IT-Sicherheit im Bereich des Smart Metering

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einführung

2 Rechtliche Vorgaben
2.1 Europäische Vorgaben
2.1.1 EU-Energieeffizienzrichtlinie 2006/32/EG
2.1.2 EU-Binnenmarktrichtlinie 2009/72/EG
2.1.3 EU-Energieeffizienzrichtlinie 2012/72/EU
2.2 Nationale Vorgaben
2.2.1 Energiewirtschaftsgesetz
2.2.2 Messsystemverordnung
2.2.3 Schutzprofil und Technische Richtlinien

3 Zählerarten, Übertragungs- und Kommunikationstechnologien
3.1 Zähl- und Messsysteme
3.1.1 Elektro-mechanische Zähler
3.1.2 Elektronische Zähler
3.1.3 Smart Metering bzw. Smart Meter Gateway
3.2 Kommunikationsnetze
3.2.1 Home Area Network
3.2.2 Local Metrological Network
3.2.3 Wide Area Network
3.3 Übertragungstechnologien
3.3.1 Digital Subscriber Line
3.3.2 Power Line Carrier
3.3.3 Global System for Mobile Communications/ General Packet Radio Service

4 Anforderungen zum Datenschutz und zur Datensicherheit
4.1 Anforderungen an das SMGW
4.1.1 Datenschutz und Datensicherheit
4.1.2 Datenverarbeitung
4.1.3 Weitere Funktionen
4.2 Anforderungen an die Kommunikationsnetze
4.2.1 Anforderungen Local Meteological Network
4.2.2 Anforderungen Home Area Network
4.2.3 Anforderungen Wide Area Network

5 Schlussbetrachtung

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Darstellung eines Smart Meter Gateway

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einführung

Durch den Einsatz von Smart Metering strebt die europäische Union eine ressourcenschonende und sinkende Energienutzung an. Hierfür wurden auf europäischer Ebene rechtliche Vorgaben erstellt, die alle Mitgliedsstaaten verpflichtet nationale Gesetze zu definieren, um Smart Metering in den jeweiligen Ländern einzuführen. In den ersten EU-Vorgaben, die die Einführung intelligenter Messsysteme forderten gab es hinsichtlich der IT-Sicherheit keine Vorschriften. Die ersten Ansätze zum Datenschutz und zur Datensicherheit in diesem Bereich wurden im Jahr 2011 durch die Novellierung des EnWG  gemacht.

Ziel dieser Arbeit ist, die Vorstellung rechtlicher Vorgaben sowie die sich daraus ergebenen technischen Anforderung, um eine sichere Nutzung von Smart Metern zu gewährleisten. Dazu werden in Kapitel 2 die europäischen und nationalen Vorgaben vorgestellt. In Kapitel 3 erfolgt Vorstellung verschiedener Zählerarten sowie Übertragungs- und Kommunikationstechnologien, die im Bereich des Smart Metering genutzt werden. Daraufhin erfolgt in Kapitel 4 ein Einblick in die Schutzprofile sowie Technischen Richtlinien, die Anforderungen an die einzelnen Komponenten eines intelligenten Messsystems stellen. Abschließend erfolgt in Kapitel 5 eine Schlussbetrachtung dieser Arbeit.

2. Rechtliche Vorgaben

Im folgenden Kapitel werden die maßgebenden europäischen und nationalen Richtlinien, die Vorgaben zur Nutzung von intelligentesten Messsystemen betreffen, erläutert. Auf europäischer Ebene sind vor Allem die Energieeffizienzrichtlinien wesentliche Gesetze. Diese werden auf nationaler Ebene durch das Energiewirtschaftsgesetz umgesetzt und bildet damit auf deutscher Ebene, die wichtigste Richtlinie.

2.1 Europäische Vorgaben

Auf europäischer Ebene sind insbesondere drei Richtlinien zur Einführung intelligenter Zähler maßgebend. Zum Einen die EU-Energieeffizienzrichtlinie aus dem Jahr 2006, zum Anderen aus dem Jahr 2012 sowie die EU-Binnenmarktrichtlinie. Auf diese drei Richtlinien wird im folgenden Kapitel näher eingegangen.

