Bundesamt für Sicherheit in der Informationstechnik

Fragen und Antworten zum Themenbereich der TR-03109-6 Smart Meter Gateway Administration

Stand: 10.08.2017

Die nachfolgend behandelten Fragen und Antworten beschreiben Hinweise und Erläuterungen des BSI. Damit geben die FAQ das Verständnis des BSI wieder und können als Orientierungshilfe dienen.
Die Verantwortung für die rechtskonforme Umsetzung des MsbG liegt in jedem Fall bei den Unternehmen. Die mit dem MsbG verbundenen Sachverhalte sind hierbei grundsätzlich im Einzelfall zu prüfen."

Welche Aufgaben hat der SMGW Admin?

Die Anwendungsfälle des SMGW Administrators (kurz: SMGW Admin) sind in Kapitel 3 der TR-03109-6 beschrieben. Diese leiten sich aus dem gesetzlichen Rahmen (dem Messstellenbetriebsgesetz - MbsG) und der TR-03109-1 ab.

Folgende Aufgaben lassen sich stichwortartig nennen: Inbetriebnahme, Betrieb, Konfiguration, Administration, Überwachung/Monitoring und Wartung des intelligenten Messsystems.

Warum werden beim SMGW Admin Mindestanforderungen an die Informationssicherheit gestellt?

Der SMGW Admin stellt im Kontext des intelligenten Messsystems eine zentrale technische Funktion dar. Er ist verantwortlich für einen zuverlässigen technischen Betrieb des Messsystems (vgl. § 25 Abs. 1 MsbG). Aus dem oben dargestellten Aufgabenumfang lässt sich eine entsprechende Kritikalität erkennen, die es erforderlich macht, den Aspekt der Informationssicherheit bei der Konzeption der notwendigen IT angemessen zu berücksichtigen.

Wo sind diese Mindestanforderungen rechtlich verankert?

Diese Mindestanforderungen an die Informationssicherheit sind in §25 MsbG verankert und legen verbindlich fest, dass der SMGW Admin neben dem obligatorischen ISMS und der hierfür notwendigen Sicherheitskonzeption auch die in der TR-03109-6 beschriebenen Mindestanforderungen angemessen berücksichtigen muss.

Welcher Marktrolle ist die technische Funktion des SMGW Admin zugeordnet?

Der Messstellenbetrieb ist nach § 3 MsbG eine Aufgabe des grundzuständigen Messstellenbetreibers (MSB), soweit nicht eine anderweitige Vereinbarung nach § 5 oder § 6 MsbG getroffen worden ist. Die technische Funktion des SMGW Admin wurde dem MSB zugeordnet. Aus Sicht der TR-03109-6 ist es zunächst eine technische Funktion und unerheblich, welche Marktrolle diese Funktion ausübt.
Dabei sind die Aufgaben des MSB (als Marktrolle) nach § 3 MsbG und die Aufgaben des SMGW Admin nach § 25 MsbG organisatorisch und technisch klar zu trennen, d.h. der MSB hat keinen Zugang/Zugriff auf den technischen Betrieb beim SMGW Admin.

Warum ist für den SMGW Admin eine Zertifizierung gefordert?

Die Einhaltung der definierten Anforderungen zur Informationssicherheit muss als Nachweis von einer dritten unabhängigen Stelle bestätigt werden.

Was wird zertifiziert?

Die Zertifizierung umfasst den gesamten Aufgabenbereich eines SMGW Admin mit der zugehörigen technischen Infrastruktur und bezieht sich insbesondere auf den nachhaltigen Betrieb eines beim SMGW Admin vorhandenen bzw. zu etablierenden Informationssicherheitsmanagementsystems (ISMS).

Was ist ein ISMS?

Ein Managementsystem für Informationssicherheit (ISMS) legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution (bzw. der Verantwortliche für die Informations­sicherheit) die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt.
Ein ISMS ist somit zu verstehen als das geplante und organisierte Vorgehen, um ein angemessenes Sicherheitsniveau für die Informationssicherheit zu erzielen und aufrechtzuerhalten."

Ist eine Personenzertifizierung des SMGW Admin gefordert?

Nein. Gefordert ist eine Zertifizierung des Informationssicherheitsmanagementsystems beim SMGW Admin.

