Smarte Kisten für smarte Gateways
Eugen Mayer, Vorstand der PPC AG: „Unser sicherer Lieferprozess sorgt dafür, dass keine manipulierten Smart Meter Gateways in den Rollout-Prozess eingeschleust und verbaut werden können.“
Herr Mayer, als SMGW-Hersteller stehen Sie beim Zertifizierungsprozess im engen Austausch mit dem BSI. Wie kam das Thema „Sicherer Lieferprozess“ auf die Tagesordnung?
Ende 2017 stellte sich im Zertifizierungsverfahren heraus, dass die bestehenden Prozesse nicht die Sicherheitsanforderungen an die SMGW-Auslieferung erfüllten. Man hatte erkannt, dass der Transportweg zwischen der Produktion der Geräte in der abgesicherten Umgebung der Hersteller und dem Verbauen im Zählerschrank bei den Endkunden durch zusätzliche Maßnahmen abgesichert werden muss.
Warum ist der Aspekt des sicheren Transports so bedeutsam? Ein SMGW kann ja auch im Zählerschrank angegriffen werden.
Ein einzelnes im Keller installiertes SMGW ist durch die Gebäudeinfrastruktur geschützt und für einen physischen Angriff weniger interessant. Mit einem Angriff während des Transportes hingegen könnten viele SMGW auf einmal manipuliert werden. Da hier kein physischer Schutz durch die Gebäudeinfrastruktur besteht, müssen zusätzliche Sicherheitsmaßnahmen umgesetzt werden.
„Schutz vor dem Einbau manipulierter Geräte“
Sie haben sich also auf die Suche nach einer Lösung gemacht. Welche Anforderungen galt es zu erfüllen?
Zuerst einmal sollte sich die Lösung möglichst gut in die bestehenden Prozesse unserer Kunden integrieren lassen. Auch sollten die SMGW weiterhin mit normalen Speditionen transportiert werden können und keine baulichen Maßnahmen an bereits bestehenden Zwischenlagern notwendig werden. Das Ziel dieser Lösung ist dabei weniger, einen Diebstahl der Geräte zu verhindern, sondern dafür zu sorgen, dass niemals manipulierte Geräte in den Rollout-Prozess eingeschleust und im Feld verbaut werden. Das heißt, es galt sicherzustellen: Wenn ein Gerät abhandenkommt, muss man diesen Umstand zuverlässig erkennen und ein erneutes Einschleusen in den Installationsprozess verhindern können. Dabei haben wir festgestellt, dass es im Markt keine fertige Lösung gibt, die diese Anforderungen auf dem geforderten Level abdeckt.
Das bedeutet, Sicherheitstransporte zum Beispiel waren als Lösung von vornherein aus dem Rennen?
Ja. Da die Auslieferung der SMGW in einem mehrstufigen Prozess mit Zwischenlagerung beim Messstellenbetreiber und bei Montagedienstleistern erfolgt, war ein Sicherheitstransport zwischen Produktion und Einbauort nicht umsetzbar. Und wenn man sich vorstellt, dass der Monteur das SMGW beim Kunden aus einem gepanzerten Fahrzeug entnehmen muss, kommt man schnell zum Ergebnis, dass so etwas auch kommerziell überhaupt nicht zum SMGW und dem Kostenrahmen passt. Außerdem erfüllen derartige Logistikprozesse nicht die speziellen Anforderungen, die das BSI hier stellt.
„Anforderung: Erkennen, ob jemand die Transportbox gewaltsam öffnen wollte“
Sie sind dann auf ein Unternehmen gestoßen, das sich auf sichere Schließsysteme spezialisiert hat. Was ist das Besondere an der Lösung?
Dieses Unternehmen verfügt über ein Schließsystem für kritische Infrastrukturen, das schon in einem anderen Verfahren vom BSI geprüft worden ist. Die wichtigste Anforderung an dieses Behältnis ist, dass man erkennen können muss, wenn jemand versucht hat, das Behältnis gewaltsam zu öffnen. Tritt dieser Fall ein, können wir die Geräte, die sich darin befunden haben oder befinden, eindeutig identifizieren und sperren, sodass eine Installation eventuell manipulierter Geräte sicher verhindert wird. Geöffnet und geschlossen wird die Transportbox per elektronischem Schlüssel mit einem individuellen Key.
Kommen für den SMGW-Transport Standardboxen des Herstellers zum Einsatz?
