Beitrag

BSI TR 03109-6 veröffentlicht Di 26.01.2016

Gateway Administration auf E-world: Details zur 03109-6

Welche Anforderungen bei der Administration von Smart Meter Gateways umzusetzen sind, normiert die Technische Richtlinie TR-03109-6. In diesem Beitrag stellen wir die Anforderungen kurz vor.

Zum Hintergrund: Smart Meter Gateways sind ein zentrales Element zur Energiewende. Da Gateways den Energieverbrauch sehr viel granularer als heutige Zähler messen können, sind Datenschutz-Anforderungen umfangreich berücksichtigt worden. Daneben sind aus Gründen der Versorgungssicherheit selbstverständlich auch Anforderungen der Informationssicherheit sehr intensiv beachtet worden. Diese hohen Anforderungen der Smart Meter Gateways an Datenschutz und Informationssicherheit gelten dabei nicht nur für die Gateways selber, sondern sind auch bei ihrer Administration zu beachten. Die Anforderungen an die Smart Meter Gateway Administration sind jetzt in der Technischen Richtlinie TR-03109-6 des BSI veröffentlicht worden. Die Technische Richtlinie TR 03109 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfasst verschiedene Regelungen zu den Smart Meter Gateways. Darin sind sowohl Interoperabilitätsanforderungen zu den Gateways und Aspekte der Kryptographie als auch Anforderungen zur Smart Meter PKI und zur Administration enthalten. Die vormaligen Anforderungen aus TR 03109-1 Anlage V wurden nunmehr in Teil 6 überführt und final veröffentlicht.

Die TR 03109-6 gliedert sich grob in drei Teile:

-          In Kapitel 3 der TR werden Anwendungsfälle des Smart Meter Gateway Administrators genannt.

-          Die umzusetzenden Sicherheitsanforderungen an den Admin-Betrieb werden in Kapitel 4 formuliert.

-          Die TR sieht einen unabhängigen Nachweis, dass die Anforderungen umgesetzt sind, in Form eines Zertifikates vor, dazu sind in Kapitel 5 Aspekte zur Auditierung und Zertifizierung normiert.

Dem Smart Meter Gateway Administrator werden folgende Anwendungsfälle zugewiesen:

Verbindungsaufbau: Das Sicherheitskonzept für die Gateways sieht vor, dass sich das Gateway stets bei zugelassenen Beteiligten meldet, nicht umgekehrt. Einzige Ausnahme ist der Gateway Administrator, der das Gateway durch einen Wake-Up-Befehl „wecken“ kann und damit quasi um einen Rückruf bittet.

Dienste: Die Dienste des Administrators sind

-          die Zeitsynchronisation,

-          der Empfang und die Auslieferung von Messwerten – auch an externe Marktteilnehmer -,

-          der Empfang von Alarmen und Nachrichten des Gateways,

-          die Kommunikation zwischen externen Marktteilnehmern (EMT) und an das Gateway angeschlossenen lokalen Systemen – sogenannten Controllable Local Systems (CLS) – ,

-          der Firmware-Download.

Administration und Konfiguration: Zur Administration und Konfiguration der Smart Meter Gateways durch den Administrator zählen

-          das Bereitstellen von Firmware-Updates,

-          das Verwalten der Konfigurationsprofile in den Gateways,

-          das Schlüssel- und Zertifikatsmanagement,

-          das Senden eines Wake-Up-Paketes, um die Verbindung zu einem Gateway herzustellen,

-          das Löschen von Logs sowie

-          die Bereitstellung der initialen Konfigurationsdatei für die „Vor-Personalisierungs“-Phase.

Monitoring: Regelmäßige Tätigkeiten des Smart Meter Gateway Administrators sind

-          das Auswerten der Nachrichten des Gateways,

-          das Lesen und Speichern der Protokolldaten des Gateways,

-          das Starten eines Selbsttests und

-          die Protokollierung der Administrationstätigkeiten.

