Verpflichtende Verschlüsselung und Signierung in der Marktkommunikation

BDEW erreicht Übergangsregelung für einzusetzende Verschlüsselungs- und Signaturverfahren

Ab 1. Juni 2017 ist die Übertragung sämtlicher EDIFACT-Dateien gemäß der Festlegung der BNetzA vom 20. Dezember 2016 per Verschlüsselung und Signatur abzusichern. Die dafür geltenden technischen Anforderungen sind im Dokument EDI@Energy „Regelungen zum Übertragungsweg“ beschrieben und müssen gemäß der Festlegung die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllen. Aufgrund zahlreicher Meldungen von Mitgliedsunternehmen, dass für die nötige Migration der Verfahren mehr Zeit benötigt wird, hat sich der BDEW erfolgreich bei den zuständigen Behörden dafür eingesetzt, dass übergangsweise bis Jahresende 2017 bestimmte, bereits etablierte Verfahren zur Verschlüsselung und Signierung eingesetzt werden.

 

Gemäß der Festlegung der Beschlusskammern 6 und 7 der Bundesnetzagentur vom 20. Dezember 2016 zur Anpassung der Vorgaben zur elektronischen Marktkommunikation an die Erfordernisse des Gesetzes zur Digitalisierung der Energiewende (Interimsmodell) ist die Übertragung sämtlicher EDIFACT-Dateien zur Marktkommunikation ab dem 1. Juni 2017 durch eine Verschlüsselung und eine Signatur abzusichern. Gemäß der Festlegung sind dabei die technischen Anforderungen der Richtlinie des BSI TR-03116-4 einzuhalten. Aufgrund dieser Anforderungen mussten die EDI@Energy „Regelungen zum Übertragungsweg“ zu Beginn dieses Jahres angepasst werden und die entsprechenden Verfahren der BSI TR-03116-4 aufgenommen werden. Diese Neufassung der „Regelungen zum Übertragungsweg“ wurde vom 3. Februar bis 2. März 2017 öffentlich durch die BNetzA konsultiert (vgl. BDEW extra vom 9. Februar 2017 sowie BDEW direkt vom 1. März 2017, 4. April 2017 und 2. Mai 2017).

 

Eine Vielzahl an BDEW-Mitgliedsunternehmen hatte jüngst an den BDEW herangetragen, dass für die Migration auf die neuen Verfahren der BSI TR-03116-4 mehr Zeit benötigt wird. Daher hat sich der BDEW in intensiven Verhandlungen und Gesprächen mit dem BSI und der Bundesnetzagentur für Übergangsregelungen eingesetzt. Der BDEW hat dabei auch zahlreiche Hersteller und IT-Dienstleister eingebunden. An der grundsätzlichen Verpflichtung zur Verschlüsselung und Signierung ab 1. Juni 2017 wird in jedem Fall festgehalten. Der BDEW konnte jedoch direkten Verhandlungen mit dem BSI und der Bundesnetzagentur für die dabei einzusetzenden Verfahren folgende Übergangsregelungen erreichen:

 

  1. Sämtliche Zertifikate für den Einsatz in der elektronischen Marktkommunikation, die bis zum 31. Dezember 2017 ausgestellt wurden, müssen mit den gängigen Signaturalgorithmen sha-256RSA oder sha-512RSA signiert worden sein. Dies entspricht dem Signaturverfahren RSASSA-PKCS1-v1_5. Diese Zertifikate können im Rahmen ihrer maximal dreijährigen Gültigkeit im Interimsmodell der Marktkommunikation eingesetzt werden.

 

  1. Alle Zertifikate, die ab dem 1. Januar 2018 neu ausgestellt werden, müssen mit dem Signaturverfahren RSASSA-PSS signiert werden. Das vorgenannte Datum kann in Abstimmung mit den Behörden verschoben werden, wenn bis Jahresende 2017 keine ausreichende Anzahl an vertrauenswürdigen öffentlichen Zertifizierungsstellen Zertifikate anbieten, die mit dem Verfahren RSASSA-PSS signiert sind. Der BDEW wird hierzu im September Gespräche mit den zuständigen Behörden aufnehmen und den Markt zeitnah informieren.

 

  1. Für die S/MIME Signaturerzeugung bei AS2 und E-Mail gelten entsprechend befristet vom 01. Juni 2017 bis zum 31. Dezember 2017 die weitverbreiteten Signaturalgorithmen sha-256RSA und sha-512RSA als verpflichtende Mindestanforderung. Spätestens ab 1. Januar 2018 muss jedoch ausschließlich das neue Signaturverfahren RSASSA-PSS eingesetzt werden. Der BDEW empfiehlt daher dringend rechtzeitige Gespräche mit Softwareherstellern und Dienstleistern aufzunehmen, um eine rechtzeitige Migration zu gewährleisten.

 

  1. Für das Verfahren der Key Encryption gilt befristet vom 01. Juni 2017 bis zum 31. Dezember 2017 das weitverbreitete Verfahren RSAES-PKCS1-v1_5 als verpflichtende Mindestanforderung. Spätestens ab 1. Januar 2018 muss jedoch ausschließlich das neue Verfahren zur Key Encryption RSAES-OAEP eingesetzt werden. Der BDEW empfiehlt daher dringend rechtzeitige Gespräche mit Softwareherstellern und Dienstleistern aufzunehmen, um eine rechtzeitige Migration zu gewährleisten.

 

Eine entsprechend korrigierte konsolidierte Lesefassung mit Fehlerkorrekturen der „Regelungen zum Übertragungsweg“ kann ab sofort auf den Webseiten der EDI@Energy sowie im Forum Datenformate abgerufen werden.

 

 

 

Zurück