< E-world öffnet ihre Pforten, datenschutz cert ist dabei Mi 08.02.2017 Eilmeldung: datenschutz cert als erste Zertifizierungsstelle gem. IT-Sicherheitskatalog akkreditiert >

E-world 2017: Smart Meter Mehrwertdienste erobern den Markt

Beim Smart Metering fällt eine riesige Menge sensibler Daten an. Jeder Teilnehmer an diesem System – ob er die Daten erhebt, nur weitergibt oder sie nutzt – ist eine potentielle Schwachstelle.

Unabhängige Prüfungen und Zertifizierungen sollen daher ein einheitlich hohes Sicherheitsniveau gewährleisten. Aktuell laufen die Vorbereitungen der Stadtwerke und anderer Energienetzbetreiber auf Hochtouren, die für sie geforderte Zertifizierung gemäß IT-Sicherheitskatalog zu erlangen. Weitere externe Marktteilnehmer entdecken nun, dass auch sie möglicherweise nur „mitspielen“ dürfen, wenn Sie entsprechende Zertifikate nachweisen. 

Zu den externen Marktteilnehmern zählen auch die Anbieter von sogenannten Mehrwertdiensten wie zum Beispiel Energie-Apps für den Endkunden oder Steuerboxen für die Schaltung und das individuelle Ansteuern von Erzeugungsanlagen. Auf der diesjährigen E-world in Essen werden unter dem Stichwort Mehrwertdienste einige Szenarien gezeigt.

„Muss ein Externer Marktteilnehmer geprüft werden?“

 – Diese Frage haben wir am ersten Messetag häufig an unserem Stand auf der E-world gehört. Die Antwort gibt die „Certificate Policy der Smart Metering PKI“ des BSI, seit Dezember 2016 neu veröffentlicht in Version 1.1., denn wenn der Externe Marktteilnehmer (EMT) mit einem Smart Meter Gateway kommunizieren möchte, muss er ein Public-Key-Zertifikat der Smart Metering SubCA aufweisen. Und hierfür sind die Regelungen der Certificate Policy (CP) relevant.

Was fordert diese Richtlinie vom Externen Marktteilnehmer? Zunächst einmal unterscheidet sie, ob es sich um einen aktiven EMT oder einen passiven EMT handelt. Ein aktiver EMT nutzt laut Definition der Certificate Policy ein Smart Meter Gateway, um darüber nachgelagerte Geräte (Controllable Local Systems, CLS) anzusprechen. Demgegenüber empfängt der passive EMT nur Daten, um auf Basis dieser Informationen die eigenen Geschäftsprozesse fortzuführen, ohne selbst nachgelagerte Geräte anzusprechen oder zu steuern. Da der aktive EMT steuernden Einfluss auf das Smart Meter Gateway hat, gelten höhere Anforderungen als für den passiven EMT: Der aktive EMT muss ein ISO/IEC 27001-Zertifikat aufweisen. Der passive EMT lediglich ein Sicherheitskonzept. 

Das Sicherheitskonzept für den passiven Externen Marktteilnehmer 

Eine weitere Frage, die wir auf der E-world gehört haben: „Wie muss ein Sicherheitskonzept für einen passiven EMT erstellt werden?“ Aus unserer Sicht ist es wichtig, sich bei der Erstellung des Sicherheitskonzepts eines anerkannten Standards zu bedienen – etwa ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz. Der Geltungsbereich sollte klar definiert und alle relevanten Werte (Assets) im Sicherheitskonzept aufgenommen sein. Sinnvoll ist es dabei, den Geltungsbereich zunächst strikt auf den Bereich des EMTs zu beschränken. Typischerweise werden dann nach einer anschließenden Risikoanalyse  Maßnahmen definiert, umgesetzt und dokumentiert, die für die Sicherheit des EMTs relevant sind. Hilfreich sind dabei die Controls der ISO 27002 oder die BSI-IT-Grundschutz-Kataloge. 

Haben auch Sie Fragen zum externen Marktteilnehmer?

Stellen Sie sie uns! Gerne auf der E-world: Sie finden uns bis zum 9.2. in Essen in Halle 6 am Stand 6-211.  

Unser Team vor Ort