Smart-Metering-Security-Roadmap für den CISO
Kernaussage
Smart Metering ist für den CISO kein reines Geräte- oder Rollout-Thema, sondern ein zweigleisiges Sicherheitsregime. Das Messstellenbetriebsgesetz (MsbG) und die Technischen Richtlinien des BSI (Reihe TR-03109) trennen Produktsicherheit des Smart-Meter-Gateways (SMGW) und Betriebssicherheit der Gateway-Administration (GWA). Beide Spuren müssen in einer Roadmap zusammenlaufen, sonst entsteht ein Zertifikat ohne belastbaren Betrieb (Quelle: MsbG; BSI TR-03109).
Für den CISO zählt die Reihenfolge: zuerst Betroffenheit und Rolle klären (MSB, GWA, Hersteller oder Kombination), dann SMGW-Zertifizierung und PKI-Anbindung als Voraussetzungen verstehen, das ISMS nach Paragraf 25 MsbG aufbauen und nachweisbar machen und das Ganze mit dem angrenzenden Energie-Track sowie mit NIS2 verzahnen.
Problem in der Praxis
Viele Organisationen behandeln Smart Metering als Geräterollout mit Stichtag. Das verdeckt, dass die regulatorische Last weniger am Zähler hängt als an der Rolle: Wer als Messstellenbetreiber Gateways einsetzt oder die Gateway-Administration selbst oder als Dienstleistung erbringt, übernimmt eine zentrale Sicherheitsfunktion.
Daraus entstehen drei Muster. Erstens bleibt die eigene Betroffenheit unscharf, weil die Rollen MSB, GWA und Hersteller vermischt werden, obwohl sie unterschiedliche Pflichten auslösen. Zweitens wird die Produktsicherheit des SMGW (Common-Criteria-Zertifizierung durch das BSI) mit der Betriebssicherheit der GWA (zertifiziertes ISMS) verwechselt, sodass ein Bereich als erledigt gilt, der gar nicht abgedeckt ist. Drittens wird die SM-PKI als bloße Technik gesehen statt als organisatorische Anbindung an einen vom BSI betriebenen Vertrauensanker.
Hinzu kommt regulatorische Bewegung. Mit dem Gesetz zum Neustart der Digitalisierung der Energiewende (GNDEW, 22.05.2023) wurde der Rollout beschleunigt; die frühere BSI-Markterklärung als Auslöser ist entfallen, und ein verbindlicher Fahrplan reicht bis 2030. Konkrete Einbau-Quoten und spätere Anpassungen sind am aktuellen MsbG-Text zu prüfen. Wer seine Planung an einer einzelnen Versions- oder Fristangabe festmacht, riskiert eine veraltete Grundlage.
CISO-Einordnung
Eine belastbare Roadmap beantwortet aus CISO-Sicht vor allem diese Fragen:
- In welcher Rolle sind wir betroffen: grundzuständiger MSB, wettbewerblicher MSB, GWA, Hersteller oder mehreres zugleich?
- Welche Pflicht trifft welche Rolle: SMGW-Zertifizierung (Paragraf 24 MsbG, BSI nach Common Criteria) oder GWA-ISMS (Paragraf 25 MsbG)?
- Wie binden wir uns organisatorisch an die Smart-Metering-PKI an, deren Wurzel-Zertifizierungsstelle das BSI betreibt?
- Welche Vorgaben der TR-03109-6 ergänzen unser ISMS, und wie weisen wir das nach?
- Wo entsteht Doppelbetroffenheit gegenüber dem Energie-Track und NIS2?
Wichtig ist die saubere Behördenzuordnung. Sicherheit und Zertifizierung von SMGW und GWA liegen beim BSI; das BSI erstellt die TR-03109 und die Schutzprofile, betreibt die Wurzel-CA der SM-PKI und ist Empfänger der Sicherheitsmeldungen. Das zuständige Bundesministerium genehmigt nur die Veröffentlichung der Technischen Richtlinien (politische Freigabe, keine technische Aufsicht). Die Bundesnetzagentur ist regulatorisch und wirtschaftlich begrenzt zuständig (etwa für Marktkommunikation, Preisobergrenzen nach Paragraf 30 MsbG und Rolloutkosten), nicht für die SMGW-Sicherheit oder -Zertifizierung.
