Revision [e81d895]
Letzte Änderung am 2019-08-01 16:21:29 durch WojciechLisiewicz
ADDITIONS
Der Gesetzgeber sieht für die intelligenten Messsysteme (iMS) zahlreiche technische Vorgaben vor, die durch solche Systeme zu erfüllen sind. Diese Vorgaben sind im Detail in den §§ 19 ff. MsbG geregelt und werden nachstehend im Einzelnen kurz vorgestellt.
**C. Gesetzliche Anforderungen im Detail**
Die vom Gesetzgeber an die intelligenten Messsysteme gestellten Anforderungen sind in unterschiedlichen Gesetzen geregelt. Nur ein Teil davon ist im MsbG enthalten. Insgesamt sind bei intelligenten Messsystemen folgende Regelungen zu beachten [1]:
>>* das [Mess- und Eichgesetz](https://www.gesetze-im-internet.de/messeg/index.html),
>>* die Spezifikationen der [Physikalisch-Technischen-Bundesanstalt (PTB)](https://www.ptb.de/cms/),
>>* [**§ 21 MsbG**](http://www.gesetze-im-internet.de/msbg/__21.html) mit den allgemeinen Anforderungen an intelligente Messsysteme,
>>* §§ 21 Abs. 1 Nr. 4 und 5, 22, 23 und 24 MsbG mit speziellen Anforderungen an die SMGW.
Darüber hinaus verweisen einzelne Vorschriften allgemein auf den **Stand der Technik**, der meist durch die zuständigen Industrieverbände definiert und in entsprechenden Dokumenten erarbeitet wird.

>>**1. Allgemeine Anforderungen an iMS**
>>In [**§ 21 MsbG**](http://www.gesetze-im-internet.de/msbg/__21.html) formuliert der Gesetzgeber zunächst einmal allgemeine Vorgaben für die iMS. Dies heißt im Einzelnen, dass ein intelligentes iMS [2]:
>>>* **zuverlässige Erhebung, Verarbeitung, Protokollierung, Speicherung und Löschung von <span style="text-decoration:underline;">Messwerten</span> gewährleisten** muss, [**§ 21 Abs. 1 Nr. 1 MsbG**](http://www.gesetze-im-internet.de/msbg/__21.html);
>>>* <span style="text-decoration:underline;">Visualisierung</span> der erhobenen Daten ermöglichen, § 21 Abs. 1 Nr. 2 MsbG;
>>>* **<span style="text-decoration:underline;">sichere Verbindungen</span> in Kommunikationsnetzen verwenden** muss, § 21 Abs. 1 Nr. 3 MsbG;
>>>* in der Lage ist, **aus angeschlossenen Anlagen <span style="text-decoration:underline;">Stammdaten zu übermitteln</span>**, § 21 Abs. 1 Nr. 6 MsbG (d. h. aus steuerbaren Verbrauchsanlagen gem. [**§ 14a EnWG**](http://www.gesetze-im-internet.de/enwg_2005/__14a.html), EEG- und KWK-Anlagen).

>>**2. Spezielle Anforderungen an die SMGW**
>>Für die SMGW sieht der Gesetzgeber - da sie zentrale Bestandteile der iSM sind - einige besondere Vorgaben vor. Diese präzisieren insbesondere das, was in [**§ 19 Abs. 1 MsbG**](http://www.gesetze-im-internet.de/msbg/__19.html) allgemein vorgesehen ist - die Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität. Dies sind im Einzelnen [2]:
>>>* **<span style="text-decoration:underline;">Offenheit</span> für andere Dienste**, auch solche, die mit der Energieversorgung nichts zu tun haben (auch wenn Energieversorgung stets Priorität haben soll), § 21 Abs. 1 Nr. 4 a) MsbG;
>>>* **<span style="text-decoration:underline;">Konfigurierbarkeit nur durch den Administrator</span>**, § 21 Abs. 1 Nr. 4 b) MsbG;
>>>* **<span style="text-decoration:underline;">Aktualisierbarkeit</span> der Software**, § 21 Abs. 1 Nr. 4 c) MsbG;
>>>* hinreichende <span style="text-decoration:underline;">Energieeffizienz</span> des Gateway selbst, § 21 Abs. 1 Nr. 5 (wobei die Stromentnahme für den Betrieb des Gerätes im angemessenen Bereich zu erfolgen hat, [**§ 25 Abs. 2 MsbG**](http://www.gesetze-im-internet.de/msbg/__25.html);
>>>* **<span style="text-decoration:underline;">Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität</span>** (entsprechend dem Stand der Technik) - [**§ 22 Abs. 1 MsbG**](http://www.gesetze-im-internet.de/msbg/__22.html) - im Hinblick auf
>>>>* Umgang mit Messwerten (Nr. 1),
>>>>* Schutz des Zugriffs auf Messdaten (Nr. 2),
>>>>* Zeitsynchronisation (Nr. 3),
>>>>* Datenaustausch (Nr. 4).
>>>Die letztgenannten Vorgaben sind detailliert in den bereits oben genannten Dokumenten des BSI ausgestaltet, welche über [**§ 22 Abs 2 MsbG**](http://www.gesetze-im-internet.de/msbg/__22.html) zu Rechtsnormen erhoben werden.
>>>* **Gewährleistung der sicheren <span style="text-decoration:underline;">Einbindung in ein Kommunikationsnetz</span>** gem. [**§ 23 MsbG**](http://www.gesetze-im-internet.de/msbg/__23.html).

>>**3. Zertifizierung**
>>Die Erfüllung der Anforderungen gem. §§ 19 ff. MsbG wird durch den Gesetzgeber mit der Zertifizierungspflicht flankiert. In [**§ 19 Abs. 3 MsbG**](http://www.gesetze-im-internet.de/msbg/__19.html) wird die Vorgabe statuiert, dass nur zertifizierte Systeme zu nutzen sind. Die Zertifizierung bezieht sich auf die Erfüllung der Vorgaben in §§ 21 und 22 MsbG. Details der Zertifizierung durch das hierfür zuständige BSI sind in [**§ 24 MsbG**](http://www.gesetze-im-internet.de/msbg/__24.html) geregelt.
***
[1] Vgl. dazu auch _Heyna/Magga/vom Wege_ in: Praxishandbuch MsbG, S. 182 ff.
[2] Die für die IT-Sicherheit relevanten Vorgaben wurden **fett** markiert. Die Einschätzung der Sicherheitsrelevanz durch den Verfasser des Artikels ergibt sich dabei
>>* einerseits aus der erkennbaren Absicht des Gesetzgebers, mit der Anforderung einem Sicherheitsrisiko vorzubeugen oder
>>* andererseits aus der - für den Gesetzgeber nicht im Fokus stehenden - Schaffung von zusätzlichen Risiken, die in der Vorgabe von aus Sicht des Gesetzgebers nützlichen, zusätzlichen Funktionen und damit einer damit einhergehenden " _feauturitis_ " liegen können.
***
CategoryEnergieITSecurity
DELETIONS
Der Gesetzgeber sieht für die intelligenten Messsysteme zahlreiche technische Vorgaben vor, die durch solche Systeme zu erfüllen sind. Diese Vorgaben sind im Detail in den §§ 19 ff. MsbG geregelt und werden nachstehend im Einzelnen kurz vorgestellt.
>>* gem. [**§ 20 MsbG**](http://www.gesetze-im-internet.de/msbg/__20.html) sollen Gasmesseinrichtungen eingebunden werden können;

Revision [7302f52]
Die älteste bekannte Version dieser Seite wurde von WojciechLisiewicz am 2019-07-31 15:30:19 erstellt
ADDITIONS
## Technische Vorgaben für Messsysteme
##### Anforderungen an Datenschutz, Datensicherheit und Interoperabilität gem. §§ 19 ff. MsbG
Der Gesetzgeber sieht für die intelligenten Messsysteme zahlreiche technische Vorgaben vor, die durch solche Systeme zu erfüllen sind. Diese Vorgaben sind im Detail in den §§ 19 ff. MsbG geregelt und werden nachstehend im Einzelnen kurz vorgestellt.
**A. Systembeschreibung**
Elemente des Messsystems, die sicherheitsrelevant sind nach §§ 19 ff. MsbG:
>>* Smart Meter Gateway (SMGW) - vgl. dazu Informationen über [das SMGW auf der Seite des BSI](https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/SmartMeterGateway/smartmetergateway_node.html); für das SMGW gilt das **[Schutzprofil Smart Meter Gateway](https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/SmartMeterGateway/Schutzprofil_Gateway/schutzprofil_smartmetergateway_node.html)** (= Protection Profile for the Gateway of a Smart Metering System - Smart-Meter-Gateway PP, aktuelle Fassung in englischer Sprache [ist hier zu finden](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/ReportePP/pp0073b_pdf.pdf?<span style="text-decoration:underline;">blob=publicationFile&v=1));
>>* Sicherheitsmodul (Security Module) - vgl. dazu Informationen über [das Sicherheitsmodul auf der Seite des BSI](https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/Sicherheitsmodul/sicherheitsmodul_node.html); für das Sicherheitsmodul gilt das **[Schutzprofil Security Module](https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/Sicherheitsmodul/Schutzprofil/schutzprofil_node.html)** (= Protection Profile for the Security Module of a Smart-Meter-Gateway - Security Module PP; aktuelle Fassung in englischer Sprache [ist hier zu finden](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/ReportePP/pp0077V2b_pdf.pdf?</span>blob=publicationFile&v=1)).
**B. Besondere Risiken für Energienetze**
Intelligente Messsysteme sollen gemäß gesetzlicher Vorgabe mehrere Anforderungen erfüllen, die zu einer Öffnung gegenüber anderen Aufgaben, als der reinen Messung, führen:
>>* gem. [**§ 20 MsbG**](http://www.gesetze-im-internet.de/msbg/__20.html) sollen Gasmesseinrichtungen eingebunden werden können;
>>* gem. § 21 Abs. 1 Nr. 3 MsbG soll Fernkommunikation möglich sein (Lit. a), aber darüber hinaus auch der Empfang von Messwerten aus anderen Systemen (Lit. c); ferner soll Anbindung von Erzeugungsanlagen und anderen lokalen Systemen möglich sein (!);
>>* gem. § 21 Abs. 1 Nr. 4 MsbG soll das SMGW offen für andere Anwendungen und Dienste sein (Lit. a);
>>* gem. § 21 Abs. 1 Nr. 6 MsbG sollen Stammdaten aus EEG- und KWK-Anlagen übermittelt werden können.
Aus dem Gesetzeswortlaut ist zunächst nur auf einen Lesezugriff im Hinblick auf Anlagen zu schließen. Inwiefern dies aber in der Praxis strikt eingehalten werden kann und technisch nicht überwunden wird, bleibt offen.
Im Übrigen bleibt die Frage offen, welche Rolle allein der Zugriff auf die Messsdaten für größere Angriffsszenarien spielen kann, wenn durch Manipulation von abgelesenen Daten eine komplett falsche Grundlage für die Netzschaltung geliefert wird (sofern der Angreifer dies bezweckt).