Unterstützung der Messwertverarbeitung: Der Gateway Administrator kann die Kommunikation zwischen Gateway und EMT unterstützen, etwa für tarifierte Messwerte, Netzzustandsdaten, Wechsel von Tarifstufen, Abruf von Messwerten bei Bedarf oder das Auslesen der Ist-Einspeiseleistung.

Fehlerbehandlung: Ferner ist der Gateway Administrator für die Behandlung von Fehlern zuständig.

Zentraler Bestandteil der Technischen Richtlinie sind die Sicherheitsanforderungen an den Betrieb eines Smart Meter Gateway Administrators – auch „GWA“ oder „SMGW Admin“ genannt.

Grundsätzlich wird ein Informationssicherheits-Managementsystem (ISMS) für den GWA vorausgesetzt, also ein De-facto-Standard zur Informationssicherheit. Mit „ISO/IEC 27001“ und „ISO 27001 auf der Basis von IT-Grundschutz“ werden zwei anerkannte Standards zur Wahl gestellt. Im Hinblick auf den IT-Sicherheitskatalog der Bundesnetzagentur, der für Netzbetreiber ein ISMS gem. ISO/ IEC 27001 fordert, verspricht womöglich die internationale Ausprägung von ISO 27001 – häufig als 27001 „native“ bezeichnet – mehr Synergieeffekte.

Ein ISMS gem. ISO 27001 reicht allerdings nicht aus, denn der Gateway Administrator muss die Anforderungen dieser Technischen Richtlinie erfüllen. Hintergrund ist, dass die Smart Meter Gateways gegen ein hohes Angriffspotential geprüft werden. Im Sinne eines ganzheitlichen Sicherheitskonzeptes muss dieses Sicherheitsniveau der Gateways auch für die Administration gelten, von wo aus typischerweise sehr viele Gateways angegriffen werden könnten. Dieser Gedanke ist in der TR entsprechend umgesetzt; nach dem Motto: Vom Geiste her ist die Gateway Administration eher als Trust Center denn als Call Center anzusehen. Aus diesem Grund werden in der TR spezifische Bedrohungen behandelt und Mindest-Sicherheitsmaßnahmen formuliert.

Dazu werden zunächst Schutzziele für die verschiedenen Assets definiert. Assets werden als „werthaltige Objekte“ definiert, also Objekte, die für den Gateway Administrator „von Wert sind“. Darunter fallen beispielsweise die gesetzliche Zeit, Alarme und Nachrichten, Firmware-Updates, Kommunikationsprofile, Zertifikate, Schlüssel, Wake-Up-Pakete, Konfigurationsdateien, Log-Einträge, Messwerte oder Kommunikationsverbindungen.

Danach werden Bedrohungen identifiziert, dies sind GWA-spezifische, aber auch übergreifende Bedrohungen. Die GWA-spezifischen Bedrohungen gehen direkt auf die zuvor aufgeführten Assets ein. Demgegenüber werden bei übergreifenden Bedrohungen typische Szenarien der Informationssicherheit betrachtet. Hier wird beispielsweise genannt:

-          mangelhafte Konformität zur TR;

-          Implementierungsfehler in der Software (GWA-Admin-Software);

-          fehlende Nachvollziehbarkeit von Aktionen;

-          Mängel in den technisch-organisatorischen Maßnahmen (Zutritts-, Zugangs-, Zugriffskontrolle);

-          unzureichende Beachtung des Datenschutzes;

-          Mängel bzgl. Aufbewahrung sowie Zugriffsregelungen;

-          Mängel bzgl. Löschung und Vernichtung von Daten;

-          ungesicherte Betriebsdaten;

-          ungesicherte Kommunikationsverbindungen;

-          Mängel bei Planung zum Betrieb;

-          Mängel bei Schulung, Sensibilisierung oder Qualifikation.