Muss der SMGW Admin eine Zertifizierung nach IT-Grundschutz durchführen?

Nein. Der Nachweis der Umsetzung der definierten Mindestanforderungen nach § 25 Abs. 5 MsbG kann entweder durch eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz oder alternativ durch eine Zertifizierung gemäß ISO/IEC 27001 erbracht werden.

Ist eine TR-Zertifizierung erforderlich?

Nein. Die TR-03109-6 fordert eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz oder eine Zertifizierung nach ISO/IEC 27001 in der jeweils nachzuweisen ist, dass die Mindestanforderungen aus der TR-03109-6 im ISMS berücksichtigt und angemessen ausgestaltet wurden.

Bis wann muß der SMGW Admin die geforderte Zertifizierung nachweisen?

Die TR-03109-6 gibt keinen Zeitpunkt vor, zu dem der SMGW Admin zertifiziert sein muss. Ein SMGW Admin muss das entsprechende Zertifikat jedoch zur Teilnahme an der Smart Metering PKI nachweisen (siehe Certificate Policy der SM-PKI).

Wer ist in der Zertifizierungspflicht nach § 25 MsbG?

Der verantwortliche GWA nach § 25 Absatz 1 MsbG kann den technischen Betrieb des intelligenten Messsystems an einen Dritten outsourcen (vgl. § 2 Ziffer 20 MsbG). Aus der Marktbegleitung hat das BSI bisher folgende Realisierungen bzw. Umsetzungen eines GWA-Betriebs beobachtet:

  • a) "Verantwortlicher vollumfänglicher Betrieb des GWA nach BSI TR-03109-6" (verantwortliche Durchführung der Anwendungsfälle aus der BSI TR-03109-6)
  • b) "IT-Betrieb für einen GWA nach BSI TR-03109-6" (z.B. als SaaS-Dienstleister)

In allen Fällen ist der verantwortliche GWA mit dem ISMS für seinen Betrieb dafür verantwortlich, bei Vergabe an Dritte insbesondere die Einhaltung seiner Sicherheitsanforderungen an Dritte zu gewährleisten.

Beispiel:
Der GWA übernimmt den "Verantwortlichen vollumfänglichen Betrieb des GWA nach BSI TR-03109-6" und vergibt den "IT-Betrieb für einen GWA nach BSI TR-03109-6" an einen Dritten. Der Dritte weist gegenüber dem verantwortlichen GWA seine Eignung durch eine ISMS-Zertifizierung mit dem Scope/Geltungsbereich "IT-Betrieb für einen GWA nach BSI TR-03109-6" nach. Die Aufgaben sowie ggf. individuell bestehende Sicherheitsanforderungen an den Dritten werden dokumentiert, als Nachweis über die Behandlung des bestehenden individuellen Risikos. Der GWA verantwortet die nahtlose Vergabe und versichert sich um die Einhaltung der Sicherheitsvorgaben, beispielsweise durch stichprobenartige Audits. Der GWA weist gemäß § 25 (5) MsbG ebenfalls eine Zertifizierung seines ISMS nach.
Im dargestellten Praxisbeispiel wird deutlich, dass mit der Vergabe des IT-Betriebs an einen Dritten weiterhin die fachliche Verantwortung sowie die Verantwortung für das ISMS beim GWA verbleibt.

Gibt es eine Ausnahme von der Zertifizierungspflicht des GWA nach § 25 MsbG?

Grundsätzlich ist der verantwortliche GWA gemäß MsbG in der Zertifizierungspflicht, auch beim Outsourcing an einen Dritten.
Eine Ausnahme vom Grundsatz ist unter folgenden Voraussetzungen möglich:

  1. Der Dritte weist für den von ihm betriebenen Informationsverbund ein ISMS-Zertifikat nach, das die Einhaltung der Anforderungen gemäß BSI TR-03109-6 belegt.
  2. Der verantwortliche GWA betreibt ein ISMS nach § 25 Absatz 4 MsbG. Dabei kann ihn der Dritte beraten und unterstützen, alternativ betreibt der Dritte das ISMS für den GWA Betrieb im Auftrag des GWA.
  3. Für die beim verantwortlichen GWA verbleibende IT, als auch für die dort verbleibenden Prozesse, müssen Anforderungen zur Informationssicherheit gemäß BSI TR-03109-6 umgesetzt werden, die der Dritte vertraglich einfordern und sich deren Umsetzung vergewissern muss.
  4. Die individuellen Verantwortungsbereiche zwischen Drittem und dem verantwortlichen GWA sind ebenfalls vertraglich zu regeln.

