Die Anwendungsfälle des SMGW Administrators (kurz: SMGW Admin) sind in Kapitel 3 der TR-03109-6 beschrieben. Diese leiten sich aus dem gesetzlichen Rahmen (dem Messstellenbetriebsgesetz - MbsG) und der TR-03109-1 ab.
Folgende Aufgaben lassen sich stichwortartig nennen: Inbetriebnahme, Betrieb, Konfiguration, Administration, Überwachung/Monitoring und Wartung des intelligenten Messsystems.
Der SMGW Admin stellt im Kontext des intelligenten Messsystems eine zentrale technische Funktion dar. Er ist verantwortlich für einen zuverlässigen technischen Betrieb des Messsystems (vgl. § 25 Abs. 1 MsbG). Aus dem oben dargestellten Aufgabenumfang lässt sich eine entsprechende Kritikalität erkennen, die es erforderlich macht, den Aspekt der Informationssicherheit bei der Konzeption der notwendigen IT angemessen zu berücksichtigen.
Diese Mindestanforderungen an die Informationssicherheit sind in §25 MsbG verankert und legen verbindlich fest, dass der SMGW Admin neben dem obligatorischen ISMS und der hierfür notwendigen Sicherheitskonzeption auch die in der TR-03109-6 beschriebenen Mindestanforderungen angemessen berücksichtigen muss.
Der Messstellenbetrieb ist nach § 3 MsbG eine Aufgabe des grundzuständigen Messstellenbetreibers (MSB), soweit nicht eine anderweitige Vereinbarung nach § 5 oder § 6 MsbG getroffen worden ist. Die technische Funktion des SMGW Admin wurde dem MSB zugeordnet. Aus Sicht der TR-03109-6 ist es zunächst eine technische Funktion und unerheblich, welche Marktrolle diese Funktion ausübt.
Dabei sind die Aufgaben des MSB (als Marktrolle) nach § 3 MsbG und die Aufgaben des SMGW Admin nach § 25 MsbG organisatorisch und technisch klar zu trennen, d.h. der MSB hat keinen Zugang/Zugriff auf den technischen Betrieb beim SMGW Admin.
Die Einhaltung der definierten Anforderungen zur Informationssicherheit muss als Nachweis von einer dritten unabhängigen Stelle bestätigt werden.
Die Zertifizierung umfasst den gesamten Aufgabenbereich eines SMGW Admin mit der zugehörigen technischen Infrastruktur und bezieht sich insbesondere auf den nachhaltigen Betrieb eines beim SMGW Admin vorhandenen bzw. zu etablierenden Informationssicherheitsmanagementsystems (ISMS).
Ein Managementsystem für Informationssicherheit (ISMS) legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution (bzw. der Verantwortliche für die Informationssicherheit) die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt.
Ein ISMS ist somit zu verstehen als das geplante und organisierte Vorgehen, um ein angemessenes Sicherheitsniveau für die Informationssicherheit zu erzielen und aufrechtzuerhalten.
Nein. Gefordert ist eine Zertifizierung des Informationssicherheitsmanagementsystems beim SMGW Admin.
Nein. Der Nachweis der Umsetzung der definierten Mindestanforderungen nach § 25 Abs. 5 MsbG kann entweder durch eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz oder alternativ durch eine Zertifizierung gemäß ISO/IEC 27001 erbracht werden.
Nein. Die TR-03109-6 fordert eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz oder eine Zertifizierung nach ISO/IEC 27001 in der jeweils nachzuweisen ist, dass die Mindestanforderungen aus der TR-03109-6 im ISMS berücksichtigt und angemessen ausgestaltet wurden.
Die TR-03109-6 gibt keinen Zeitpunkt vor, zu dem der SMGW Admin zertifiziert sein muss. Ein SMGW Admin muss das entsprechende Zertifikat jedoch zur Teilnahme an der Smart Metering PKI nachweisen (siehe Certificate Policy der SM-PKI).
Der verantwortliche GWA nach § 25 Absatz 1 MsbG kann den technischen Betrieb des intelligenten Messsystems an einen Dritten outsourcen (vgl. § 2 Ziffer 20 MsbG). Aus der Marktbegleitung hat das BSI bisher folgende Realisierungen bzw. Umsetzungen eines GWA-Betriebs beobachtet:
a) "Verantwortlicher vollumfänglicher Betrieb des GWA nach BSI TR-03109-6" (verantwortliche Durchführung der Anwendungsfälle aus der BSI TR-03109-6)
b) "IT-Betrieb für einen GWA nach BSI TR-03109-6" (z.B. als SaaS-Dienstleister)
In allen Fällen ist der verantwortliche GWA mit dem ISMS für seinen Betrieb dafür verantwortlich, bei Vergabe an Dritte insbesondere die Einhaltung seiner Sicherheitsanforderungen an Dritte zu gewährleisten.
