Welche Rolle hat das BSI?

Das BSI entwickelt keine Smart-Meter-Gateway (SMGW), sondern legt sicherheitstechnische Anforderungen für die Entwicklung, Produktion und Auslieferung der SMGW und für deren Betrieb fest.

Das SMGW stellt dabei technisch die Umsetzung von Datensicherheit und Datenschutz sicher. Die Prüfung von Berechtigungen und die Verschlüsselung von Daten spielt hierbei eine zentrale Rolle. Sämtliche Kommunikationsflüsse finden entsprechend höchster und etablierter Sicherheitsstandards nur verschlüsselt statt. Diese stellen sicher, dass Informationen unverändert (Integrität), für Dritte nicht einsehbar (Vertraulichkeit) sowie eindeutig den Kommunikationspartnern zugeordnet (Authentizität) übertragen werden.

Alle am Datenaustausch beteiligten unterschiedlichen Netze (HAN (Heimnetz), WAN (Weitverkehrsnetz) und LMN (Lokales Metrologisches Netz)) sind physisch und logisch voneinander separiert. Um die Sicherheit noch zusätzlich zu erhöhen können Kommunikationsverbindungen nur vom SMGW ausgehend nach außen hin aufgebaut werden.

Die dafür notwendigen Anforderungen an Datenschutz und Datensicherheit werden in Form von Schutzprofilen und Technischen Richtlinien vom BSI vorgegeben. Die Einhaltung der Vorgaben wird durch entsprechende Prüfungen bei neutralen, unabhängigen und anerkannten Prüfstellen untersucht und nachgewiesen. Bei positivem Ergebnis bestätigt das BSI abschließend den korrekten Ablauf des Verfahrens und die Richtigkeit der Ergebnisse mit einem Zertifikat. Konkret überprüft das BSI im Rahmen des Produktzertifizierungsverfahrens nach Common Criteria (ISO 15408) für SMGW beispielsweise die Ergebnisse der Gerätetests, die Angaben der Hersteller in Form von funktionalen Tests, Quellcode-Analysen und Sicherheitstests. Neben der eigentlichen Produktprüfung sind Herstellungs- und Entwicklungsprozesse Bestandteil der Zertifizierung. Durch die Zertifizierung wird sichergestellt, dass nur Geräte für die Markteinführung freigegeben werden, bei denen die Informationssicherheit und der Datenschutz für die Verbraucherinnen und Verbraucher gewährleistet ist. Das Zertifikat wird für acht Jahre erteilt und alle zwei Jahre in einem sogenannten Re-Assessment durch das BSI überprüft.

Darüberhinaus prüft das BSI die Einhaltung der Vorgaben für die Interoperabilität im Rahmen einer Zertifizierung nach Technischer Richtlinie. Dabei werden funktionale Tests ebenfalls von einer unabhängigen Prüfstelle durchgeführt, die die einheitliche Umsetzung technischer Protokolle im Fokus haben. Das Zertifikat dieser Prüfung ist fünf Jahre gültig.

Ähnlich erfolgt die Prüfung und Zertifizierung der CLS-Komponenten. Auch diese müssen ihre Anforderungen an die Interoperabilität durch eine Zertifizierung nach Technischer Richtlinie mit Hilfe einer unabhängigen Prüfstelle nachweisen, sowie in der Regel eine "Beschleunigte Sicherheitszertifizierung" durchlaufen. In beiden Verfahren wird jeweils bei Erfolg ein Zertifikat erlangt.