Anwendungsbereich der BSI TR-03109-5
-
Im Anwendungsbereich der BSI TR-03109-5 Version 1.0 liegen diejenigen CLS-Produkte, die über den transparenten CLS-Kanal (TLS-Proxy-Kanal) des zertifizierten Smart-Meter-Gateway (SMGW) kommunizieren können. Der TLS-Proxy-Kanal wird in dem Produkt gestartet oder terminiert. Beispiele aus heutiger Sicht sind Steuerboxen nach FNN-Lastenheft, Steuerungseinrichtungen gemäß § 34 Absatz 2 Nummer 5 MsbG, die für eine netzorientierte Steuerung (bspw. gemäß § 14a EnWG) den TLS-Proxy-Kanal nutzen, Submetering-Gateways, die über den TLS-Proxy-Kanal Messwerte an einen Messdienstleister versenden und anwendungsunabhängige CLS-Edge-Computing-Devices, sogenannte CLS-Gateways. Zukünftig ist damit zu rechnen, dass auch EMS oder Energiewendeanlagen direkt Steuerungsbefehle über das SMGW entgegennehmen können, sodass der Anlagenbetreiber zusätzliche Steuerungstechnik Dritter einsparen kann. Wenn Energiewendeanlagen, z.B. Wärmepumpen, den TLS-Proxy-Kanal terminieren, fallen diese ebenfalls in den Anwendungsbereich der BSI TR-03109-5. Produkte im HAN des SMGW, die TLS-Proxy-Verbindungsdaten nur weiterleiten und den TLS-Proxy-Kanal nicht terminiert, fallen nicht unter den Anwendungsbereich der BSI TR-03109-5: z.B. Hubs, Switch, Repeater, WLAN-Accesspoints.
-
Ein CLS-Kommunikationsadapter als funktionale Einheit eines CLS-Produktes wird durch funktionale Mindestanforderungen beschrieben. Ein CLS-Produkt, in der TR-03109-5 auch als CLS-Komponente bezeichnet, stellt die dazu benötigte Software und Hardware bereit. Dieses CLS-Produkt hat im Sinne der BSI TR-03109-5 ein Gehäuse.
BSZ
-
Dies hängt von dem individuellen Produkt ab und wird von der TR-03109-5 in Kapitel 2.9 beantwortet. Im Wesentlichen ist eine Zertifizierung nach BSZ immer dann notwendig, wenn das CLS-Produkt mehr Funktionalität hat, als nur mit den Diensten des SMGW an der HAN-Schnittstelle zu kommunizieren. Darüberhinausgehende Funktionen, z.B. das Anbieten oder Nutzen von Diensten im HAN des SMGW oder weitere Schnittstellen z.B. zu nachgelagerten Einrichtungen führen zu einer erhöhten Angriffsfläche. Die BSZ ist dann notwendig, um die IT-Sicherheitsleistungen zu zertifizieren. Eine Steuerbox nach FNN-Lastenheft mit einer EEBUS-Schnittstelle, die der Ansteuerung einer Energiewendeanlage dient, ist ein Beispiel für ein BSZ-pflichtiges CLS-Produkt.
-
Im Zuge der BSZ-Produktzertifizierung wird die IT-Sicherheitsleistung des gesamten CLS-Produktes betrachtet, d.h. alle Schnittstellen sowie die darüber exponierte Software.
-
Die Produktprüfung innerhalb des BSZ-Verfahrens umfasst dabei Prüfungen zur Installationsdokumentation, der Konformität, dem Penetrationstesten und der Bewertung der kryptografischen Algorithmen. Mithilfe von Konformitätstests wird die tatsächliche Bereitstellung der zugesagten Sicherheitsleistung bestätigt. Über Penetrationstests wird die Wirksamkeit der technischen Sicherheitsmaßnahmen/Sicherheitsleistung und die im Produkt verwendeten kryptographischen Funktionen und Verfahren in einem risikoorientierten Ansatz auf typische Fehler hin untersucht, um an schützenswerte Informationen zu gelangen oder das Produkt zu manipulieren.
-
Mit dem Nachweis des erfolgreichen Abschlusses des BSZ-Verfahrens wird das Vertrauen in ein Produkt gesteigert, da eine belastbare Aussage über die Sicherheitsleistung und die Widerstandsfähigkeit des betrachteten Produkts im beschriebenen Einsatzbereich der TR-3109-5 getroffen werden kann. Eine beauftragte anerkannte Prüfstelle mit kompetenten Evaluatoren hat das Produkt eingehend untersucht und konnte innerhalb der vorher festgelegten Zeitdauer der Evaluation keine relevanten Schwachstellen im CLS-Produkt finden. Die Bewertung und Abnahme der Evaluationsergebnisse durch die Zertifizierungsstelle des BSI steigert zudem die Güte und das Vertrauen in dieses Verfahren.
-
Eine BSZ im Geltungsbereich "Komponenten im HAN des SMGW“ betrachtet als Evaluierungsgegenstand immer ein alleine lauffähiges physisches CLS-Produkt in einer Standardkonfiguration. Eine reine Software-Zertifizierung des CLS-Kommunikationsadapters ist demnach nicht möglich.
-
Neben der Festlegung des Evaluierungsgegenstands (kurz: EVG mit logischer und physischer Abgrenzung und Identifizierung) wird zu Beginn eines Verfahrens auch die zu zertifizierende Konfiguration des EVG festgelegt. Der EVG inklusive Konfiguration wird in den Sicherheitsvorgaben (engl. Security Target, ST) festgelegt.
