Herr Laupichler, auf den Metering Days in Fulda sagten Sie, zum 31. Januar wird es möglicherweise eine Markterklärung geben…
Im Messstellenbetriebsgesetz ist eine „Markterklärung“ nicht vorgesehen und dieser Begriff wurde und wird durch das BSI auch nicht verwendet. Der Begriff „Markterklärung“ wird von einigen Akteuren im Markt für die „Feststellung der Technischen Möglichkeit durch das BSI“ verwendet. Grundlage für die Feststellung der Technischen Möglichkeit durch das BSI, mit der offiziell bei positivem Ergebnisdie Rollout-Verpflichtung der grundzuständigen Messstellenbetreiber beginnt, ist die sogenannte Marktanalyse nach § 30 MsbG. Diese Marktanalyse wird durch das BSI erstmalig am 31. Januar 2019 veröffentlicht und jährlich zum gleichen Zeitpunkt – immer Ende Januar – sowie auch anlassbezogen aktualisiert werden.
Was genau wird bei der Marktanalyse untersucht?
In der Marktanalyse betrachten wir die Umsetzung der BSI-Standards sowie der eichrechtlichen Anforderungen über die Wertschöpfungskette Zähler, Smart-Meter-Gateway, Gateway-Administrator und Backendsysteme. Die Marktanalyse differenziert diese Wertschöpfungskette nach Anwendungsfällen sowie den jeweiligen Einbaugruppen. Abschließend wird die Marktanalyse auch die grundsätzliche Marktverfügbarkeit von zertifizierten Smart-Meter-Gateways betrachten.
Die Marktanalyse soll künftig jedes Jahr im Januar stattfinden. Warum jährlich?
Zum einen gibt die jährliche Veröffentlichung zu einem festen Zeitpunkt immer einen aktuellen Überblick bei der Umsetzung der Standards im Markt, zum anderen wird die Marktanalyse aber auch anlassbezogen unterjährig aktualisiert und veröffentlicht. Dies würde dann erfolgen, wenn etwa weitere Hersteller und Anwender ihren Zertifizierungsprozess erfolgreich abgeschlossen haben.
Was fehlt dem BSI derzeit noch für die Zertifizierung? Was wird aktuell untersucht?
Im Zertifizierungsverfahren der SMGW-Hersteller werden neben dem Nachweis der Einhaltung der Sicherheitsanforderungen des SMGW-Schutzprofils auch die Herstellungs- und Entwicklungsprozesse des Herstellers sowie die Auslieferungsprozesse der Geräte betrachtet und durch eine anerkannte Prüfstelle des BSI geprüft und bewertet.
Im Rahmen der Gerätetests überprüfen wir die Angaben der Hersteller in Form von funktionalen Tests, Quellcode-Analysen und Penetrationstests. Hierbei sind oftmals Nachbesserungen an den Produkten oder der Gerätedokumentation durchzuführen, welche dann Auswirkungen auf den zeitlichen Abschluss des Verfahrens haben. Nur auf Grundlage einer erfolgreichen und angemessenen abschließenden Prüfung, unter Wahrung der Qualitätsanforderungen und der Vergleichbarkeit, erteilen wir die Zertifikate.
Das Gesamtverfahren liegt aber wie ausgeführt nicht ausschließlich in der Hand des BSI, Hersteller entscheiden über ihre jeweilige Priorisierung der Produktentwicklung als auch der Produktprüfung. Wir befinden uns in engem Austausch mit den Herstellern und Prüfstellen und begleiten das Verfahren sehr eng. Wir sind zuversichtlich, dass die Anforderungen erfolgreich durch die Hersteller umgesetzt werden.
Vorausgesetzt, die Marktanalyse verläuft positiv, also drei Messsysteme sind nach den Common Criteria des BSI zertifiziert, kann der Rollout der intelligenten Messsysteme starten?
Neben der erfolgreichen Produktzertifizierung nach Common Criteria ist auch die Bauartzulassung der PTB zur Umsetzung der eichrechtlichen Anforderungen wichtig, welche durch die Hersteller zeitgleich vorangetrieben wird und von der Marktanalyse des BSI erfasst wird. Die für den sicheren Betrieb notwendige Infrastruktur – Smart-Meter-Gateway-Administratoren und Smart-Metering-Public-Key-Infrastruktur – ist bereits verfügbar. Unter der Voraussetzung, dass die technische Möglichkeit dann durch das BSI festgestellt wird, adressiert § 31 MsbG verschiedene Rollout-Einbaugruppen zu unterschiedlichen Zeitpunkten.
Auf den Metering Days hieß es, zu den Tarifanwendungsfälle 9 und 10, welche die Verteilnetzbetreiber benötigen, um ihre Netzzustandsdaten abrufen zu können, wird es ein mögliches Update schon für die erste Generation der Gateways. Was bedeutet das konkret für die Verteilnetzbetreiber und die Geräte?
Auch nach Abschluss der Zertifizierung können bereits ins Feld gebrachte SMGW über den sicheren Firmware-Update-Prozess um weitere Funktionalitäten erweitert werden. Der sichere Firmware-Update-Prozess ist fester Bestandteil der CC-Zertifizierung und kann dann vom Gateway-Administrator aus der Ferne durchgeführt werden. Es ist notwendig, dass Hersteller sich mit Rollout-Projekten der Messstellenbetreiber abstimmen und Ihre Vorstellungen an das BSI herantragen.
Das BSI hat diesen Dialog bereits begonnen, um weitere Fragen zu Software-Updates bzw. zu TAF 9 (Abruf der Ist-Einspeisung) oder TAF 10 (Netzzustandsdaten) für die G1-SMGW zu beantworten. Die Ergebnisse werden über die Technische Richtlinie veröffentlicht, sodass eine Planung des Rollout von Software-Updates erfolgen kann.
Es wird gemunkelt, auch die Steuerboxen sollen vom BSI zertifiziert werden. Andere wiederum sagen, dass die Steuerboxen keine BSI-Zertifizierung brauchen. Was stimmt?
Der Themenkomplex Smart Grid, also die Integration von Einspeise-, Last- und Energiemanagement sowie die zukünftige Integration der Elektromobilität muss ganzheitlich betrachtet werden. Das BMWi erhält daher derzeit gutachterlichen Input im Rahmen des Projektes „Digitalisierung der Energiewende: Barometer und Topthemen“, welches auch durch das BSI eng begleitet wird.
Hier müssen Grundsatzentscheidungen und Handlungsempfehlungen getroffen werden, damit entlang der Wertschöpfungskette die Informationssicherheit auch ganzheitlich für Produkte und Systeme gestaltet werden kann. Dies betrifft unter anderem Fragestellungen zur Netzintegration flexibler Verbrauchs- und Erzeugungsanlagen als auch einer robusten Telekommunikationsinfrastruktur.
Das Thema Steuereinheit wird in diesem Diskurs eine wichtige Rolle spielen. Zusätzlich arbeiten BMWi und BSI eine Roadmap „Standardisierungsstrategie zur sektorübergreifenden Digitalisierung nach dem Gesetz zur Digitalisierung der Energiewende“ aus, welche entsprechende Methodiken, Rahmenbedingungen sowie Arbeits- und Zeitpläne für weitere Einsatzbereiche vorgeben wird. Die Veröffentlichung der Standardisierungsstrategie obliegt dem BMWi und ist mit Veröffentlichung des ersten Barometers geplant.
Die Fragen stellte Stephanie Gust
Dennis Laupichler ist Referatsleiter Cyber-Sicherheit für die Digitalisierung der Energiewende im Bundesamt für Sicherheit in der Informationstechnik (BSI).