2.1.1 EU-Energieeffizienzrichtlinie 2006/32/EG

In der Richtlinie über Endenergieeffizienz und Energiedienstleistungen (EU-Energieeffizienzrichtlinie) sind die rechtlichen Rahmen zur Einführung von Smart Metern in Europa definiert. Eine Vorgabe ist, dass die Mitgliedsstaaten sicherstellen müssen, dass alle Endverbraucher in den Bereichen Strom, Erdgas, Wärme, Kühlung und Warmwasser Zähler erhalten, die den Verbrauch und die Verwendungszeit in einem hohen Detaillierungsgrad darstellen können. Voraussetzung für die Einführung ist allerdings eine technische und ökonomische Machbarkeit der Mitgliedsstaaten.^[1]

Gemäß Art. 13 Abs. 2 sollen die Abrechnungen aller Endkunden genaue Informationen über den Verbrauch enthalten, so dass die Energiekosten für die Endkunden daraus ersichtlich sind. Weiterhin sollen die Verbrauchsabrechnungen so häufig erfolgen, dass es den Endkunden möglich ist ihr eigenes Nutzungsverhalten im Energiebereich zu steuern.^[2]

2.1.2 EU-Binnenmarktrichtlinie 2009/72/EG

Neben der EU-Energieeffizienzrichtlinie weist auch die EU-Binnenmarktrichtlinie aus 2009 auf die Bedeutung von Smart Metering hin.

In Art. 3 Ziff. 11 ist festgeschrieben, dass die Energieeffizienz in Europa dadurch gefördert werden kann, dass Mitgliedsstaaten auf nationaler Ebene Empfehlungen geben, wie Energieversorgungsunternehmen ihren Stromverbrauch senken können. Diese Empfehlungen sind z.B. die Weiterentwicklung neuer Preismodelle oder die Einführung intelligenter Messsysteme oder Netze.^[3]

Wie in der Richtlinie 2006/32/EG festgehalten, findet sich auch in dieser EU-Binnenmarktrichtline die Maßgabe wieder, dass durch die Einführung intelligenter Messsysteme, die Verbraucher ihren Stromverbrauch aktiv steuern sollen. Des Weiteren kann eine Kosten-Nutzen-Analyse auf nationaler Ebene erfolgen, um zu Prüfen welche Art von Messsystemen ökonomisch vertretbar sind. Liegt nach der Analyse, die bis zum 3. September 2012 erfolgen soll, ein positives Ergebnis zur Einführung von Smart Metern vor, so müssen mindestens 80 % der Endkunden bis zum Jahr 2020 mit intelligenten Zählern ausgestattet sein.^[4]

2.1.3 EU-Energieeffizienzrichtlinie 2012/72/EU

In 2012 wurde die EU-Energieeffizienzrichtlinie aus 2009 überarbeitet und die rechtlichen Vorgaben bezüglich der Einführung von Smart Metern präzisiert.

Die Mitgliedsstaaten sind verpflichtet bei der Erstellung von Maßnahmen, die zu Energieeffzienzoptimierungen bzw. Energieeffizienzsteigerungen führen, u.a. den verstärkten Einsatz von intelligenten Zählern mit einzubeziehen.^[5] Zusammen mit der EU-Binnenmarktrichtlinie 2009 soll weiterhin daran festgehalten werden, dass bei einer positiven Analyse bezüglich der Kosten und des Nutzen von intelligenten Zählern, mindestens 80 % der Endverbraucher im Strombereich bis 2020 solche Messsysteme erhalten.^[6]

Erfolgt die Einführung von intelligenten Zählern bei Endkunden, so ist gemäß Art. 9 Abs. 2 sicherzustellen, dass die Verbraucher über die Möglichkeiten dieser Zähler umfassend informiert werden. Des Weiteren muss sichergestellt sein, dass die Endkunden sich auf eine sichere Datenkommunikation und die Wahrung der Privatsphäre vertrauen können.^[7] Eine weitere Vorgabe ist, dass es Endkunden ermöglicht werden soll, seine historischen Verbrauchsdaten, über einen leichten Zugriff auf die intelligenten Zähler, einsehen zu können.^[8]

Diese Richtlinie präzisiert damit die Einführung intelligenter Zähler bzw. intelligenter Messsysteme und setzt den Datenschutz und die Datenverwendung in den Mittelpunkt.

2.2 Nationale Vorgaben

Wie in Kapitel 2.1 aufgezeigt wurde, ist das Smart Metering ein aktuelles Thema in der Europäischen Union. Mit den Richtlinien auf europäischer Ebene sind die Mitgliedsstaaten verpflichtet, diese in nationales Recht umzusetzen. Hier ist insbesondre das Energiewirtschaftsgesetz zu erwähnen. Auf die nationalen Vorgaben in Deutschland wird in diesem Kapitel näher eingegangen.

2.2.1 Energiewirtschaftsgesetz

Das Gesetz über die Elektrizitäts- und Gasversorgung bzw. Energiewirtschaftsgesetz bildet die rechtliche Grundlage für die Versorgung mit leitungsgebundenen Energien wie Elektrizität und Gas.^[9]

Eine Liberalisierung des EnWG fand im Jahr 2008, aus den Vorgaben der EU-Energieeffizienzrichtlinie 2006/32/EG, statt. Mit der Neufassung wurde §21 EnWG hinsichtlich der Messeinrichtungen erweitert,^[10] und bildet damit wichtige Vorgaben zur Liberalisierung des Messwesens sowie zur Nutzung von Smart Metern.

Eine Erweiterung um zwei wesentliche Vorgaben wurde in §21b Abs. 3 umgesetzt. Nach §21b Abs. 3a müssen Messstellenbetreiber ab dem 1. Januar 2010 „in Gebäuden, die neu an das Energieversorgungsnetz angeschlossen werden oder einer größeren Renovierung…unterzogen werden“ Einrichtungen einbauen, die den Nutzern den wirklichen Energieverbrauch und dessen Nutzungsverhalten messen bzw. darlegen. Des Weiteren muss der Messstellenbetreiber, gemäß §21b Abs. 3b, ab dem 1. Januar 2010 den Nutzern des Anschlusses auch in bestehenden Gebäuden, die Möglichkeit von Messeinrichtungen, die den wirklichen Energieverbrauch und dessen Nutzerverhalten wiedergeben, anbieten.^[11]

Das EnWG aus dem Jahr 2008 enthielt bereits wichtige Vorgaben zur Einführung von intelligenten Zählern, allerdings noch keine rechtlichen Richtlinien hinsichtlich des Datenschutzes und der Datensicherheit. Mit der Neuregelung in dem Jahr 2011 wurde §21 EnWG ebenfalls dahingehend erweitert.

In §21e EnWG ist geregelt, dass nur Zähler genutzt werden dürfen, die den Vorgaben des Eichrechts genügen. Des Weiteren müssen die Messsysteme bestimmte Ansprüche erfüllen, die den Datenschutz, der Datensicherheit und der Interoperabilität entsprechen und mit einem Zertifikat belegt sind. Gemäß §21e Abs. 3 wird vorgeschrieben, dass die genutzten Messsysteme dem aktuellen Stand der Technik genügen müssen. Erfolgt die Kommunikation über Netze die frei zugänglich sind, muss ein Verschlüsselungsverfahren angewendet werden.^[12] Die genauen Anforderungen finden sich in dem sog. Schutzprofil und in den Technischen Richtlinien wieder, welche durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt werden.^[13] Zähler, die diese Richtlinien nicht erfüllen, dürfen gemäß §21e (5) im Bereich Strom und nach §21f (2) im Bereich Gas nur noch bis zum 31.12.2014 für Messungen verwendet werden.^[14]

Zum Datenschutz ist in §21g EnWG festgehalten, dass personenbezogene Daten nur ermittelt und genutzt werden dürfen, wenn diese für den Energieversorger notwendig sind, um z.B. die Abrechnung zu erstellen oder den Zustandes des Netzes zu ermitteln. Weitere Notwendigkeiten werden in §21g Abs. 1 Nr. 1 bis 8 aufgeführt. Die Daten dürfen allerdings nur verwendet werden, wenn der Empfänger eine Berechtigung zur Nutzung besitzt.^[15]

Ein weiterer neuer Paragraph ist §21h. In diesem finden sich Richtlinien bezüglich den Informationspflichten des Messstellenbetreibers wieder. Dieser muss auf Anfrage des Anschlussnutzers Einblick in die gespeicherten Daten geben bzw. die Daten kostenfrei zur Verfügung stellen, damit diese weiter genutzt werden können.^[16]

Mit der Neufassung des EnWG im Jahr 2011 wurden Rahmenbedingungen geschaffen, die den Datenschutz sowie die Datensicherheit von Smart Metern betreffen und zu weiteren Vorgaben in Deutschland führen.

2.2.2 Messsystemverordnung

Die Messsystemverordnung (MsysV-E) wurde durch das Bundesministerium für Wirtschaft und Technologie erstellt und existiert bisher nur als Entwurf vom 13.03.2013. Diese beinhaltet technische Vorgaben für die Nutzung intelligenter Messsysteme.^[17] Die ursprünglichen Rahmen hierfür stammen aus den in §21i EnWG beschriebenen Vorgaben zur Erstellung von Schutzprofilen und Technischen Richtlinien.

