Die Smart-Meter-PKI: Auswirkungen und (weitere) Zertifizierungspflichten für Marktteilnehmer

D
Download PDF
© BBH

Der Startschuss für den Rollout von intelligenten Messsystemen ist zum 24.2.2020 nach Erlass der eingeschränkten Marktverfügbarkeitserklärung gefallen, und die verantwortlichen Netz- und Messstellenbetreiber müssen den Rollout jetzt angehen (wir berichteten). Für die Gruppe mit 6.000 kWh–100.000 kWh Jahresverbrauch ist der Einbau verpflichtend. Aber auch für Erneuerbare-Energien- und Kraft-Wärme-Kopplungs-Anlagen ist die Einbauverpflichtung zumindest absehbar.

Die Digitalisierung wird nicht nur für die Messung von Energie, sondern auch für die Steuerung von dezentralen Erzeugungsanlagen relevant. Doch wie sicher sind eigentlich die Daten und Prozesse der teilnehmenden Marktpartner im Regelbetrieb von intelligenten Messsystemen vor Angriffen und Cyberkriminellen? Die kurze Antwort: sehr sicher!

Grund dafür ist das gewählte Modell der Public Key Infrastructure (PKI) für die Verbindung der Smart-Meter-Gateways (SMGW) zu einem autorisierten Marktteilnehmer. Ohne dabei zu sehr ins Detail zu gehen: Die Idee einer PKI ist, dass eine zentrale Zertifizierungsstelle (Certificate Authority, kurz CA) eine gegenseitige Authentisierung mittels Zertifikaten zwischen zwei Endnutzern sicherstellt, so dass diese über verschlüsselte Kommunikationskanäle Daten austauschen zu können.

Aufbau der Smart-Meter-PKI

Bei der Smart-Meter-PKI fungiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Vertrauensanker und zentrale Zertifizierungsstelle, auch Root-CA genannt. Darunter übernehmen private Unternehmen (Sub-CAs) die Betreuung der Marktteilnehmer und sind zur Ausstellung von Zertifikaten für die Endnutzer autorisiert. Zu den Endnutzern selbst gehören:

  • • Smart Meter Gateways,
  • • Gateway-Administratoren,
  • • Gateway-Hersteller,
  • • externe Marktteilnehmer (EMT) wie Netzbetreiber, Lieferanten und Messstellenbetreiber.

Bei Letzteren wird zusätzlich zwischen aktiven und passiven EMT unterschieden. Dabei nutzt ein aktiver EMT – z.B. ein Netzbetreiber – ein SMGW, um über dieses nachgelagerte Geräte (CLS) anzusprechen, während ein passiver EMT keine nachgelagerten Geräte steuert, sondern nur Daten empfängt und die eigenen Geschäftsprozesse ausführt.

Auswirkungen auf Netzbetreiber, Lieferanten und Messstellenbetreiber

Um den sicheren Regelbetrieb von Smart Meter Gateways zu gewährleisten und Schwachstellen auf ein Minimum zu reduzieren, müssen alle Teilnehmer der Smart-Meter-PKI selbst ein gewisses Maß an IT-Sicherheit vorhalten und sich zertifizieren lassen. Festzustellen ist jedoch, dass einige Marktteilnehmer sich um die Herstellung dieser Sicherheit noch nicht gekümmert haben, z.B. weil sie sich noch nicht für einen SMGW-Administrator entschieden haben (Marktrolle MSB) oder bisher noch nicht unmittelbar mit einem Smart Meter Gateway kommunizieren mussten (Marktrollen Netzbetreiber, Lieferant).

Aktive EMT sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001 einzuführen. Davon betroffen ist jeder Netzbetreiber sowie jeder Lieferant/Händler, welcher Erzeugungsanlagen fernwirktechnisch steuert. Das verpflichtet die Unternehmen daher nachzuweisen, dass alle Anforderungen aus [TR-03109-4] und der Certificate Policy für die Smart-Meter-PKI hinsichtlich der PKI-relevanten Geschäftsprozesse und IT-Systeme (bei Beantragung, Empfang und Nutzung von Schlüsseln und Zertifikaten) eingehalten werden.

Ein passiver EMT muss indessen ein Sicherheitskonzept erstellen, welches i.d.R. einen geringeren Umfang aufweist, aber dennoch den Anforderungen aus der Smart-Meter-PKI-Policy genügt.

Ausblick: Marktkommunikation als Teil der Smart-Meter-PKI

Nach dem Fahrplan für die weitere Digitalisierung der Energiewende soll der Anwendungsbereich der SM-PKI zudem im Jahr 2022 auf die Absicherung der Marktkommunikation ausgedehnt werden. Gegenwärtig sind die vom BSI ausgestellten elektronischen Zertifikate noch nicht vereinbar mit der vorhandenen Übertragungstechnik in der Marktkommunikation. Bis zum Zieljahr 2022 soll es Lösungen geben, um die Zertifikate mit den durch die Bundesnetzagentur (BNetzA) festgelegten EDI@Energy – Regelungen zum Übertragungsweg kompatibel zu machen, wird die Datenübertragung auch im Rahmen der „MaKo 2020“ zukünftig über die SM-PKI-Infrastruktur abgesichert. Das bedeutet für alle Teilnehmer an der Marktkommunikation die jeweiligen Sicherheitsanforderungen aus der SM-PKI zu erfüllen. Auch solche Marktrollen, die die Sicherheitsstandards eingeführt haben, werden diese auf die Marktkommunikation erweitern müssen.

Agieren statt Reagieren

Die Integration der SM-PKI zur Absicherung der Smart Meter Gateways und (zukünftig) der Marktkommunikation erhöht damit deren Relevanz im Zuge der Digitalisierung in der Energiewende. Es empfiehlt sich daher für betroffene Unternehmen, sich frühzeitig mit den technischen und organisatorischen Hürden auseinanderzusetzen und die Voraussetzungen sowie Zertifizierungspflichten aus der Certificate Policy der SM-PKI umzusetzen.

Der Leitsatz „Agieren statt Reagieren“ gilt in diesem Fall doppelt, da zum einen die SM-PKI im Zuge der Digitalisierung immer wichtiger wird und eine Teilnahme am Wettbewerb ohne die Umsetzung der Voraussetzungen mittelfristig gefährdet sein könnte. Aber auch weil zum anderen das Sicherheitsniveau deutlich gesteigert wird, was bei der aktuellen Bedrohungslage mit 114 Mio. neuen Schadprogramm-Varianten im vergangenen Jahr 2019 (lt. BSI) auch notwendig ist.

Ansprechpartner BBHC: Stefan Brühl
Ansprechpartner BBH: Dr. Jost Eder/Jan-Hendrik vom Wege

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender