Smart-Home-Sicherheitsrichtlinie

BSI-Alleingang verärgert Industrie und Politik

7. Juni 2018, 11:09 Uhr | Hagen Lang

Rückblick 2011: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kündigt die Erstellung eines Schutzprofils für Gateways eines Smart-Metering-Systems an, das deutsche Stromnetze zu IKT-verstärkten »Smart Grids« ertüchtigen soll.

Szenenwechsel Juni 2018: Auch siebeneinhalb Jahre später, im Frühsommer 2018, ist kein einziges Smart-Meter-Gateway eines Herstellers vom BSI zertifiziert. Siebeneinhalb Jahre sind im Hardware-Geschäft eine Ewigkeit, umfassen acht Mikroprozessor-Architekturen Intels (von Sandy Bridge bis Cannon Lake) und den Übergang von 32-Nanometer-Nodes zu 10-Nanometer-Nodes. Während Europas Smart-Meter-Märkte boomen, ist Deutschland gelähmt.

Kein Wunder, dass Unternehmen und Verbände am 9. Mai 2018 in Bonn das vom BSI einberaumte Treffen mit großer Sorge verließen. Denn dort stellte das BSI den anwesenden Unternehmens-, Verbands- und Behördenvertretern den Entwurf einer Technischen Sicherheitsrichtlinie „Secure Smart Home Devices for Home Automation“ vor, die, analog zu dem Verfahren, das beim Smart Metering angewandt wurde, das Smart-Home-Segment sicherheitstechnisch regulieren soll.

Dass die Regulierung nicht auf Smart-Home-Devices beschränkt bleiben kann, ergibt sich schon aus der Unmöglichkeit, „Smart Home“ trennscharf von „Professional Smart Building Automation“ oder dem „IoT“ überhaupt abzugrenzen. Absehbar ist, dass Berlin das gesamte IoT sukzessive sicherheitstechnisch regulieren will.

Der Verordnungsgeber beginnt mit der „Secure Smart Home Devices“-Richtlinie, der Rest wird folgen. Die begründete Sorge der Wirtschaft: Wenn das IoT so zäh reguliert wird wie das Smart Metering, wird der IoT-Markt in Deutschland schwer geschädigt. Dirk Wittler, Managing Director der Lustitia Limited und Teilnehmer des Treffens, sagt: »Das BSI verletzt wichtige Grundprinzipien, nach denen in Deutschland und international Standards in Haus, Gebäude, Elektronik, IKT und anderen Bereichen entstehen.« Die Politik setzt bislang Rahmenbedingungen, die Normung übernimmt die Industrie in Gremien wie DKE und ETSI. In diese erfolgreiche Arbeitsteilung greift das BSI mit seinem kleinteiligen Regulierungs-Aktionismus ein. Für den Übergriff des BSI gibt es kein politisches Mandat.

Für den Entwurf seiner Smart-Home-Richtlinie hat sich das BSI bislang weder mit der Wirtschaft noch mit dem für Smart Home zuständigen Wirtschaftsministerium (BMWi) abgestimmt und sich auch nicht weiter um internationale Standards gekümmert. Stattdessen will man wieder eine eigene TR basteln. Diese soll sich an der Technischen Richtlinie TR-03109-X für den Bereich Smart Metering orientieren und mit dieser technische Kompatibilität herstellen. Für die Kommunikationsprotokolle Z-Wave, ZigBee und DECT-ULE soll „begleitend“ eine Sicherheitsanalyse erstellt werden.

Vorgestellt wurden u.a. ein „Testing Guide“ und eine „Vorgehensweise konzeptionelle Sicherheitsanalyse“. Die Mehrheit der Teilnehmer des Treffens forderten das BSI ultimativ auf, Mandat und Gültigkeitsbereich der TR zu klären sowie insbesondere den Begriff „Smart Home“ und seine Abgrenzung von „professionellen“ Umgebungen zu definieren. Die Einbindung wichtiger, aber nicht anwesender Verbände wurde gefordert, insbesondere des VDMA, der eu.bac, des Bacnet sowie des Bundesverbandes der Deutschen Heizungsindustrie. Bestehende Standards und internationale Zertifizierungsaktivitäten seien zu berücksichtigen.

Ohne Klärung der vorgenannten Punkte erklärten folgende Verbände, Institutionen und Unternehmen, überhaupt nicht erst mit der Kommentierung der TR beginnen zu wollen: Dekra, TÜV Rheinland, VdTÜV, KNX, Busch-Jaeger, mtG, T-Systems, Deutsche Telekom, Hager Group, VDE, VDE-Institut, Innogy, openHAB Foundation, Wirtschaftsinitiative Smart Living, Cetecom, eQ-3, ZVEI, Bitkom, Lustitia und BMWi. Sicherheitsexperte Professor Hartmut Pohl unterstreicht auf Nachfrage die Wichtigkeit internationaler Konzertierung: »Ob der TR-Vorschlag des BSI sich an internationalen Normierungen orientiert oder an Vorstellungen der EU oder der USA, ist derzeit nicht erkennbar. Das wird er aber müssen, wenn er Bestand haben will.«

Dirk Wittler resümiert zur mangelnden Abstimmung des BSI: »Der anwesende BMWi-Vertreter erklärte, das BSI habe sich nicht mit der Smart-Home-Initiative seines Hauses abgestimmt. Wichtige Verbände der Haus- und Gebäudetechnik waren nicht eingeladen, gängige Systeme wie KNX, EnOcean oder Homematic IP wurden nicht betrachtet, ebenso wie bestehende Zertifizierungsverfahren für Smart-Home-Systeme hinsichtlich IT-Sicherheit durch VDE oder TÜV und nationale sowie internationale Normierungsbestrebungen ignoriert wurden. Den Beleg der Notwendigkeit einer zusätzlichen Technischen Richtlinie (TR) nebst der dazu angestrebten Zertifizierung blieb das BSI schuldig.«