Umsetzungsperspektive
Die Roadmap lässt sich als Folge stabiler Bausteine führen, ohne jede Anforderung der Richtlinien zu reproduzieren:
- Betroffenheit und Rollen festschreiben: MSB- und GWA-Rolle dokumentieren, Eigenbetrieb gegen Dienstleistereinbindung abgrenzen.
- Produktspur klären: nur SMGW mit gültigem Zertifikat nach Paragraf 24 MsbG einsetzen; das Herstellerzertifikat ist dem GWA vorzulegen. Krypto-Anker des SMGW ist ein zertifiziertes Sicherheitsmodul.
- PKI-Anbindung aufsetzen: Anbindung an die SM-PKI organisieren (Teilnehmerstruktur unter der BSI-Wurzel), mit Prozessen für Beantragung, Schlüsselverwaltung und Erneuerung.
- Betriebsspur aufbauen: ISMS nach Paragraf 25 MsbG, dessen Zertifizierungsschema inhaltlich auf ISO/IEC 27001 (auch auf Basis IT-Grundschutz) aufbaut, ergänzt um die Vorgaben der TR-03109-6.
- Nachweis führen: Zertifikatsnachweis nach Paragraf 25 MsbG planen, Melde- und Mitteilungsprozess an das BSI einüben, Re-Zertifizierung und Überwachung takten.
- Verzahnen: Abgrenzung gegenüber dem Energie-Track (EnWG-IT-Sicherheitskatalog der BNetzA) und NIS2/BSIG bewerten.
Die aktualisierte TR-03109-6 zur Gateway-Administration wurde nach Genehmigung durch das Ministerium veröffentlicht; sie adressiert unter anderem Remote-Arbeitsplätze für GWA-Personal, die Einbindung von Dienstleistern und die stärkere Anbindung an gängige ISMS-Standards. Versionsstände und Übergangsstichtage sind vor verbindlicher Aussage an der BSI-Übersicht der Schutzprofile und Technischen Richtlinien zu bestätigen.
Typische Fehler
- Die SMGW-Zertifizierung (Produkt, Paragraf 24) wird mit dem GWA-ISMS (Betrieb, Paragraf 25) gleichgesetzt; ein Bereich bleibt ungedeckt.
- Die SM-PKI wird rein technisch gedacht, ohne Antrags-, Schlüssel- und Erneuerungsprozesse organisatorisch zu verankern.
- Sicherheitszuständigkeit wird der Bundesnetzagentur zugeschrieben, obwohl Sicherheit und Zertifizierung beim BSI liegen.
- Versionen und Fristen der TR/Schutzprofile werden als fix übernommen, statt am aktuellen BSI-Dokument geprüft.
- Doppelbetroffenheit gegenüber NIS2/BSIG und dem Energie-Track wird übersehen, sodass Pflichten doppelt oder gar nicht bedient werden.
Risiken und Trade-offs
Eigenbetrieb der Gateway-Administration sichert Kontrolle, bindet aber Aufbau und Nachweis eines zertifizierten ISMS dauerhaft an die eigene Organisation. Die Auslagerung an einen GWA-Dienstleister reduziert internen Aufwand, verschiebt aber Verantwortung in eine Lieferkette, die der CISO steuern und nachweisen muss; die TR-03109-6 adressiert solche Dienstleisterkonstellationen.
Ein zweiter Trade-off liegt im Zeitverhalten der Regulierung: Wer auf einen festen Versions- oder Fristenstand plant, gewinnt Planbarkeit, riskiert aber Veralterung. Sinnvoll ist, die Roadmap an Rollen und Prozessen zu verankern und Versionen sowie Stichtage als prüfpflichtige Parameter zu behandeln.
Drittens besteht das Risiko der Mehrfachbetroffenheit. Energie ist ein NIS2-Sektor hoher Kritikalität; das MsbG/SMGW-Regime ist sektorspezifisches Sonderrecht. MSB und GWA können je nach Größe und Schwellen zusätzlich unter NIS2/BSIG fallen, dessen Paragrafenlage nach der NIS2-Umsetzung neu strukturiert und im Einzelfall zu prüfen ist.
Entscheidungspunkte
- Betreiben wir die Gateway-Administration selbst oder beziehen wir sie als Dienstleistung, und wie weisen wir die jeweils gewählte Variante nach?