Die Bedrohungen sind in einem originären Sinne beschrieben, ohne dass hierbei also bereits etablierte Maßnahmen berücksichtigt wurden.

Diese strukturierte Ist-Aufnahme ist die Vorbereitung für die daran anschließende Auflistung von Mindest-Maßnahmen, die damit auch eine Begründung liefert. Die in der TR vorgeschriebenen Mindest-Maßnahmen umfassen beispielweise folgende Punkte:

-          Dokumentation von Prozessabläufen und Verantwortlichkeiten;

-          Sensibilisierung der Mitarbeiter;

-          Inferenzprävention: Realisierung eines Need-To-Know-Prinzips;

-          Rollen- und Rechtekonzept: Realisierung einer Funktionstrennung mit Etablieren der Rollen Fachanwender, Administratoren der GWA-Software und Systemadministration;

-          Regelungen zur Vorhaltezeit und Aufbewahrungsdauer von Daten;

-          SMGW Admin Software und Frontend SMGW Admin Software: Auswahl geeigneter Produkte, Abnahme- und Freigabeverfahren, Nutzungsort des GWA-Clients, Datenbanksicherheitskonzept, Sicherstellung der Integrität, Protokollierung, Prozessausgestaltung mit -freigabe;

-          Regelungen für Wartungs- und Reparaturarbeiten: sowohl Inhouse als auch extern oder remote;

-          Entwicklung und Umsetzung eines Anbindungskonzeptes zu den Kommunikationspartnern;

-          Einsatz Zeitserver mit gesetzlicher Zeit: Einbindung der Uhr der PTB mit hoher Verfügbarkeit;

-          Netzsegmentierung und -trennung: sehr dezidierte Anforderungen zur Absicherung des Netzes für den GWA-Admin-Betrieb;

-          Integritätsschutz von IT-Systemen und IT-Komponenten;

-          Dienstsegmentierung: mit Einsatz von Virtualisierungslösungen;

-          Einsatz eines oder mehrerer Protokollierungsserver

-          Penetrationstest: regelmäßige Penetrationstests durch einen beim BSI zertifizierten Penetrationstester (IT-Sicherheitsdienstleister des BSI);

-          Reaktion auf Verletzung der Sicherheitsvorgaben;

-          Aufrechterhaltung der Informationssicherheit: Etablieren eines Informationssicherheits-Managementsystems mit internen Audits und kontinuierlichem Verbesserungswesen;

-          Regelungen für den Einsatz von Fremdpersonal;

-          Schlüsselmanagement mit mehrfach redundanter Speicherung privater Schlüssel;

-          SMGW Firmware Update mit regelmäßiger, mindestens täglicher Prüfung und ggf. unverzüglicher Einspielung;

-          Notfallkonzept.

Eine vollständige Auflistung der Mindest-Maßnahmen ist aufgeführt in der TR 03109-6.

Auf zwei Sachverhalte soll hier besonders eingegangen werden:

-          Wo kann man den GWA-Client betreiben?

-          Lässt sich ein zertifiziertes Rechenzentrum einbinden?

Für den GWA-Client, auf dem das Frontend der Administrations-Software läuft, werden in der TR hohe Anforderungen gestellt – sowohl bezogen auf die physikalische als auch logische Abtrennung von anderen Bereichen: „Die Benutzeroberfläche der SMGW Admin Software darf ausschließlich auf/ von IT-Systemen genutzt werden, die sich seit ihrer Installation unterbrechungsfrei an einem Betriebsort des SMGW Admin befinden, fortwährend einem Zugangs- und Zutrittsschutz gegenüber Unberechtigten erfuhren und ausschließlich am zu diesem Zweck bestimmten Teilnetz […] angeschlossen waren und sind. Die Nutzung der Benutzeroberfläche einer SMGW Admin Software an einem häuslichen Arbeitsplatz ist zu untersagen. Mobile Geräte dürfen ausschließlich stationär innerhalb der vom ISMS erfassten Betriebsorte des SMGW Admin genutzt werden. […] IT-Systeme auf denen die Benutzeroberfläche einer SMGW Admin Software […] betrieben werden, müssen in einem eigenen Teilnetz betrieben werden. Dieses Teilnetz darf gegenüber anderen Teilnetzen nur die minimal notwendigen und zu begründenden Netzkoppelungen und Kommunikationsbeziehungen aufweisen.“

Zum Thema Outsourcing wird häufig das Modell diskutiert, die Gateway-Administrations-Software in einem Rechenzentrum zu betreiben, das nach ISO 27001 zertifiziert ist. Dies kann für das Informationssicherheits-Managementsystem (ISMS) des Gateway Administrators Vorteile bedeuten, weil beispielsweise Aspekte zu den Servern an anderer Stelle auditiert werden, bedeutet aber andererseits nicht, dass auf ein eigenes ISMS verzichtet werden kann. Denn:

-          der Smart Meter Gateway Administrator muss ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) für die Administration der Smart Meter Gateways betreiben;

-          verantwortlich bleibt der Gateway Administrator,

-          auch wenn er Teilaspekte auslagert.

Es ist vorgesehen, dass ein Smart Meter Gateway Administrator die Erfüllung der Anforderungen aus der TR 03109-6 durch eine unabhängige Auditierung und Zertifizierung nachweisen muss. Es ist also ein Zertifikat gem. ISO/IEC 27001 oder ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz erforderlich. Je nach Standard ist eine bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Zertifizierungsstelle oder das BSI als Zertifizierungsstelle eingebunden. Wichtig: Unabhängig vom Standard muss der Auditor, der die Erfüllung gegen die TR 03109-6 prüft, beim BSI als Auditor für diese TR selber zertifiziert sein (Personenzertifizierung). Damit soll sichergestellt werden, dass der Auditor über eine hinreichende Kompetenz zur Auditierung von Smart Meter Gateway Administratoren hat.

Wie diese ergänzenden Anforderungen in die ISO 27001-Systematik zu integrieren sind, dazu sind zwei Ansätze denkbar:

-          Für ISO/IEC 27001 können die Mindest-Maßnahmen aus der TR 03109-6 als anzuwendende Controls herangezogen und in das Statement of Applicability (SOA) aufgenommen werden. Darüber sind diese dann in den PDCA-Zyklus integriert und werden im internen Audit berücksichtigt.

-          Für ISO 27001 auf der Basis von IT-Grundschutz können die Mindest-Maßnahmen aus der Technischen Richtlinie in die ergänzende Sicherheitsanalyse und anschließend in die Risikoanalyse gemäß BSI-Standard 100-3 aufgenommen und bearbeitet werden.

-          Zweckmäßig für beide Standards wäre eine Mapping-Tabelle von Mindest-Maßnahmen aus der TR auf Controls bzw. IT-Grundschutz-Maßnahmen, da hier häufig ähnliche oder verwandte Sachverhalte adressiert werden.

Fazit: Die Administration der Smart Meter Gateways ist nicht trivial. Für ein ganzheitliches Sicherheitsniveau sind nicht nur die Gateways gegen eine hohes Angriffspotential zu schützen, sondern auch ihre Administration. Dazu ist mindestens ein strukturierter Ansatz im Sinne eines Informationssicherheits-Managementsystems (ISMS) erforderlich, dessen Einhaltung durch ein ISO 27001-Zertifikat nachzuweisen ist. Ferner sind spezifische Mindest-Maßnahmen zu berücksichtigen. Mit der veröffentlichten Technischen Richtlinie TR 03109-6 liegen die Anforderungen an den Smart Meter Gateway Administrator nunmehr vor.

Die datenschutz cert GmbH hat an der TR mitgewirkt, die auf den Webseiten des BSI als Download verfügbar ist.

Von Dr. Sönke Maseberg in der Rubrik Smart Meter, cert News