Beispiel:
Der GWA übernimmt den "Verantwortlichen vollumfänglichen Betrieb des GWA nach BSI TR-03109-6" und vergibt den "IT-Betrieb für einen GWA nach BSI TR-03109-6" an einen Dritten. Der Dritte weist gegenüber dem verantwortlichen GWA seine Eignung durch eine ISMS-Zertifizierung mit dem Scope/Geltungsbereich "IT-Betrieb für einen GWA nach BSI TR-03109-6" nach. Die Aufgaben sowie ggf. individuell bestehende Sicherheitsanforderungen an den Dritten werden dokumentiert, als Nachweis über die Behandlung des bestehenden individuellen Risikos. Der GWA verantwortet die nahtlose Vergabe und versichert sich um die Einhaltung der Sicherheitsvorgaben, beispielsweise durch stichprobenartige Audits. Der GWA weist gemäß § 25 (5) MsbG ebenfalls eine Zertifizierung seines ISMS nach.
Im dargestellten Praxisbeispiel wird deutlich, dass mit der Vergabe des IT-Betriebs an einen Dritten weiterhin die fachliche Verantwortung sowie die Verantwortung für das ISMS beim GWA verbleibt.
Grundsätzlich ist der verantwortliche GWA gemäß MsbG in der Zertifizierungspflicht, auch beim Outsourcing an einen Dritten.
Eine Ausnahme vom Grundsatz ist unter folgenden Voraussetzungen möglich:
Der Dritte weist für den von ihm betriebenen Informationsverbund ein ISMS-Zertifikat nach, das die Einhaltung der Anforderungen gemäß BSI TR-03109-6 belegt.
Der verantwortliche GWA betreibt ein ISMS nach § 25 Absatz 4 MsbG. Dabei kann ihn der Dritte beraten und unterstützen, alternativ betreibt der Dritte das ISMS für den GWA Betrieb im Auftrag des GWA.
Für die beim verantwortlichen GWA verbleibende IT, als auch für die dort verbleibenden Prozesse, müssen Anforderungen zur Informationssicherheit gemäß BSI TR-03109-6 umgesetzt werden, die der Dritte vertraglich einfordern und sich deren Umsetzung vergewissern muss.
Die individuellen Verantwortungsbereiche zwischen Drittem und dem verantwortlichen GWA sind ebenfalls vertraglich zu regeln.
Ja. Nach §25 MsbG Absatz 4 ist er weiterhin dazu verpflichtet.
Ja. Nach §24 Abs. 1 MsbG müssen Hersteller von Gateways dem SMGW Admin die erfolgte Zertifizierung ihrer Gateways nachweisen. Nur zertifizierte Gateways darf der SMGW Admin in sein Produktivsystem einbinden.
Ja, wenn die folgenden Vorgaben beachtet werden.
Sollte der SMGW Admin nicht zertifizierte Gateways zu Testzwecken betreiben, sind die Testdaten von Produktivdaten so zu trennen, dass die aus dem Produktivbetrieb ermittelten Messwertinformationen nicht verfälscht werden können. Die exakte Umsetzung obliegt dem ISMS des SMGW Admin; eine technische als auch organisatorische Trennung der Datenarten zueinander wird jedoch empfohlen.
Ja. Ein SMGW Admin muss das ISMS-Zertifikat zur Teilnahme an der Smart Metering PKI (SM-PKI) nachweisen (siehe Certificate Policy der SM-PKI).
Ja. Die Test-PKI ist funktional identisch mit der Wirk-PKI (Smart Metering PKI). Damit ist es möglich, die für die Zertifizierung der PKI-Prozesse notwendigen Prüfungen bereits im Rahmen der Test-PKI durchzuführen. Der dann zu einem späteren Zeitpunkt notwendige Wechsel von der Test-PKI hin zur Wirk-PKI ist mit den in den Zertifizierungsverfahren üblichen Mechanismen zu leisten (Änderungsmitteilung und ggf. partielles Re-Audit).
Ja. Das BSI stellt auf seiner Homepage unter dem Thema "Zertifizierung und Anerkennung" auch Informationen zur Zertifizierung von Personen zur Verfügung. Dort lässt sich eine Liste der zertifizierten Auditoren "Smart Meter Gateway Administration" für BSI TR-03109-6 einsehen."
