Motivation

Das Smart Meter Gateway ist die zentrale Komponente für die Kommunikation zwischen intelligenten Zählern (Local Metrological Network – LMN), Systemen im Haus (Home Area Network – HAN) und Externen Marktteilnehmern (EMTs - etwa den Stadtwerken, Verteilnetzbetreibern oder Messstellenbetreibern).

Die Administration des Smart Meter Gateways erfolgt ausschließlich über den Smart Meter Gateway Administrator (GWA). Die Kommunikation ist abgesichert über die Smart Metering Public Key Infrastruktur (SM-PKI), in der sogenannte Smart Meter Certification Authorities (CAs) die benötigten X.509-Zertifikate zur Verfügung stellt.

 

Die nachfolgende Graphik illustriert das Zusammenspiel der Beteiligten.

Der Bereich der Smart Meter Gateways - sowohl was die Geräte selber als auch den Betrieb angeht - ist durch umfangreiche Richtlinien geregelt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat innerhalb der Technischen Richtlinie BSI-TR-03109 verschiedene Anforderungsdokumente und Testspezifikationen veröffentlicht.

Die Technischen Richtlinien normieren sowohl inhaltliche Anforderungen als auch Anforderungen an die Art der Prüfung und Zertifizierung.  

Was muss nun ein Smart Meter Gateway Administrator umsetzen? 

  • Etablierung eines Informationssicherheits-Managementsystems (ISMS), das die Anforderungen von ISO/IEC 27001 oder IT-Grundschutz sowie der BSI TR-03109-6 berücksichtigt
  • Auditierung und Zertifizierung
  • regelmäßige Penetrationstests durch IT-Sicherheitsdienstleister/ zertifizierte Penetrationstester

Und was ist für eine Smart Meter Certification Authority relevant?

  • Gleichfalls wird ein ISMS erwartet, das folgende Anforderungen berücksichtigt:

    • ISO/IEC 27001 oder IT-Grundschutz
    • BSI TR-03145 „Secure CA Operation“

  • Auditierung und Zertifizierung

Welche Regelung gilt für einen aktiven Externen Marktteilnehmer (EMT)?

  • Ein aktiver EMT nutzt laut Definition der Certificate Policy ein Smart Meter Gateway, um darüber nachgelagerte Geräte (Controllable Local Systems, CLS) anzusprechen.
  • Ein aktiver EMT muss ein Informationssicherheits-Managementsystems (ISMS) etablieren.
  • Auditierung und Zertifizierung des ISMS gem. ISO/IEC 27001.

Die BSI-Richtlinien sind auf den Webseiten des  BSI verfügbar.