllen.
  • Und deshalb kann kein Smart Meter Gateway zertifiziert sein.
  • Und deshalb kann die Smart Meter Einbauverpflichtung nicht starten.

Aha.

Wissen Sie mehr? Lassen Sie es mich gerne wissen.

Von Dr. Sönke Maseberg in der Rubrik cert News