Standardisierung und Anforderungen an SMGW Administration Workshop Intelligente Messsysteme und Energiedatennetze Frank Drees, 19.04.2016, Bochum
Inhalt 1. Historie 2. Gesetzlicher Rahmen 3. Standards 4. TR-03109-6: SMGW Administration 5. Ausblick Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 2
1. Historie Auftrag BMWi Projektbeteiligte Rolle des BSI
Auftrag BMWi An BSI zur Definition von Sicherheits- und InterOp-Anforderungen an intelligente Messsysteme und deren sicherer Betrieb Enge Begleitung der Arbeiten im BSI durch Partnerbehörden (BfDI, BNetzA, PTB, Eichbehörden) und ca. 20 Verbände aus der Branche Erstellung von Schutzprofilen und Technischen Richtlinien Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 4
Projektbeteiligte Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 5
2. Gesetzlicher Rahmen EnWG MsbG MEG
Messstellenbetriebsgesetz Bisherige Basis: 21 ff. EnWG Messsystem-Verordnung (MsysV) Entwurf Neue Basis: (EU-notifiziert Anfang 2013) Gesetz zur Digitalisierung der Energiewende Entwurf (u.a. EnWG, EEG, MsbG) Artikel 1: MsbG, 19 30 Aktueller Stand: Anhörung von Sachverständigen im Ausschuss Wirtschaft und Energie im Bundestag am 13.4.2016 mit Beteiligung BSI Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 7
Weitere rechtliche Rahmenbedingungen Mess- und Eichgesetz (MEG) IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen Sicherheitskatalog der BNetzA für Netzbetreiber Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 8
3. Standards Standardisierung Schutzprofile Technische Richtlinien
Standardisierung Durch Definition von Anforderungen in den Bereichen Vertrauenswürdige Produktkomponenten (SMGW inkl. Sicherheitsmodul) Informationssicherheit bei Administration und Betrieb (SMGW Admin) Vertrauenswürdige Kommunikationsinfrastruktur (Smart Metering- PKI) Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 10
Schutzprofile Zielstellung: Definition von Anforderungen an die Sicherheit von Produktklassen Evaluierung durch Prüfung bei CC-Prüfstellen Zertifizierung durch BSI nach Common Criteria, international abgestimmt und anerkannt Im Umfeld des EnWG existieren Schutzprofile für das SMGW für das Sicherheitsmodul im SMGW Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 11
Technische Richtlinien Definition funktionaler Anforderungen zur Erreichung von InterOp Anerkannte TR-Prüfstellen für Produktprüfungen zuständig Zertifizierung durch BSI von Produkten nach TR zertifizierte Auditoren für Managementsystemen (ISMS) Im Umfeld des EnWG gilt die Technische Richtlinie TR-03109 (SMGW, Sicherheitsmodul, PKI, Kryptografie, GWA) Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 12
Technische Richtlinie TR-03109 Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 13
4. TR-03109-6 Smart Meter Gateway Administration Anwendungsfälle des SMGW Admin Sicherheitskonzeption
Architektur des intelligenten Messsystems Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 15
Zentrale technische Funktion SMGW Admin Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 16
MsbG - Entwurf Regelt technische Mindestanforderungen an den sicheren Einsatz und Betrieb von Messsystemen 25 MsbG - Smart Meter Gateway Administration; Zertifizierung Absatz 1: Verantwortlichkeit des SMGW Administrators Absatz 4: ein ISMS einzurichten, zu betreiben und zu dokumentieren..., im Rahmen einer durchgängigen IT-Sicherheitskonzeption die notwendigen und angemessenen Maßnahmen zur Informationssicherheit zu erarbeiten und umzusetzen, Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 17
Anwendungsfälle des SMGW Admin Abgeleitet aus MsysV (jetzt: MsbG) und TR-03109-1 Kapitel 3 der TR-03109-6 Administration und Konfiguration Monitoring Schlüssel- und Zertifikatsmanagement Unterstützung der Messwertverarbeitung Marktkommunikation Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 18
Sicherheitskonzeption über Definition von Mindestanforderungen Kapitel 4 der TR-03109-6 Forderung eines ISMS mit den vorgegebenen Inhalten Assets und Schutzziele Relevante Bedrohungen und Risikobehandlung Auswahl von Mindestmaßnahmen Zertifizierung des ISMS ISO 27001 auf Basis von IT-Grundschutz ISO / IEC 27001 Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 19
Beispiele von Mindestanforderungen Dokumentation der internen Prozesse (z.b. Freigabe und Abnahme von Software, Regelungen für Wartungsarbeiten) Rechte- und Rollenkonzept Dedizierte Protokollierungsserver Notfallkonzept Netzsegmentierung Dienstetrennung Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 20
Aktuell Derzeit sind 11 Bereiche/Unternehmen in regelmäßiger Abstimmung mit BSI hin zum SMGW Admin-Betrieb nach der TR-03109-6 Hierbei viele Detailfragen insbesondere zur Umsetzung von Maßnahmen, die in der TR-03109-6 sehr generisch beschrieben werden mussten Ende Mai werden die ersten Auditoren für die TR-03109-6 zertifiziert sein (Personenzertifizierung auf Basis BSI-Gesetz) Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 21
5. Ausblick Weiterentwicklung der TR-03109 MaKo
Technische Richtlinien Weiterentwicklung der TR-03109 Feinspezifikation TR-03109-1, v1.1 Testspezifikation, Testumgebung Weiterentwicklung der TR-03109-6 Übertragung der sicheren Anforderungen auf die Prozesse der Marktkommunikation Entwicklung der Architektur des intelligenten Messsystems hin zu weiteren Anwendungsfällen (z.b. SmartHome, SmartGrid, SmartServices, SmartHealth, Elektromobilität/Ladesäule) Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 23
Vielen Dank für Ihre Aufmerksamkeit! Kontakt Hr. Frank Drees frank.drees@bsi.bund.de smartmeter@bsi.bund.de Tel. +49 (0) 228 99 9582 5511 Fax +49 (0) 228 99 9582 5511 Bundesamt für Sicherheit in der Informationstechnik Referat S 24 53175 Bonn www.bsi.bund.de Frank Drees Workshop Intelligente Messsysteme und Energiedatennetze Seite 24