Im Detail beinhaltet die MsysV-E neben den Mindestanforderungen an intelligenten Messsystemen auch detaillierte Anforderungen an Smart Meter Gateways (SMGW).^[18] Eine Erläuterung zu SMGW erfolgt in Kapitel 3 dieser Arbeit.

Gemäß §3 MsysV-E müssen intelligente Messsysteme zum Einen die zuverlässige Nutzung, Speicherung sowie Löschung von Messdaten sicherstellen, zum Anderen eine Visualisierung der Messwerte und Messverläufe umsetzen. Des Weiteren müssen intelligente Messsysteme „sichere Verbindungen in Kommunikationsnetzen durchsetzen“,^[19] und ein SMGW besitzen, welches in der Verwendung erweiterbar ist.^[20]

Mit den Vorgaben in der MsysV-E auf das Schutzprofil und die Technischen Richtlinien, gewinnen die Anforderungen zum Datenschutz und zur Datensicherheit bei intelligenten Messsystemen einen hohen Stellenwert. Das Schutzprofil und die Technischen Richtlinien des BSI werden im Folgenden kurz vorgestellt. Eine detaillierte Beschreibung der einzelnen Vorgaben ist auf Grund der hohen Anzahl hier nicht möglich.

2.2.3 Schutzprofil und Technische Richtlinien

Das Schutzprofil sowie die Technischen Richtlinien, wurden in dem EnWG aus dem Jahr 2011 fest verankert und somit verbindlich für alle Marktteilnehmer in Deutschland. Die Erstellung erfolgte im Jahr 2013 durch das BSI, wobei das Schutzprofil die Mindestanforderungen an den Datenschutz und die Datensicherheit von SMGW beinhaltet. SMGW müssen diese Mindestanforderungen erfüllen, um ein Zertifikat zu erhalten. Mit diesem Zertifikat wird nachgewiesen, dass der geprüfte SMGW alle Schutzziele in dem Schutzprofil erfüllt.^[21] Neben dem Schutzprofil für das SMGW wurde durch das BSI ein Schutzprofil für das Sicherheitsmodul innerhalb eines SMGW aufgestellt.^[22]

Die Technischen Richtlinien beinhalten Mindestanforderungen an die in einem SMGW vorhandenen Bestandteile und gewährleisten bei Erfüllung die Interoperabilität sowie die technischen Umsetzung des Schutzprofils. Bei der Entwicklung der Technischen Richtlinie haben sich Verbände aus verschiedenen Branchen, wie z.B. der Telekommunikation, Energie und Informationstechnik, beteiligt. Insgesamt besteht diese Richtlinie aus fünf Teilen, die die verschiedenen Bereiche eines SMGW abdecken.^[23]

[...]

^[1] Vgl. Europäisches Parlament (2006), Art. 13 Abs. 1.

^[2] Vgl. Europäisches Parlament (2006), Art. 13 Abs. 2, Satz 2 und 3.

^[3] Vgl. Europäisches Parlament (2009), Art. 3 Ziff. 11.

^[4] Vgl. Europäisches Parlament (2009), Ziff. 2 Abs. 1 Anhang I.

^[5] Vgl. Europäisches Parlament (2009), Nr. 26.

^[6] Vgl. Europäisches Parlament (2009), Nr. 27.

^[7] Vgl. Europäisches Parlament (2009), Art. 9 Abs. 2.

^[8] Vgl. Europäisches Parlament (2009), Art. 10 Abs. 2.

^[9] Vgl. BMJ (2005), §1.

^[10] Vgl. Graßmann (2009), S. 214.

^[11] Vgl. BMJ (2008a), §21b Abs. 3.

^[12] Vgl. BMJ (2005), §21e.

^[13] Vgl. BMJ (2005), §21i (2) Nr. 10.

^[14] Vgl. BMJ (2005), §21e (5) und §21f (2).

^[15] Vgl. BMJ (2005), §21g.

^[16] Vgl. BMJ (2005), §21h.

^[17] Vgl. BMWT (2013).

^[18] Vgl. BMWT (2013), §3 und §4.

^[19] Vgl. BMWT (2013), §3 Nr. 3.

^[20] Vgl. BMWT (2013), §3 Nr. 4.

^[21] Vgl. BSI (2014b).

^[22] Vgl. BSI (2014c).

^[23] Vgl. BSI (2014a).