Cybervize - Cybersecurity Beratung

BSI TR-03109 und die Schutzprofile: Sicherheitsarchitektur und Zertifizierung des Smart-Meter-Gateways

Smart MeteringCISOISMS ManagerMessstellenbetreiberGateway-AdministratorCompliance Manager

Kernaussage

Im Smart Metering verteilt sich die Sicherheitsverantwortung auf zwei getrennte Welten, die beide nachweisbar bestanden werden müssen. Das Smart-Meter-Gateway (SMGW) ist ein Produkt, das gegen ein Common-Criteria-Schutzprofil vom BSI zertifiziert wird (Paragraph 24 MsbG). Der Betrieb durch den Gateway-Administrator (GWA) ist ein Prozess, der über ein zertifiziertes ISMS und die Vorgaben der BSI TR-03109-6 nachgewiesen wird (Paragraph 25 MsbG).

Die TR-03109 ist der technische Bezugsrahmen dieser Architektur: vom SMGW über Sicherheitsmodul, Kryptographie und Smart Metering PKI (SM-PKI) bis zur Gateway-Administration. Produktzertifikat und Betriebs-ISMS sind keine Alternativen, sondern zwei verpflichtende Säulen.

Problem in der Praxis

Oft wird Smart-Metering-Sicherheit als ein einziges Compliance-Thema behandelt. Dabei vermischen sich zwei Fragen: Ist das Gerät zertifiziert, und ist der eigene Betrieb zertifiziert? Wer nur auf das Herstellerzertifikat verweist, hat die Betriebsverantwortung nach Paragraph 25 MsbG nicht abgedeckt; wer nur ein ISMS-Zertifikat vorzeigt, nicht die Produktanforderungen nach Paragraph 24 MsbG.

Hinzu kommt die Versionsdynamik: TR-03109 und Schutzprofile erscheinen in Versionsständen mit Übergangsregelungen, sodass ältere und neuere Stände zeitweise parallel gelten können. Wer plant, ohne den gültigen Stand und die Fristen aktiv zu prüfen, riskiert formal nicht mehr abgedeckte Geräte oder Prozesse. Schließlich werden Behörden verwechselt: Sicherheit und Zertifizierung liegen beim BSI, die regulatorische Aufsicht der Bundesnetzagentur ist davon abzugrenzen.

CISO-Einordnung

Die TR-03109 ist ein modulares Dachdokument mit nummerierten Teilen. Ohne lizenzpflichtige Detailtiefe:

  • SMGW als gesicherte Kommunikationseinheit des intelligenten Messsystems: Funktions- und Interoperabilitätsrahmen in der TR-03109-1, adressiert an den Hersteller.
  • Sicherheitsmodul als kryptographischer Anker: TR-03109-2.
  • Kryptographische Vorgaben der Infrastruktur: TR-03109-3.
  • Smart Metering PKI (SM-PKI): TR-03109-4. Das BSI betreibt die Root-CA als Vertrauensanker, darunter liegen Sub-CAs der Marktteilnehmer.
  • Gateway-Administration (GWA): TR-03109-6, adressiert an den Betreiber.

Parallel stehen die Common-Criteria-Schutzprofile für SMGW, Sicherheitsmodul und Mini-HSM; sie definieren die Sicherheitsanforderungen, gegen die zertifiziert wird. Common Criteria entspricht ISO/IEC 15408 und ist lizenziert; die Schutzprofile sind als BSI-Dokumente verfügbar, ihre Anforderungslisten werden hier nicht wiedergegeben.

Die beiden Nachweise sind zu trennen: Produktsicherheit über die Common-Criteria-Zertifizierung beim BSI (Paragraph 24), sicherer Betrieb über das zertifizierte ISMS mit TR-03109-6 (Paragraph 25). Das Betriebs-ISMS deckt nicht automatisch die Produkt- und Kryptoanforderungen ab.

Umsetzungsperspektive

Die Umsetzung verbindet Produktbeschaffung und Betriebsnachweis. Auf der Produktseite dürfen nur SMGW mit gültigem Zertifikat nach Paragraph 24 MsbG eingesetzt werden; der Hersteller legt es dem GWA vor. Paragraph 22 MsbG verankert die Mindestanforderungen über Schutzprofile und TR; die Anlage zu Paragraph 22 führt die geltenden Stände als verbindliche Übersicht, deren Einhaltung die Konformitätsvermutung mit dem Stand der Technik begründet.

Auf der Betriebsseite baut der GWA ein ISMS auf, das auf ISO/IEC 27001 beziehungsweise ISO 27001 auf Basis IT-Grundschutz aufsetzt und um die Anforderungen der TR-03109-6 ergänzt wird: sichere Prozesse, Rollen, Rechenzentrumsbetrieb, Dienstleister-Einbindung und Remote-Arbeitsplätze für GWA-Personal. Der Nachweis erfolgt über ein Zertifikat nach dem BSI-Zertifizierungsschema oder eine anerkannte Zertifizierungsstelle.

Querschnittlich bleibt die Meldepflicht: Sicherheitsmängel und zertifikatsrelevante Änderungen sind dem BSI unverzüglich zu melden. Zusätzliche Pflichten aus NIS2 und BSIG sind im Einzelfall zu prüfen.

Typische Fehler

  1. Produkt- und Betriebszertifizierung werden vermischt; das Gerätezertifikat gilt fälschlich als Nachweis für den eigenen Betrieb.
  2. Versionsstände und Übergangsfristen werden nicht aktiv gegen die aktuelle BSI-Übersicht geprüft.
  3. Die SM-PKI wird als reine Technikfrage behandelt statt als organisatorischer Vertrauensanker mit Rollen und Schlüsselverwaltung.
  4. Sicherheitsfragen werden fälschlich bei der Bundesnetzagentur statt beim BSI verortet.
  5. Das ISMS wird als reines Audit-Artefakt aufgebaut, ohne die TR-03109-6-Ergänzungen zu betreiben.

Risiken und Trade-offs

Der zentrale Trade-off liegt zwischen Standardkonformität und Betriebsrealität. Die Zertifizierung schafft Verlässlichkeit und eine klare Konformitätsvermutung, bindet aber Ressourcen und macht Änderungen träger, da sie Re-Zertifizierungsbedarf auslösen können.

Ebenso wichtig ist die zeitliche Steuerung: Werden Versionswechsel nicht vorausschauend eingeplant, drohen Lücken zwischen auslaufenden und neuen Ständen. Konkrete Versionen und Stichtage ändern sich und sind vor jeder verbindlichen Aussage am BSI-Dokument zu verifizieren. Hinzu kommt die Mehrfachbetroffenheit: MsbG und SMGW-Regime sind Sonderrecht, das eine zusätzliche Betroffenheit nach NIS2 oder BSIG nicht ausschließt.

Entscheidungspunkte

  • Sind Produktnachweis (Paragraph 24) und Betriebsnachweis (Paragraph 25) klar getrennten Verantwortlichen zugeordnet?
  • Welcher Versionsstand gilt, und welche Übergangsfristen betreffen Geräteflotte und nächste Re-Zertifizierung?
  • Wird der GWA selbst betrieben oder als Dienstleistung bezogen, und wie ist die Dienstleister-Einbindung im ISMS abgebildet?
  • Wie sind Rollen und Prozesse rund um die SM-PKI gegen Missbrauch abgesichert?
  • Besteht neben dem MsbG eine Betroffenheit nach NIS2 oder BSIG?

Praktische Empfehlungen

  1. Führen Sie ein Register, das pro SMGW-Typ das gültige Zertifikat nach Paragraph 24 MsbG, den Schutzprofil- und TR-Stand sowie relevante Fristen verbindet.
  2. Trennen Sie Produktverantwortung (Beschaffung, Herstellerzertifikat) und Betriebsverantwortung (ISMS, TR-03109-6) und definieren Sie die Schnittstelle.
  3. Verankern Sie die Prüfung der aktuellen BSI-Übersicht zu Schutzprofilen und TR als festen Taktpunkt.
  4. Behandeln Sie die SM-PKI als eigenes Steuerungsobjekt mit Rollen, Schlüssel- und Zertifikatslebenszyklus sowie Eskalationswegen.
  5. Klären Sie die Behördenzuordnung (BSI für Sicherheit, Bundesnetzagentur für den regulatorischen Rahmen) und prüfen Sie eine NIS2-/BSIG-Betroffenheit getrennt.

Relevante Normreferenzen

  • MsbG: Paragraph 22 (Mindestanforderungen über Schutzprofile und TR), Paragraph 24 (Zertifizierung des SMGW durch das BSI), Paragraph 25 (Gateway-Administrator und Zertifizierung). Amtliches Werk, frei nutzbar mit Quellenangabe.
  • BSI TR-03109 (alle Teile, u. a. -1 SMGW, -2 Sicherheitsmodul, -3 Kryptographie, -4 SM-PKI, -6 Gateway-Administration): amtliche BSI-Verlautbarungen, frei nutzbar mit Quellenangabe.
  • Common-Criteria-Schutzprofile des BSI (SMGW, Sicherheitsmodul, Mini-HSM): nur als Referenz; die zugrunde liegende Norm ISO/IEC 15408 ist lizenziert.
  • ISO/IEC 27001: Referenz für das ISMS, auf das der Betriebsnachweis aufsetzt; lizenzierte Norm, nur Referenz.

Häufige Fragen

Reicht ein zertifiziertes SMGW, um die Pflichten zu erfüllen?+

Nein. Das Gerätezertifikat nach Paragraph 24 MsbG deckt die Produktseite ab. Der Betrieb braucht zusätzlich den Nachweis nach Paragraph 25 MsbG über ein zertifiziertes ISMS unter Berücksichtigung der TR-03109-6.

Wer zertifiziert das Smart-Meter-Gateway, und welche Rolle hat die Bundesnetzagentur?+

Das BSI zertifiziert im Common-Criteria-Verfahren gegen das einschlägige Schutzprofil; der Hersteller legt das Zertifikat dem GWA vor. Die Bundesnetzagentur ist nur regulatorisch-wirtschaftlich zuständig, nicht für die SMGW-Sicherheit.

Sind die genannten Versionen und Fristen verbindlich?+

Nein. Versionsstände und Übergangsstichtage ändern sich und sind vor verbindlichen Aussagen an der aktuellen BSI-Übersicht zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Smart Metering prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: sm-002.