Be­schluss­kam­mer 6 Be­schluss­kam­mer 7

Az.: BK6-16-200 / BK7-16-142

12.12.2017

Mitteilung Nr. 7

Veröffentlichung einer konsolidierten fehlerbereinigten Lesefassung des EDI@Energy-Dokumentes „Regelungen zum Übertragungsweg“
- Verwendung von Signatur und Verschlüsselung im Zeitraum ab dem 01.01.2018

Gemäß Tenorziffer 5 zur Festlegung BK6-16-200 (Strom) bzw. Tenorziffer 4 zur Festlegung BK7-16-142 (Gas) ist die Übermittlung sämtlicher EDIFACT-Nachrichten zur Marktkommunikation seit dem 01.06.2017 mittels elektronischer Signatur und Verschlüsselung abzusichern. Gemäß der Festlegung sind dabei die technischen Anforderungen der Richtlinie des BSI TR-03116-4 einzuhalten.

Aufgrund von Rückmeldungen aus der Branche zur Frage der Umsetzbarkeit der Verschlüsselungsvorgaben in Anwendung der am Markt verfügbaren Software hatten die Beschlusskammern am 16.05.2017 (Mitteilung Nr. 3 zu den Beschlüssen BK6-16-200 / BK7-16-142) in Absprache mit dem BSI hinsichtlich des Vollzuges obiger Verpflichtung gewisse einschränkende Erleichterungen für den Zeitraum vom 01.06.2017 bis zum 31.12.2017 zugestanden. Speziell in Bezug auf die Signierung von Zertifikaten war zusätzlich angekündigt worden, dass die ausgesprochenen Erleichterungen in Abhängigkeit von der Anzahl der am Markt verfügbaren vertrauenswürdigen Zertifizierungsstellen zeitlich weiter verlängert werden können.

Die Bundesnetzagentur hat in den vergangenen Wochen sowohl von den deutschen Übertragungsnetzbetreibern als auch vom BDEW Stellungnahmen eingeholt. Hieraus hat sich nach Überzeugung der Behörde ergeben, dass eine ausreichende Anzahl von Anbietern jedenfalls zum 01.01.2018 noch nicht hinreichend sichergestellt ist. Aus diesem Grund wird der Vollzug der Verpflichtungen zur Verschlüsselung und Signatur in Abstimmung mit dem BSI in den kommenden Monaten unter Einhaltung der gesetzlichen Vorgaben des § 52 Abs. 1 MsbG wie folgt von den Beschlusskammern gehandhabt:

1. Sämtliche Zertifikate für den Einsatz in der elektronischen Marktkommunikation, die bis zum 31. Dezember 2017 ausgestellt werden, müssen mit den gängigen Signaturalgorithmen sha-256RSA oder sha-512RSA signiert worden sein. Dies entspricht dem Signaturverfahren RSASSA-PKCS1-v1_5. Diese Zertifikate können im Rahmen ihrer maximal dreijährigen Gültigkeit im Interimsmodell der Marktkommunikation eingesetzt werden.
2. Vom 1. Januar 2018 bis zum 31. Dezember 2018 neu ausgestellte Zertifikate müssen entweder mit dem Signaturverfahren RSASSA-PKCS1-v1_5 (Signaturalgorithmen sha-256RSA oder sha-512RSA) oder mit dem Signaturverfahren RSASSA-PSS signiert werden, wobei bei der Verwendung von mit RSASSA-PSS signierten Zertifikaten zunächst beide beteiligten Marktpartner zustimmen müssen. Diese Zertifikate können im Rahmen ihrer maximal dreijährigen Gültigkeit im Interimsmodell der Marktkommunikation eingesetzt werden.
3. Alle Zertifikate, die ab dem 1. Januar 2019 neu ausgestellt werden, müssen mit dem Signaturverfahren RSASSA-PSS signiert werden.
4. Der Bundesverband der Energie- und Wasserwirtschaft e.V. (BDEW) wird parallel dazu ab dem 01.01.2018 monatlich (jeweils zum letzten Tag eines Monats) an das BSI und die BNetzA diejenigen Trustcenter benennen, die nach Kenntnis des BDEW bereits mit RSASSA-PSS signierte Zertifikate für fortgeschrittene elektronische Signaturen anbieten. Dabei sind seitens BDEW mindestens diejenigen Trustcenter zu benennen, die ihre Absicht, mit RSASSA-PSS signierte Zertifikate anzubieten, dem BDEW vorab per E-Mail an info@bdew.de angezeigt haben.
   Sobald eine Verfügbarkeit im vorstehenden Sinn von mindestens drei Anbietern durch den BDEW gemeldet worden ist, oder die Bundesnetzagentur auf anderem Wege von einer entsprechenden Verfügbarkeit Kenntnis erlangt, wird die Bundesnetzagentur dies ebenfalls unverzüglich per Mitteilung veröffentlichen.
   Nach Ablauf von drei Monaten nach der vorgenannten Mitteilung der Bundesnetzagentur, in jedem Fall aber spätestens ab dem 01.01.2019, müssen RSASSA-PSS-signierte Zertifikate von jedem Marktteilnehmer für die Verifikation unterstützt werden.
5. Für die S/MIME Signaturerzeugung bei AS2 und E-Mail gelten unverändert zur BNetzA-Mitteilung Nr. 3 zu den Festlegungen BK6-16-200 / BK7-16-142 befristet bis zum 31. Dezember 2017 die weitverbreiteten Signaturalgorithmen sha-256RSA und sha-512RSA als verpflichtende Mindestanforderung. Spätestens ab 1. Januar 2018 muss jedoch ausschließlich das neue Signaturverfahren RSASSA-PSS eingesetzt werden.
6. Für das Verfahren der Key Encryption ist wie bereits in der BNetzA-Mitteilung Nr. 3 zu den Festlegungen BK6-16-200 / BK7-16-142kommuniziert ab 1. Januar 2018 ausschließlich das Verfahren RSAES-OAEP einzusetzen. Als Hash-Parameter für die Schlüsselverschlüsselung darf - sofern erforderlich - abweichend von TR-03116-4 befristet bis zum 31.12.2018 auch noch der Algorithmus SHA-1 verwendet werden. Beim Empfang von verschlüsselten Nachrichten muss ab dem 01.01.2018 der Hash-Parameter für die Schlüsselverschlüsselung SHA-2 unterstützt werden.
   

Diese Ergänzungen sind in eine fehlerbereinigte Lesefassung des EDI@Energy-Dokumentes „Regelungen zum Übertragungsweg“ Version 1.1 mit Gültigkeit zum 12.12.2017 aufgenommen worden, welches über die Webseiten
www.edi-energy.de
sowie
www.bundesnetzagentur.de/gpke-geli
abrufbar ist.

Anlage:
Regelungen zum Übertragungsweg (pdf / 665 KB)
(Konsolidierte Lesefassung mit Fehlerkorrekturen (Stand:12.12.2017))

-- Ende der Mitteilung --