Muss der SMGW Admin ein ISMS betreiben, wenn er keiner Zertifizierungspflicht unterliegt?

Ja. Nach §25 MsbG Absatz 4 ist er weiterhin dazu verpflichtet.

Darf der SMGW Admin nur zertifizierte Gateways betreiben?

Ja. Nach §24 Abs. 1 MsbG müssen Hersteller von Gateways dem SMGW Admin die erfolgte Zertifizierung ihrer Gateways nachweisen. Nur zertifizierte Gateways darf der SMGW Admin in sein Produktivsystem einbinden.

Ist ein Parallelbetrieb von zertifizierten und nicht zertifizierten Gateways beim SMGW Admin möglich?

Ja, wenn die folgenden Vorgaben beachtet werden.
Sollte der SMGW Admin nicht zertifizierte Gateways zu Testzwecken betreiben, sind die Testdaten von Produktivdaten so zu trennen, dass die aus dem Produktivbetrieb ermittelten Messwertinformationen nicht verfälscht werden können. Die exakte Umsetzung obliegt dem ISMS des SMGW Admin; eine technische als auch organisatorische Trennung der Datenarten zueinander wird jedoch empfohlen.

Muss der SMGW Admin für die Anbindung an eine Sub-CA zertifiziert sein?

Ja. Ein SMGW Admin muss das ISMS-Zertifikat zur Teilnahme an der Smart Metering PKI (SM-PKI) nachweisen (siehe Certificate Policy der SM-PKI).

Kann sich der SMGW Admin mit einer Anbindung an eine Test-Sub-CA zertifizieren lassen?

Ja. Die Test-PKI ist funktional identisch mit der Wirk-PKI (Smart Metering PKI). Damit ist es möglich, die für die Zertifizierung der PKI-Prozesse notwendigen Prüfungen bereits im Rahmen der Test-PKI durchzuführen. Der dann zu einem späteren Zeitpunkt notwendige Wechsel von der Test-PKI hin zur Wirk-PKI ist mit den in den Zertifizierungsverfahren üblichen Mechanismen zu leisten (Änderungsmitteilung und ggf. partielles Re-Audit).

Gibt es eine Liste der durch das BSI zertifizierten Auditoren "Smart Meter Gateway Administration" für BSI TR-03109-6 ?

Ja. Das BSI stellt auf seiner Homepage unter dem Thema "Zertifizierung und Anerkennung" auch Informationen zur Zertifizierung von  Personen zur Verfügung. Dort lässt sich eine Liste der zertifizierten Auditoren "Smart Meter Gateway Administration" für BSI TR-03109-6 einsehen."

Dürfen für einen Penetrationstest ausschließlich BSI zertifizierte Penetrationstester eingesetzt werden?

Nein. Der geforderte BSI zertifizierte Penetrationstester muss sowohl als verantwortlich für die Penetrationsdurchführung und die Dokumentation der Ergebnisse eingesetzt, als auch aktiv an der Durchführung beteiligt sein. Die Penetration kann jedoch auch durch weitere,
nicht BSI zertifizierte Penetrationstester, unterstützt werden.

Ist der Fernzugriff auf Dienste und IT-Komponenten beim SMGW Admin zulässig?

Die Fragestellung lässt sich aufgrund ihres allgemeinen Charakters in dieser FAQ lediglich sehr allgemein beantworten. Um die Verfügbarkeit von Diensten und IT-Komponenten eines SMGW Admin gegenüber drohenden Risiken zu schützen, kann unter anderem die Einrichtung einer Lösung zum Fernzugriff von Technikern (technischen Administratoren) als risikobehandelnde Maßnahme dienen. Jede eingeführte Maßnahme kann jedoch zu neuen Risiken führen, deren Behandlung dem ISMS obliegt.
Ein Fernzugriff ist nur in definierten Ausnahmefällen und unter definierten technischen und organisatorischen Rahmenbedingungen zu gestalten, die zu dokumentieren sind.