Bei der Wahl zu zertifizierenden Konfiguration ist folgendes zu beachten:
- Die Konfiguration muss grundsätzlich einer bei Kunden häufig eingesetzten Konfiguration entsprechen.
- Es muss sichergestellt sein, dass die Konfiguration sämtliche in den Sicherheitsvorgaben beschriebene, sowie die im jeweiligen Geltungsbereich geforderte Sicherheitsfunktionalität enthält.
- In Handbüchern inkl. SUG (Secure User Guidance) muss klar dargestellt werden, wie der EVG in den zertifizierten Zustand gebracht wird.
- Das Produkt wird in dieser Konfiguration evaluiert und zertifiziert. Daraus folgt, dass sich das Produktzertifikat nur auf die angegebene Version des evaluierten Produkts in der beschriebenen Konfiguration bezieht und nur gilt, wenn das Produkt in dieser betrieben wird.
-
Das Zertifizierungsverfahren trifft eine IT-Sicherheitsaussage bezüglich einer definierten Produktversion (diese setzt sich aus einer Hard- und Software-Version zusammen), welche aus dem Zertifikat hervorgeht. In der Regel führen Änderungen am Produkt zu einer neuen Version, zu der ein vorheriges Zertifikat keine Aussage trifft. Eine Aufrechterhaltung der Zertifizierung kann mit einer Re-Zertifizierung der BSZ erreicht werden.
-
Es ist nicht möglich, für ein ausgeliefertes Produkt nachträglich eine Zertifizierungsaussage zu tätigen.
Physische und logische Schnittstellen des CLS-Produkts
-
Die Anzahl als auch die unterschiedlichen Ausprägungen der physischen Schnittstellen eines CLS-Produkts sind nicht durch die Vorgaben der TR-03109-5 beschränkt (siehe hier Kapitel 2.5).
-
Beispielsweise ist eine USB- oder RS-485 Schnittstelle am CLS-Produkt eine Lokale IT-Schnittstelle. Eine IP-basierte WLAN- oder Ethernet-Schnittstelle hingegen, über die global-routbare IP-Adressen verarbeitet oder gesendet werden können, stellt eine Fernzugriffsschnittstelle dar.
-
Switch-Ports, die über eine Netzwerk-Separierung (z.B. port based VLAN) vom HAN des SMGW getrennt sind, sind „Lokale IT-Schnittstellen“ oder „Fernzugriffsschnittstellen“. In diesem Fall ist eine Zertifizierung nach dem BSZ-Geltungsbereich „Komponenten im HAN des SMGW“ notwendig. Switch-Ports, die eine Netzwerk-Kopplung erlauben und somit Zugang zum IP-Netzwerk des HAN des SMGW schaffen, sind physisch im HAN des SMGW angesiedelt. Damit sind Produkte, die an den integrierten Ethernet-Switch angeschlossen werden, auch Teil des HAN des SMGW und unterliegen ggf. ebenfalls den Anforderungen der TR-03109-5. Sollte das CLS-Produkt mit dem integrierten Ethernet-Switch selbst keine weiteren Dienste (neben der Kommunikation mit dem SMGW) über diese Ethernet-Schnittstellen anbieten oder nutzen (der integrierte Ethernet-Switch dient nur der Weiterleitung der IP-Pakete), hätte diese im Sinne der TR-03109-5 keine Lokale IT-Schnittstelle oder Fernzugriffsschnittstelle.
-
Jeder TCP/UDP-Port des CLS-Produkts oder Verbindung zu anderen Komponenten im HAN des SMGW, der nicht in der BSI TR-03109-5 als HKS aufgeführt ist, ist als „Lokale IT-Schnittstelle“ oder „Fernzugriffsschnittstelle“ zu bewerten. In diesem Fall ist eine Zertifizierung nach dem BSZ-Geltungsbereich „Komponenten im HAN des SMGW“ notwendig.
-
Das CLS-Produkt nutzt über eine physische Schnittstelle zum HAN sowohl den TLS-Proxy als auch weitere Dienste des SMGW. Sofern das EMS berechtigt ist, weitere Dienste des SMGW zu nutzen (bspw. Abruf von Momentanmesswerten) kann dies über das gleiche physische Netzwerk (HAN) geschehen. Aus technischen Gründen können weitere Dienste des SMGW nicht über die TLS-Proxy-Verbindung angeboten werden, so dass dafür weitere TLS-Verbindungen aufgebaut werden müssen. Dazu kann die „Schnittstelle zum HAN des SMGW“ (HKS WS1) genutzt werden.
Zeitsynchronisation
-
Grundsätzlich sollte der CLS-Kommunikationsadapter die Zeitführung mit absolutem Zeitbezug durchführen, um seine Funktionen sicher umsetzen zu können. Die Bereitstellung der mit der mit dem GWA-Zeitserver synchronisierten Zeit durch den NTP-Server des SMGW geschieht mit einer geringeren Umlaufverzögerung (Round-Trip-Time) als über die TLS-Proxy Verbindung zum Zeitserver im WAN. Die Verwendung des NTP-Servers des SMGW erleichtert somit die Einhaltung von zeitlichen Fehlergrenzen zur gesetzlichen Zeit.