- Bauen wir das ISMS auf Basis ISO/IEC 27001 oder auf Basis IT-Grundschutz auf, und wie integrieren wir die TR-03109-6?
- Wie organisieren wir die SM-PKI-Anbindung und die zugehörigen Schlüssel- und Erneuerungsprozesse?
- Wann ist die Betriebsspur reif genug für die Zertifizierung und den Nachweis nach Paragraf 25 MsbG?
- Wie steuern wir die Verzahnung mit dem Energie-Track und mit NIS2/BSIG, um Doppelarbeit und Lücken zu vermeiden?
Praktische Empfehlungen
- Klären Sie zuerst Rolle und Betroffenheit (MSB, GWA, Hersteller) und leiten Sie daraus die zutreffenden Pflichten ab.
- Trennen Sie Produktspur (SMGW-Zertifizierung, Paragraf 24) und Betriebsspur (GWA-ISMS, Paragraf 25) sauber und decken Sie beide ab.
- Verankern Sie die SM-PKI-Anbindung als organisatorischen Prozess mit klaren Rollen, nicht nur als technische Einrichtung.
- Behandeln Sie Versionen und Fristen der TR-03109 und der Schutzprofile als prüfpflichtige Parameter und bestätigen Sie sie am aktuellen BSI-Dokument.
- Etablieren Sie den Melde- und Nachweisprozess an das BSI als eingeübten Regelbetrieb und bewerten Sie Doppelbetroffenheit gegenüber NIS2/BSIG und dem Energie-Track früh.
Relevante Normreferenzen
- Messstellenbetriebsgesetz (MsbG): Rechtsgrundlage, insbesondere die Paragrafen 19, 22, 24, 25 und 30; amtliches Werk, frei nutzbar mit Quellenangabe.
- BSI TR-03109 (Reihe, u. a. -1 SMGW, -2 Sicherheitsmodul, -3 Kryptografie, -4 SM-PKI, -6 Gateway-Administration): amtliche BSI-Verlautbarungen, frei nutzbar mit Quellenangabe (Namensnennung BSI). Versionsstände vor verbindlicher Nutzung prüfen.
- BSI-Schutzprofile (Common Criteria, ISO/IEC 15408): nur referenzieren, keine Wiedergabe von Anforderungslisten.
- ISO/IEC 27001 (ggf. mit ISO/IEC 27019): Referenz für die ISMS-Grundlage des Paragraf-25-Zertifizierungsschemas; lizenzierte Norm, nur Referenz.
Häufige Fragen
Wer ist von der Smart-Metering-Security betroffen?+
Vor allem Messstellenbetreiber (grundzuständig und wettbewerblich), Smart-Meter-Gateway-Administratoren und SMGW-Hersteller. Die Pflichten hängen an der Rolle, nicht am einzelnen Zähler.
Worin unterscheiden sich SMGW-Zertifizierung und GWA-ISMS?+
Die SMGW-Zertifizierung betrifft die Produktsicherheit und erfolgt durch das BSI nach Common Criteria (Paragraf 24 MsbG). Das GWA-ISMS betrifft die Betriebssicherheit und wird nach Paragraf 25 MsbG nachgewiesen, ergänzt um die TR-03109-6.
Ist die Bundesnetzagentur für die SMGW-Sicherheit zuständig?+
Nein. Sicherheit und Zertifizierung liegen beim BSI, das auch die Wurzel-CA der SM-PKI betreibt. Die BNetzA ist nur regulatorisch und wirtschaftlich begrenzt zuständig, etwa für Marktkommunikation, Preisobergrenzen und Rolloutkosten.
Wie hängt Smart Metering mit dem Energie-Track und NIS2 zusammen?+
MsbG/SMGW ist sektorspezifisches Sonderrecht. MSB und GWA können zusätzlich unter NIS2/BSIG fallen; gegenüber dem EnWG-IT-Sicherheitskatalog ist im Einzelfall abzugrenzen und zu verzahnen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Smart Metering prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
- Smart Metering und das MsbG: Überblick
- BSI TR-03109 und die Schutzprofile: Sicherheitsarchitektur und Zertifizierung des Smart-Meter-Gateways
- Die Smart-Metering-PKI (SM-PKI): Vertrauensanker der Gateway-Kommunikation
- Rollen und Pflichten im Smart Metering: MsbG, GWA und der Bezug zum EnWG-Sicherheitskatalog
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: sm-005.
