Ihre erste Adresse für Energie­markt­­dienst­­leistun­­gen

18. November 2014

BEMD: Erstes Arbeitstreffen BSI-Fachexpertengruppe SMGW-Admin

Am Mittwoch, den 29. Oktober 2014, fand das erste Arbeitstreffen der BSI-Fachexpertengruppe SMGW-Admin statt. Anwesend waren etwa 30 Vertreter aus Verbänden und von Herstellern. Das BSI hatte die neue TR-3109-6 (Strich6 im Folgenden) vor 10 Tagen vorgestellt. Strich6 beschäftigt sich im Gegensatz zu den anderen Unterkapiteln nicht mit Hard- oder Softwaresystemen. Vielmehr werden Prozesse betrachtet, die vom SMGWA in Richtung SMGW und EMT´s bearbeitet werden müssen

Diese Prozesse hat man wie folgt gruppiert:

  • Dienste
  • Administration/ Konfiguration
  • Monitoring
  • Kommunikation

Ziel der Strich6 ist es, den Schutzbedarf für die entsprechenden Cluster zu ermitteln und Bedrohungen zu erkennen. Ein Beispiel: SMGWA schickt ein Profil auf ein falsches SMGW.

Der rechtliche Rahmen für Strich6 soll sich aus der zukünftigen MessSysV (§7) ergeben.

Zur Absicherung der Prozesse will man wie folgt vorgehen:

  1. Bedrohungs- und Risikoanalyse
  2. Evaluierung identifizierter Bedrohungen beim SMGW
  3. Bildung wirksamer- und anforderungsgerechter Maßnahmen
  4. Sicherungsanforderungen an den SMGWA

Beraten wird BSI hierzu durch die Secunet AG.
Eine letzte Beta-Phase von Strich6 soll Ende März 2015 vorgestellt werden.
Die Entwicklung erfolgt unabhängig von den Ende diesen Jahres erscheinenden Verordnungen (12.2014 wurde bestätigt!).

Neben der Diskussion der Strich6 stellte das BSI seine Bemühungen vor, eine Alternative zur Zertifizierung nach ISO 27001, basierend auf dem IT-Grundschutz-Handbuch zu finden. Hier ist man – aufgrund der Forderungen international tätiger Energieversorger – dabei, eine ISO 27001 auf Basis ISO/IEC 27009-Zertifizierung (europäisch) auf den Weg zu bringen. Anders als beim deutschen IT-Grundschutzhandbuch sind beide Normen hochgradig generisch. Die entsprechende Norm für Utilities wird wohl als ISO 27019 veröffentlicht.

Das spart das Entwickeln und Dokumentieren von Entitäten aus dem SMGWA-Umfeld, die das Grundschutzhandbuch heute nicht kennt. Da im Rahmen einer solchen Zertifizierung statt IKT-Systemen nun Prozesse durch das BSI abgenommen werden, muss die Prüfungsordnung nach BSIZertV angepasst werden. Ein Zieltermin wurde nicht genannt. IT-Grundschutz und 27019 werden vom BSI gleichrangig anerkannt. (Bericht: Jürgen Bonin)

ZURÜCK