GATEWAY-ADMINISTRATION Aufgaben, Pflichten und Voraussetzungen VDE Zähler-Fachtagung Itron Zähler & Systemtechnik GmbH Dirk Joachim
AGENDA Aufgaben, Pflichten und Voraussetzungen für die Gateway-Administration» BSI-konformes Smart Metering Schutzprofil und Technische Richtlinie TR-03109 Smart Meter Gateway und Gateway-Administration» Voraussetzungen für die Gateway-Administration BSI Marktrollenarchitektur Systemkomponenten für den SGW-Administrator Aufgaben, Pflichten des GW-Admin» MBS - Managed Business Services Outsourcing/ Shared Services von Geschäftsprozessen Vorteile und Chancen von MBS MBS-Modelle am Beispiel einer aktuellen Itron Smart Metering Plattform Gateway-Admin-Services
BSI-KONFORMES SMART METERING TECHNISCHE RICHTLINIE SMART METER GATEWAY GATEWAY- ADMINISTRATION
BSI-SCHUTZPROFIL TECHNISCHE RICHTLINIE Struktur der Technischen Richtlinie (SMG)» Schutzprofil (pp) auf Basis der CC (ISO/IEC 15408) Erlaubt Anwendern die Bewertung der Sicherheitsfunktionen von IT Systemen Festgelegte und einheitliche Kriterien zur Spezifikation, Implementierung und Evaluierung einer Sicherheitslösung Zertifizierung Systeme
TECHNISCHE RICHTLINIE Programmatik der TR-03109» Beschreibung eines Smart Meter Gateway (SMGw) unter Berücksichtigung der folgenden Bereiche: Systemarchitektur Prozesse Security Module PKI Infrastruktur Interoperabilität Schnittstellen Logbücher Tarif- und Berechtigungsprofile WAN u. LMN Kommunikationsprotokolle Source: BSI Technical Directive TR03109, V.020 5
KONSEQUENZEN (1) Smart Meter Gateway (SMGw) im BSI-Ansatz» Das SMGw bietet keine Dienste im Netz an» Kommunikation über unsichere Netze lokal und WAN erfolgt grundsätzlich verschlüsselt (TLS oder AES)» SMGw signiert die gebildete Messwerte» SMGw kann Daten an Marktpartner versenden Datenanonymisierung und Pseudonymisierung» Anbindung des SMGw an Kundeneinrichtungen PC, Heimnetz, Heimautomation etc.» Neue Rolle des Gateway Administrators die vertrauenswürdige Instanz für das SMGw Nur der Admin kann AdHoc Verbindungen zum SMGw aufbauen Umfangreiche Berechtigungsverwaltung, Zertifikate
KONSEQUENZEN (2) Smart Meter Gateway (SMGw) im BSI-Ansatz» Evaluator/ BSI betrachtet ausschließlich sicherheitsrelevante Aspekte gemäß PP und funktionale Anforderungen gemäß TR» Evaluation umfasst den gesamten Produktzyklus Entwicklung, Produktion, Kommissionierung, Versand Jährliche Bewertung durch BSI Wartung über den gesamten Produktlebenszyklus Fortlaufender Zertifizierungsprozess» Eichrechtliche Funktionen durch PTB PTB 50.8» Kombizulassung
BSI-KONFORMES SMART METERING TECHNISCHE RICHTLINIE SMART METER GATEWAY GATEWAY- ADMINISTRATION
BSI-SCHUTZPROFIL UND TR Physikalische und logische Eigenschaften des SMGw» Physikalische Eigenschaften, beispielsweise: Konzepte zum physikalischen Aufbau: One-/ Two-Box Solution Schnittstellen (WAN, LMN, HAN, CLS) Security Modul, kryptographische Vorgaben, PKI» Logische Eigenschaften und Prozesse Umgang mit den Zähl- und Messwerten, Netzqualitätsdaten, etc. Schutz der Authentizität, Integrität und Vertraulichkeit der Daten Rollenverwaltung der Marktpartner Management der Sicherheitsfunktionen - Firewall-Funktionalität - Wake Up Funktion
Messeinrichtung BSI AUFGABEN DES SMART METER GATEWAYS Das SMGw-Rollenmodell PTB SMGw Gateway-Admin Lieferant WAN» Das SMGw bedient verschiedene Marktrollen Lieferant Erfassung, Prüfung, Zeitstempelung und Speicherung von Messwerten Tarifierung und Weiterleitung an autorisierte Marktpartner Netzbetreiber L-Verbraucher HAN/CLS Letztverbraucher Steuerbare Lasten»» Netzbetreiber Erfassung, Prüfung und ggf. Speicherung von Netzstatusdaten Pseudonymisierung und Weiterleitung an den GWA L-Verbraucher Bereitstellung von Intervalldaten (lokal) Aufbereitung des Kunden-Logs (eichrechtlich rel. Daten, Informationsfluss) Befehle für steuerbare Lasten
AUSWIRKUNGEN AUF DIE FELDGERÄTE Aufgabenteilung im BSI-Messsystem Messeinrichtung (ME)» Messeinrichtung wird auf einen einfachen Basiszähler reduziert Erfassung der Energie bzw. Stoffmenge Anforderungen gem. MID Schnittstelle für SMGw mit Verschlüsselung / Zertifikate ggf. weitere Spezifikation gem. FNN (3.HZ/eHZ)» Das bedeutet aber auch: lokaler Zugriff auf die Messeinrichtung ist nicht mehr unmittelbar gegeben! Installation und systemische Einbindung zum SMGw ohne weitere Unterstützung nicht durchführbar (Schlüssel- bzw. Zertifikatsmanagement) Erschwerte Bedingungen für die Befundprüfung
AUSWIRKUNGEN AUF DIE FELDGERÄTE Aufgabenteilung im BSI-Messsystem - SMGw» Komplexe Zähler -funktionen werden organisatorisch und ggf. physisch in das SMGw verlagert: Sicherheitsfunktionen Mandanten- und Rollenverwaltung Tarifmanagement, Intervall- Aufzeichnung Echtzeituhr, Logbücher Netzqualitätsdaten Benutzerschnittstelle, Home-Automation-Schnittstelle Funktionen der WAN-Kommunikation» Komplexe Funktionen müssen administriert werden!
Aufgaben BSI-KONFORMES SMART METERING TECHNISCHE RICHTLINIE SMART METER GATEWAY GATEWAY- ADMINISTRATION
PROZESSE AUS SICHT DES SMG Obligatorische Prozesse gem. Technischer Richtlinie» Vor-Personalisierung Sec-Modul und Gateway» Installationsunterstützung, Initialisierung» Betriebsprozesse Lokale Kommunikation mit dem GW - Messung, Steuerung CLS, Kd-Schnittstelle Weiterverarbeitungsprozesse im GW - Tarifierung, Speicherung, Löschvorgänge WAN-Kommunikation an autorisierte Marktpartner» Administrationsprozesse SW/FW-Updates Tarifmodelle Status- und Fehlerprüfung» Wechsel-, Änderungs-, Austauschprozesse» Beendigung des Betriebs
SMART METER GATEWAY-ADMINISTRATOR Aufgabenbereich des GW-Admin» SMG stellt eine neue Komponente des Messstellenbetriebs dar SMGw liegt aktuell im Verantwortungsbereich des MSB als vertrauenswürdige Instanz» Gateway-Admin ist zentrale Instanz bei der Kommunikation!» Aufgabenbereiche des Gateway-Administrator: Installationsunterstützung, Initialisierung und Konfiguration des SMGw Administration des SMGw - Benutzer/Rechtemanagement - Einrichtung und Umsetzung von Konfig-Änderungen - Übertragung von Tarifmodellen, Steuerbefehle, - Einspielen von SW-Updates/ Upgrades Monitoring des SMGw - operativ: Messung, Sys-Log, Eich-Log, Zertifikate, PKI - administrativ: Eichung, Zertifizierung Wechsel-, Änderungs- und Austausch Beendigung des Betriebs, Sicherung/Zerstörung des Krypto-Materials
PROZESSE IM SMART METER GATEWAY WAS IST NEU? WAS KENNEN WIR BEREITS?
