Startseite > Smarter World > Smart Building / Smart Home > »Es wird ein sehr großer Hard- und Software-Aufwand erforderlich sein!«

Smart Meters müssen künftig höchste Sicherheitsanforderungen erfüllen

»Es wird ein sehr großer Hard- und Software-Aufwand erforderlich sein!«

20. Juni 2011, 13:29 Uhr | Heinz Arnold

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Datenschutz- und Sicherheitsbestimmungen

Wie sieht es mit den Datenschutz- und Sicherheitsbestimmungen aus?

Erste Ansätze sind sowohl in den FNN- als auch den OMS-Spezifikationen zu erkennen. Ob das in den Zeiten von Stuxnet und organisierter Hackergruppen, wie zum Beispiel Anonymous, ausreicht, ist fraglich. Auf jeden Fall wurde wohl im Bundesministerium für Wirtschaft und Technologie (BMWi) über das Thema diskutiert und dem BSI ein Auftrag erteilt.

Sind irgendwelche Ergebnisse absehbar?

Es ist wahrscheinlich, dass es künftig zwingend sein wird, eine bidirektionale Kommunikationsschnittstelle für Smart Meters vorzusehen. Ansonsten lässt sich meines Erachtens das Energiekonzept der Bundesregierung gar nicht umsetzen. Hinsichtlich der Sicherheit arbeitet das BSI daran, ein Schutzprofil für Smart-Metering-Systeme zu erstellen, das die Geräte, die an der Zählerdatenkommunikation beteiligt sind, einhalten müssen.

Wie weit ist die Arbeit gediehen?

Das BSI hat einen ersten Entwurf fertig gestellt und die betroffenen Verbände gebeten, dazu Stellung zu nehmen. Die Verbände wiederum arbeiten an den Stellungnahmen. Es ist allerdings schon abzusehen, dass die BSI-Sicherheitsanforderungen sehr umfangreich ausfallen werden und das ein hoher Aufwand auf der Hard- und Software-Ebene erforderlich sein wird, um sie erfüllen zu können. Nur ein Beispiel: Mit einem kostengünstigen 8-Bit-Controller wird wohl kaum etwas zumachen sein, es geht voraussichtlich nur mit 32-Bit-Controllern.

Das sieht aus, als ob mit Kanonen auf Spatzen geschossen wird. Sind es die Daten wert, die der Zähler aus dem Privathaushalten an die EVUs sendet, dermaßen geschützt zu werden?

Betrachtet man nur den Datenschutz, ist der Aufwand aus meiner Sicht nicht gerechtfertigt. Aber man muss sich überlegen, dass später einmal mindestens 40 Millionen Stromzähler in den Haushalten installiert sein könnten, die den EVUs per Internet die Verbrauchsdaten liefern, um auf die jeweilige Nachfragesituation zu reagieren. Dieses Demand-Response-Lastmanagement ist ja einer der Grundgedanken des Smart Grid.

Es geht also nicht nur darum, die Daten der privaten Haushalte zu schützen, sondern das künftige Smart Grid vor Angriffen von außen zu schützen?

Genau, es könnte sich ja jemand in die Kommunikationsverbindungen einschleichen, der den EVUs einen sinkenden Energieverbrauch vorgaukelt, den es in Wirklichkeit nicht gibt. Fahren die EVUs die Erzeugung in den dezentralen Kraftwerken dann entsprechend den Zahlen herunter, die sie sehen, dann kann es zum Netzzusammenbruch kommen. Ein Smart Grid, an dem Millionen von Verbrauchern und Erzeugern hängen, erfordert ein Höchstmaß an Sicherheit. Dazu muss es ein ausgefeiltes Schutzprofil geben – auch auf Ebene der Zähler.

Und es muss Stellen geben, die überwachen, ob alle Geräte dem Schutzprofil entsprechen, dasselbe müsste für die Fertigung der Hersteller gelten – ähnlich wie heute bei der Fertigung von Smartcard-ICs, etwa für Bankkarten…

So wie es aussieht, müssen alle Hersteller für Smart-Meter-Baugruppen zukünftig eine Zertifizierung durch das BSI beantragen. Dazu müssen auch Verträge mit vom BSI zugelassenen Prüfstellen geschlossen werden. Diese Prüfstellen sollen die Endgeräte einem White-Box-Test unterziehen und sie gemäß dem Schutzprofil auf Sicherheitslücken prüfen. Das bedeutet einen sehr hohen Aufwand. Die Hersteller haben mit Kosten im Bereich von 10.000 bis 20.000 Euro für das BSI und wohl mit einem weiteren sechsstelligen Betrag in Zusammenhang mit den Prüfstellen zu rechnen. Der gesamte Test und die Zertifizierung kann sich leicht über ein Jahr hinziehen. Und das BSI muss die Fertigungsstätten bei den Herstellern auditieren. Was nützt eine zertifizierte Entwicklung, wenn Manipulationen in der Serie möglich wären?

Zusammen gefasst also: Technisch stellen intelligente Zähler kein Problem dar. Im Moment finden sie keinen Einsatz, weil niemand einen Kosten-Nutzen-Vorteil daraus ziehen kann. Für die Zukunft, wenn die intelligenten Zähler Daten in das Smart Grid liefern sollen, müssten zusätzlich umfangreiche Sicherheitsmaßnahmen getroffen werden, um das Smart Grid zu schützen. Das macht Smart Meters teuer. Aber wahrscheinlich werden sie in dieser Form gesetzlich vorgeschrieben.

So könnte das Szenario aussehen. Es wird voraussichtlich Übergangslösungen geben. Aber die neuen Regelungen müssten schon blad greifen, um die übergeordneten Ziele des Energiekonzepts hinsichtlich des Smart Grid noch erreichen zu können.

Bis wann soll das Schutzprofi des BSI stehen?

Diese Vorgaben sollen schon bis Ende des Jahres abgeschlossen sein. Ein Jahr später – also zum Jahresende 2012 – soll es aus Sicht des BSI schon erste zertifizierte Produkte geben. Ich rechne damit, dass eine Übergangsregelung für EDL21- und EDL40-Lösungen noch einige weitere Jahre gelten kann, aber so ab 2015 herum müssten die neuen Regulierungen dann voll greifen.

Viel Zeit, um sich darauf vorzubereiten und Produkte rechtzeitig zu entwickeln, steht also gar nicht mehr zur Verfügung?

Ja, die Zeit drängt. Die großen Zählerhersteller haben sicherlich schon ein gewisses Gefühl dafür entwickelt, was sich gerade tut und welche Auswirkungen das in Zukunft nach sich ziehen wird. Aber ich fürchte, die Hersteller von Chips und Baugruppen für die intelligenten Zählersysteme wissen noch gar nicht, was eigentlich auf sie zukommt und wie sie darauf regieren müssen. Da besteht noch ein enormer Informationsbedarf.