Zulässige E-Mail-Zertifikate für die EDI@Energy Marktkommunikation

Berlin, 27. April 2017

Direkt nach Ostern sind die Teilnehmer des Energiemarktes mit den Vertriebsaktivitäten der Energiegenossenschaft Ost- und Mitteldeutschland eG (GEG) konfrontiert worden.

Die Serienmail mit dem Betreff „Ihre unzulässigen Zertifikate für die EDI-Kommunikation“ suggeriert eine beabsichtigte Marktkommunikation. Dann wird fälschlicherweise auf die Notwendigkeit des Signaturalgorithmus „RSASSA-PSS“ zur Ausstellung von Zertifikaten hingewiesen, wenn diese ab dem 01.06.2017 für die Marktkommunikation genutzt werden sollen. Sogleich wird als Lösung ein Link auf die eigene CA angeboten. Zur besseren Darstellung und als Abgleichsmöglichkeit ist ein Screenshot der Zertifikatsanzeige eines selbst ausgestellten Zertifikats des Absenders als Anhang beigefügt.

Kein „RSASSA-PSS“-Eintrag bei Signaturalgorithmus im Zertifikat nötig

Bei der Annahme, dass für die EDI-konforme Marktkommunikation der Signaturalgorithmus „RSASSA-PSS“ als Eintrag im Zertifikat notwendig sei, handelt es sich offenbar um einen Interpretationsfehler der BDEW-Vorgaben durch die GEG.

Das Zertifikatsfeld „Signaturalgorithmus“ gibt an, wie die Certification Authority (CA) das Zertifikat bei der Ausstellung signiert hat.

Dieser Wert entspricht nicht dem Signaturalgorithmus, der bei der Signatur von E-Mails unter Verwendung des Zertifikats angewendet wird. Die Vorgaben des BDEW beziehen sich jedoch auf die Signatur der Daten, nicht auf die Signatur, mit der das E-Mail-Zertifikat erstellt wurde.

Im Übrigen ist auf den Webseiten der RS Utility Service UG nicht ersichtlich, inwiefern deren angebotene Zertifikate für die Marktkommunikation ab dem 1.6.2017 noch zulässig sind. Insbesondere eine geforderte Zertifizierung wie z.B. BSI, ETSI oder WebTrust ist für die CA der RS Utility Service UG nicht erkennbar. Denn neben den technischen sind noch weitere Anforderungen für ausstellende Trustcenter laut der EDI@Energy-Regelungen zum Übertragungsweg zu erfüllen:

5.5.1 Zertifizierungsstellen
Das Zertifikat muss von einer Zertifizierungsstelle (engl. Certification Authority = CA) ausgestellt sein, die Zertifikate diskriminierungsfrei für Marktpartner der deutschen Energiewirtschaft anbietet. Es darf kein sogenanntes selbst ausgestelltes Zertifikat sein.

Die CA, von der das Zertifikat ausgestellt ist, muss den nachfolgenden Anforderungen genügen:

  • Die IT-Sicherheit des CA-Betriebs ist durch ein Audit / eine Zertifizierung nach einem anerkannten Audit / Zertifizierungs-Standard geprüft. Es wird eine Zertifizierung nach BSI TR- 03145, Secure Certification Authority operation empfohlen.
  • Der Registrierungsservice, einschließlich an Dienstleister (Registrare) ausgelagerter Service, erfolgt auf einem hohen Sicherheitsniveau.
  • Die Vertrauenswürdigkeit des Betreibers und des Betriebs, auch unter Berücksichtigung von Eingriffsrechten Dritter, ist gegeben.
  • Die CA verfügt über einen Rückrufservice, über den Zertifikate widerrufen werden können. Dazu führt es eine sogenannte Zertifikatsperrliste (englisch certificate revocation list, CRL), welche öffentlich zugängig ist.
  • Der Rechtsstand, insbesondere in Bezug auf das geltende Haftungs- und Datenschutzrecht genügt den Anforderungen des Unternehmens, das das Zertifikat beantragt.

Empfohlene Trustcenter für Ihre EDI-Marktkommunikation

Wir empfehlen für die EDI@Energy-Marktkommunikation Zertifikate unserer Partner: SwissSign, QuoVadis, ATOS oder T-Systems.

Unsere Lösungen zur EDI-Marktkommunikation finden Sie unter: EDI@Energy konformer Austausch von Übertragungsdaten per E-Mail.

Link versenden