SMGw PROZESS MANAGEMENT Beispiel: Firmware-Updates/ Upgrades» Firmware-Updates/ Upgrades erfolgen heute: Neue Funktionen Geänderte Spezifikationen oder Parameter Reparatur oder Optimierung von Teilelementen der Firmware FW-Konzeption» Firmware-Updates werden heute bereitgestellt, abhängig von: Hard- bzw. Firmware-Merkmalen der Geräte Gruppenzugehörigkeit Einzelselektion» Firmware-Updates im SMGw Fail-Save Implementierung Sicherheitsmerkmale gem. PP
SMGw PROZESS MANAGEMENT Beispiel: variable Tarifmodelle» Tarif-Updates (remote) erfolgen heute: Neukunden, Tarifwechsel bei Bestandskunde Aktionstarife,» Tarifmodell-Updates werden heute bereitgestellt, abhängig von: Hard- bzw. Firmware-Merkmalen oder Geräteserie Gruppenzugehörigkeit Einzelselektion» Tarif-Updates im SMG Dynamische Tarifierung Kurze Reaktionszeiten Sicherheitsmerkmale gem. PP
PROZESSE AUS SICHT DES GW-ADMIN Life-Cycle-Management Installation/ Inbetriebnahme Konfiguration Beendigung d. Betriebs Administration Monitoring
GATEWAY-ADMINISTRATION VORAUSSETZUNGEN
Zähler 1..m MSB/ MDL BSI MARKTROLLEN-ARCHITEKTUR Systemübersicht im Umfeld der Marktrollen CA/ Sub CA (certified authority) WAN Markt- Kommunikation Security acc. BSI Gateway-Admin Abrechnung Tarife Lieferant 1..y Lieferant MDM Netzbetreiber K-Schnittstelle HAN/CLS HES GW-Admin Netzstatus CLS (EEG..) DSO DSO 12 (Netzbetreiber) (Netzbetreiber) Letztverbraucher Letztverbraucher Letztverbraucher 1..n 1..n 1..n 1..n GeLi Hersteller Steuerbare Lasten 1..x GPKE WiM
Feldebene Comms Installationsservices PLC Ethernet GPRS Software/Systeme Market Messaging WERKZEUGE ZUR GATEWAY-ADMINISTRATION Web-Portal MDM Asset - Management Gateway-AdminTool Gateway-Administration MDC WfM COM COM Security/ PKI Knowledge Apps M2M-Platform WiM Lieferant MSB/MDL DSO EEG-Ctr. Smart Home E-mobility, Virtual micro generation, Applikationen / EMT GPKE GeLi Gateway 1..n Gateway 1..xy Gateway C&I E SLP G SLP MX MX MX MX E (xy) Gas RLM E RLM
SYSTEME- INFRASTRUKTUR Auswirkung für eine BSI-konforme Architektur» Gateway Administration in der Rolle der vertrauenswürdigen Instanz Administration der funktionalen Aspekte, insbesondere: Verarbeitung aller Sicherheitsmerkmale gem. Schutzprofil - Signaturen von Messeinrichtung bzw. SMGw - Handling der Verschlüsselung: Schlüssel bzw. PKI-Infrastruktur» Abbildung einer umfassende Marktkommunikation Empfang, Verifizierung und Weiterleitung von Tarifmodellen Empfang, Pseudonymisierung und Weiterleitung von nichtabrechungsrelevanten Daten (z.b. Netzstatusdaten) Verarbeitung von Steuerbefehlen für CLS
SYSTEME- INFRASTRUKTUR Auswirkung für eine BSI-konforme Architektur» Betrieb und Dokumentation eines ISMS ISMS inkl. Zertifizierung nach ISO 27001 IT Grundschutz nach BSI Standard 100 Und weitere Standards Risikoanalyse, Sicherheitskonzeption» Zusätzliche Anforderungen Bereitstellung Zeitserver im Geltungsbereich des ISMS Zyklische Schwachstellenanalyse Penetrationstest
GATEWAY-ADMINISTRATION IM DIENSTLEISTUNGSUMFELD MANAGED BUSINESS SERVICE
MANAGED BUSINESS SERVICES Bedarfsgerechte Dienstleistungen» MBS sind gelebte Praxis- inzwischen auch im Smart Metering und zukünftig insbesondere für intelligente Messsysteme» Ausgliederung verschiedener Aufgaben/Prozesse oder auch Teilprozesse zu einem qualifizierten Dienstleister, beispielsweise: Installationsdienstleistungen Bereitstellung und Bereithaltung von IKT-Infrastruktur (Hosting, ASP) Operation Services» Motivation für MBS: Prozessoptimierung, Prozess- und Kosteneffizienz Konzentration auf die Kernprozesse Reduzierung der Komplexität
MANAGED BUSINESS SERVICES Vorteile und Chancen bedarfsgerechter Dienstleistungen» Wesentliche Vorteile der Managed Business Services Transparenz hinsichtlich Prozesse und Prozesskosten Optimierung der Prozesskosten durch Skaleneffekte Reduzierte Investitionskosten für IKT-Infrastruktur Planbare und bedarfsspezifische operative Kosten (pay per transaction/point) Prozessorientierte Personalplanung bzw. Entlastung der eigenen Organisation schneller Projektanlauf, schnelle Projektumsetzung» Chancen durch Managed Business Services ständige Partizipation an technologischen Weiterentwicklungen Optimierte Lernkurve für neue Geschäftsprozesse - kein Big Bang Managed Business Services stellen einen strukturierten Lösungsbeitrag für Smart Meter Projekte auf allen Ebenen der Wertschöpfungskette bereit!
