News -
Bundesnetzagentur verschärft Sicherheitsanforderungen
Begründet auf der Forderung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hinsichtlich sicherer Übertragungswege in der Marktkommunikation, hat die Bundesnetzagentur am 01. Oktober neue Vorgaben, die in den Dokumenten „Allgemeine Festlegungen 4.3“ und „Regelungen für den Übertragungsweg 1.0a“ (in Konsultation) eine Reihe von erhöhten Festlegungen zum Sicherheitsstandard enthält, veröffentlicht. Die in dem Dokument beschriebenen Sicherheitsmechanismen sind für den Übertragungsweg zum 01. April 2017 01. Juni 2017 (aktualisiert) von allen Marktteilnehmern umzusetzen. Der genaue Wortlaut ist auf www.edi-energy.de oder auf den Seiten der BNetzA einsehbar.
procilon hat die wichtigsten Änderungen und deren Auswirkungen auf einsetzbare Lösungen zusammengefasst.
Sicherere Zertifikate in der Marktkommunikation
Geplant ist, dass ab 01.04.2017 01.06.2017 (aktualisiert) nur noch Zertifikate mit dem Signaturalgorithmus SHA-256 und höher zum Einsatz kommen dürfen. Das heißt in der Praxis, dass Zertifikate hinsichtlich ihrer Eignung überprüft werden müssen. Da durch die neue Richtlinie jetzt auch die Attribute, die hier enthalten sein müssen, festgelegt sind, können Personenzertifikate nicht mehr zum Einsatz kommen. Ebenfalls sind die Anforderungen an die ausstellende CA sehr stark angehoben worden. Darüber hinaus werden Festlegungen über Fristen und Zeitpunkte bei Zertifikatswechseln getroffen.
procilon sieht hier eine Übereinstimmung mit der europaweit geltenden eIDAS-Verordnung. Ein Aussteller von Zertifikaten muss Mindestanforderungen der Informationssicherheit entsprechen. Dies trifft in Deutschland zum jetzigen Zeitpunkt auf TrustCenter zu. Als zukunftssichere Lösung wird procilon ab sofort nur noch vertrauenswürdige Zertifikate mit Signaturalgorithmus SHA-256 anbieten.
Auswirkungen auf Marktkommunikationskanäle
E-Mail-Verschlüsselung & -Signatur
E-Mail bleibt als zugelassener Kommunikationsweg erhalten. Neu ist, dass jede E-Mail, mit der in der deutschen Energiewirtschaft eine EDIFACT-Übertragungsdatei ausgetauscht wird, zu verschlüsseln und zu signieren ist, was für alle Nachrichtentypen einheitlich erfolgen soll. Somit müssen alle Übertragungsdateien von einem Absender an einen Empfänger verschlüsselt und signiert werden. Als Verschlüsselungs- und Signaturstandard wird S/MIME vorgeschrieben. Zusätzlich muss jeder Marktpartner für die von ihm genutzte E-Mail-Adresse genau ein Zertifikat zur Signaturerzeugung verwenden. Generell werden in der veröffentlichen Kommunikationsrichtline folgende Algorithmen, Schlüssel und Schlüssellängen vorgeschrieben:
Signatur
- Hashalgorithmus: SHA-256 oder SHA-512
- Signaturalgorithmus: RSA mit SHA-256 oder RSA mit SHA-512
Verschlüsselung
- Schlüsselverschlüsselung: RSA
- Inhaltsverschlüsselung: AES-128 oder AES-192
- RSA Schlüssellänge: mindestens 2048 Bit
- Schlüsselnutzung: Digitale Signatur, Schlüsselverschlüsselung
procilon Information: Soweit notwendig wird procilon Aktualisierungen in der Mailverarbeitung mit dem Maintenance Pack I-2017 (Verfügbarkeit März 2017) ausliefern. Generell wird der Einsatz von proGOV energy ab Version 3.6 in Verbindung mit der procilon Public Key Cloud empfohlen.
Applicability Statement 2 (AS2-Kommunikation)
Zur Umsetzung der BNetzA-Richtlinie gelten für AS2-Kommunikation ab 01.04.2017 01.06.2017 (aktualisiert) die gleichen Anforderungen bzgl. Algorithmen, Schlüssel und Schlüssellängen wie bei E-Mail. Die Marktpartner-ID ist gleichzeitig die AS2-ID. Diese darf keinerlei Präfixe oder Suffixe enthalten.
Applicability Statement 4 (AS4-Kommunikation)
AS4 wird zwar in der vorliegenden Kommunikationsrichtlinie nicht weiter berücksichtigt, stellt aber aus procilon Sicht eine sinnvolle Option in der Zukunft dar. Entsprechende Bestrebungen sind am Energiemarkt deutlich wahrzunehmen. Eine Berücksichtigung dieses Kommunikationsweges für zukünftige Szenarien ist damit mehr als sinnvoll.
procilon Information: procilon stellt sowohl die AS2- als auch die AS4-Kommunikation als neuentwickelten sicheren Cloud-Service zur Verfügung. Um diesen entsprechend der neuen Sicherheitsanforderungen nutzen zu können, sind entweder ein proGOV energy ab Version 3.6 oder ein proTECTr Cloud-Connector in Verbindung mit der procilon Public Key Cloud (PKC) notwendig welche die Marktpartnerverwaltung übernimmt.
Abbildung: procilon Marktkommunikation