Nein. Der geforderte BSI zertifizierte Penetrationstester muss sowohl als verantwortlich für die Penetrationsdurchführung und die Dokumentation der Ergebnisse eingesetzt, als auch aktiv an der Durchführung beteiligt sein. Die Penetration kann jedoch auch durch weitere,
nicht BSI zertifizierte Penetrationstester, unterstützt werden.
Die Fragestellung lässt sich aufgrund ihres allgemeinen Charakters in dieser FAQ lediglich sehr allgemein beantworten. Um die Verfügbarkeit von Diensten und IT-Komponenten eines SMGW Admin gegenüber drohenden Risiken zu schützen, kann unter anderem die Einrichtung einer Lösung zum Fernzugriff von Technikern (technischen Administratoren) als risikobehandelnde Maßnahme dienen. Jede eingeführte Maßnahme kann jedoch zu neuen Risiken führen, deren Behandlung dem ISMS obliegt.
Ein Fernzugriff ist nur in definierten Ausnahmefällen und unter definierten technischen und organisatorischen Rahmenbedingungen zu gestalten, die zu dokumentieren sind.
Diese Anforderungen sind in der PTB A50.8, Kapitel 8.1, definiert und werden in der Folgeversion der TR-03109-6 aufgenommen. Im Rahmen der Audits zur ISMS-Zertifizierung beim SMGW Admin sind diese Anforderungen durch die BSI-zertifizierten Auditoren zu prüfen und zu bestätigen.
Zu diesen Anforderungen hat die PTB ein Merkblatt mit Hinweisen und Hilfestellungen herausgegeben, dass auf den Internetseiten der PTB abgerufen werden kann.
Die Dokumentation zu den Penetrationstests wird im Audit des Dienstleisters durch einen BSI-zertifizierten Auditor geprüft. Bei Bedarf gibt der Dienstleister folgende Informationen als Nachweis für die Durchführung der Penetrationstests an seine GWA Kunden weiter:
Management Summary
Geprüfte Systeme/Bereiche
Zeitraum der Durchführung
Unternehmen, das den Penetrationstest durchgeführt hat
Anzahl der identifizierten Feststellungen inkl. ihrer Kritikalität sowie der Bearbeitungsstand bzw. Zeitplan zur Beseitigung der Schwachstellen (sollten Schwachstellen nicht gemäß Zeitplan beseitigt sein, sollte dem GWA dies mitgeteilt werden).
Eine detaillierte Beschreibung der gefundenen Schwachstellen wird aus offensichtlichen und nachvollziehbaren Gründen nicht an die GWA Kunden des Dienstleisters übermittelt. Das zertifizierte Managementsystem des Dienstleisters stellt die Umsetzung der aus dem Penetrationstest abgeleiteten Maßnahmen sicher.
Ergänzend zu dem vom Dienstleister durchgeführten Penetrationstest kann der GWA seine eigene IT-Infrastruktur einem Penetrationstest unterziehen.
Es besteht grundsätzlich, im Sinne des implementierten ISMS, kein Recht auf Herausgabe vollständiger Dokumentationen, wie z. B. Konzepte oder Handbücher.
Zur Bestätigung der vertraglichen Regelungen zwischen Dienstleister und GWA kann es sinnvoll sein, dass Teilinformationen aus dem letzten Audit vom Dienstleister auf Nachfrage an den GWA gegeben werden. Dies könnten neben Teilinformationen zu den durchgeführten Penetrationstests z.B. Informationen zum Notfallmanagement oder zum Backup-Konzept sein.
Der konkrete Informationsbedarf des GWA lässt sich nur in einem direkten Gespräch mit dem Dienstleister klären und muss die vertraglich beschriebene „Schnittstelle“ zwischen beiden Parteien betrachten.
Es ist durch den GWA regelmäßig auf die Verfügbarkeit von Firmware-Updates für die betriebenen SMGW zu prüfen. Das BSI empfiehlt eine automatisierte tägliche Prüfung auf neue Updates, manuell muss eine Prüfung mindestens werktäglich erfolgen. Eine routinemäßige Prüfung an Samstagen, Sonn- und Feiertagen, kann entfallen, sofern sichergestellt ist, dass der SMGW Admin unverzüglich über die Verfügbarkeit von Firmware-Updates mit sicherheitsrelevantem Charakter Kenntnis erlangt und diese unverzüglich einspielt.