AKTUELLES MBS-PORTFOLIO ITRON» Services für End-to-End-Lösungen anhand strukturierter Prozessmodule und definierter Übergabeschnittstellen: Installation und Inbetriebnahme (SLP, RLM, Smart Meter) Konnektivität mit managed SIM-Cards verschiedener TK-Provider Bereitstellung und operativer Betrieb der erforderlichen IKT-Infrastruktur Betrieb des Smart Metering-Systems inkl.: - Administration Zähler/Gateway, - Datenbereitstellung (Abrechnung, Profile, Log,..), Web-Portal - Monitoring, Archivierung, Reporting, Redundanz,» Skalierbare Service Level Full Managed Service - owner operated system Installation (Zähler/GW) Inbetriebnahme und Kommissionierung Betrieb des AMI-Systems Smart Metering as a Service 28
MBS: FULL MANAGED SERVICES ITRON Remote Diagnostic Center IT Infrastructure AMR-System (MDC MDM) L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N WAN Network TCP/IP MBus communication Utility Domain Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator
MBS: CUSTOM-MADE SERVICES ITRON Remote Diagnostic Center IT Infrastructure AMR-System (MDC MDM) L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N WAN Network TCP/IP MBus communication Utility Domain Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator
DIE SMARTE BSI - ZUKUNFT
Feldebene Comms Installationsservices PLC Ethernet GPRS Software/Systeme Market Messaging GATEWAY-ADMINISTRATION-DATA MANAGEMENT Web-Portal MDM MDC COM Knowledge Knowledge Apps Apps Apps Asset - Management Gateway-AdminTool COM Security/ PKI WfM M2M-Platform WiM Lieferant MSB/MDL DSO EEG-Ctr. Smart Home E-mobility, Virtual micro generation, Applikationen / EMT GPKE GeLi Gateway 1..n Gateway 1..xy Gateway C&I E SLP G SLP MX MX MX MX E (xy) Gas RLM E RLM
MBS: PURE HOSTING SERVICES ITRON Remote Diagnostic Center IT Infrastructure AMR-System (MDC MDM) L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N WAN Network TCP/IP MBus communication Utiltiy Domain Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator
MBS: OWNER-OPERATED SERVICES ITRON Remote Diagnostic Center IT-Infrastructure AMR-System (MDC Satrune & IEE MDM) ITRON Remote Support L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N Stadtwerke WAN Network TCP/IP Utility Domain Firewall MBus communication Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator
MANAGED BUSINESS SERVICES BSI-konforme Gateway-Administration ITRON Remote Diagnostic Center IT Infrastructure AMR-System (MDC MDM) L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N WAN Network TCP/IP MBus communication Utility Domain Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator 35
MANAGED BUSINESS SERVICES BSI-konforme Gateway-Administration! ITRON Remote Diagnostic Center IT Infrastructure AMR-System (MDC MDM) L A N PLC Database server Internet Application with API Information server server Ethernet Firewall Access router Communication servers V P N WAN Network TCP/IP MBus communication Utility Domain Network operator router Customer Billing and Management System Ethernet MBus communication Firewall... Asset Management System ITRON Professional Services Utility Communication Network Provider/Operator 36
MAKE OR BUY?» Komplett-Services für den Gateway-Administrator und MSB/MDL auf Basis einer umfassenden Systemlandschaft: Installation, Initialisierung und Inbetriebnahme der ME und SMGw s Konnektivität mit managed SIM-Cards verschiedener TK-Provider Bereitstellung und operativer Betrieb der IKT-Infrastruktur in einer Trusted Site Gateway-Administration als Full Managed Service: - Life-Cycle-Management SMGw Meter Data Collection und Meter Data Management - Datenbereitstellung (Abrechnung, Profile, Log,..), Web-Portal - Monitoring, Archivierung, Reporting, Redundanz, - Marktkommunikation Gateway-Lifecycle-Management Gateway-Administration as a Service 37
VIELEN DANK THANK YOU ITRON ZÄHLER & SYSTEMTECHNIK GMBH Dirk Joachim dirk.joachim@itron.com www.itron.com