Die Boxen mussten nach den Vorgaben des BSI angepasst werden, damit man Manipulationsversuche zuverlässiger erkennen kann. Zum Beispiel wurden die Scharniere für den Deckel von außen nach innen verlegt, ebenso wurde der Schließmechanismus angepasst.
„Sicherer Prozess für die SMGW-Auslieferung“
Die Boxen sind das eine, aber es braucht auch Prozesse rund um die Handhabung, oder?
Der zuverlässige Prozess für die Nutzung ist sogar wesentlich wichtiger als das Transportbehältnis selbst. Die Box allein macht noch keine sichere Lösung. Aufbauend auf der Box als Transportwerkzeug konnten wir einen sicheren Prozess für die SMGW-Auslieferung entwickeln. Dieser Prozess entstand in enger Abstimmung und Zusammenarbeit mit dem BSI.
Ist PPC für den gesamten Transportweg vom Produktionswerk bis ins Feld verantwortlich?
Wir als SMGW-Hersteller sind dafür verantwortlich, unseren Kunden einen zuverlässigen Transport aufzuzeigen und zu ermöglichen. In unseren Handbüchern ist beschrieben, wie die SMGW sicher transportiert werden können. Die Schnittstelle, an der die Verantwortung für die Geräte von uns auf unsere Kunden übergeht, kann an unterschiedlichen Punkten erfolgen. Das hängt ganz davon ab, ob der Kunde die Abwicklung des Transportes selbst übernehmen möchte oder als Dienstleistung bei uns einkauft. Wir können hier flexibel auf alle Kundenwünsche reagieren.
„Zwei unterschiedlich große Behältnisse sind verfügbar“
Das heißt, die SMGW müssen das Werk schon in den Transportboxen verlassen. Wie viele Geräte passen denn hinein?
Wir arbeiten mit zwei unterschiedlich großen Behältnissen. In das große Modell passen bis zu 1 600 Gateways, in das kleine bis zu 60 Geräte. Wir haben ausreichend Boxen eingekauft, um sie unseren Kunden anbieten zu können. Aber natürlich kann jeder Kunde seine eigenen Boxen besitzen. In der ersten Phase des Rollouts werden aber vermutlich die meisten Kunden der PPC von der Möglichkeit Gebrauch machen, den Transport als Dienstleistung in Anspruch zu nehmen, weil es am einfachsten ist. Wir und unsere Kunden wollen ja jetzt möglichst zügig in den Rollout kommen, und das soll an diesem Prozess nicht scheitern.
Die Transportboxen sind offenbar auch als Lager für die SMGW gedacht?
richtig, die Transportboxen gelten zugleich als sicherer Lagerort für die SMGW. Uns war wichtig, dass in den Materiallagern der Stadtwerke und Energieversorger keine aufwendigen Umbauten oder besonderen Sicherheitsvorkehrungen notwendig sind. Wenn der Energieversorger die Transportbox in das Lager stellt, wo er auch seine Zähler aufbewahrt, und die Tür abschließt, ist alles gut. Auch das Umpacken der SMGW von einer großen in eine kleine Transportbox ist ein definierter Prozess.
„Schlüsselmanagement ähnlich wie beim Online-Banking“
Wie muss man sich das Schlüsselmanagement für die Transportbox vorstellen?
Das im Prozess beschriebene Schlüsselmanagement ist digitalisiert und funktioniert ähnlich wie beim Online-Banking. Das heißt, der Monteur erhält für jeden Öffnungs- und Schließvorgang einen spezifischen Einmal-Code. Dieser verliert nach Gebrauch seine Gültigkeit und ist somit für einen potenziellen Angreifer wertlos.
Hat das BSI den Auslieferungsprozess von A bis Z abgenommen und ist PPC damit am Zertifizierungsziel? 1)
Wir sind fast durch. Alle Änderungswünsche des BSI wurden in den Prozess bereits eingearbeitet, und es gibt keine offenen Fragen mehr. Wir gehen davon aus, dass der Transportprozess in seiner bestehenden Form Bestandteil des SMGW-Zertifikats wird. Mittlerweile führen wir mit unseren Kunden systematisch Schulungen und Workshops durch, die sie für die Anwendung dieses Prozesses brauchen.
Herr Mayer, vielen Dank für das Gespräch.
www.ppc-ag.de
1) Das Interview wurde geführt am 16. November 2018.
Quelle: BWK, Das Energie-Fachmagazin