TIPPS & BEST PRACTICE 07. JUN 2023
Mako 2023: Kryptografiemodul oder HSM für passive EMT in der Marktkommunikation?
Begriffsklärung und Guidance für den SM PKI konformen Umgang mit privaten Schlüsseln
Zur Umstellung der Marktkommunikation von E-Mail auf AS4 gehört die verpflichtende Nutzung der SmartMetering PKI des Bundes. Zur Erzeugung, Speicherung und Benutzung privater Schlüssel sind gemäß Certificate Policy der Smart Metering PKI (Version 1.1.2 – Abschnitt 6.2) passive externe Marktteilnehmer (pEMT) verpflichtet, mindestens die Anforderungen an den Lebenszyklus und die Einsatzumgebung gemäß der Key Lifecycle Security Requirements – Security Level 1 zu erfüllen.
Was sind passive EMT?
Passive externe Marktteilnehmer (EMT) sind in der Certificate Policy der Smart Metering PKI 1.3.3.4 definiert als Marktteilnehmer, die Daten der Smart Metering Gateways (SMGWs) empfangen oder austauschen, jedoch keine Steuerung dieser Geräte vornehmen.
Was ist ein Kryptografiemodul nach Security Level 1?
Ein Kryptografiemodul nach Security Level 1 kann als Software oder Server mit Zwei-Faktor-Authentifizierung und physisch beschränktem Zugriff betrieben werden. Für die Generierung von Zufallszahlen für die Erzeugung von Schlüsseln sowie bei Signatur und Verschlüsselung muss ein Zufallszahlengenerator der Klassen NTG.1, DRG.4 oder PTG.3 gemäß AIS 20/31 verwendet werden.
Im Gegensatz zum Security Level 2 für aktive EMT, bei dem ein Hardware Security Modul (HSM) vorgeschrieben ist, kann auf die ISO/IEC 27001 Zertifizierung verzichtet werden.
Sowohl die Anschaffung als auch der laufende Betrieb eines Kryptografiemoduls können im Vergleich zum HSM deutlich günstiger ausfallen.
Andere Marktkommunikationsanbieter empfehlen ein HSM auch für Security Level 1, warum nicht Zertificon?
Energieunternehmen, die bereits ein HSM für ihre Smart Metering Kommunikation einsetzen, könnten dieses effizient auch für ihre Marktkommunikation verwenden. Bei Zertificon können wir auch HSMs anbinden.
Anders verhält es sich mit Unternehmen, die als passive EMT eingestuft sind und bisher kein HSM implementiert haben. Die Certificate Policy der Smart Metering PKI 1.3.3.4 entbindet passive EMT nach Security Level 1 explizit von der HSM-Pflicht. Wir haben diese Möglichkeit genutzt und das Z1 Cryptographic Module für passive EMTs entwickelt, um Kunden unnötige Kosten und Komplexität zu ersparen. Während der Preis für ein HSM im sechsstelligen Bereich liegt, bieten wir unser Kryptografiemodul bereits ab einem vierstelligen Betrag an.
Wir empfehlen den Einsatz unseres Z1 Cryptographic Module und sichern zu, dass die Konformität gemäß den Anforderungen der Key Lifecycle Security Requirements (Version 1.0.3 vom 17.11.2021) inklusive Zufallszahlengenerator nach AIS 20/31 gewährleistet ist. Mit fundierten Marktkenntnissen und 20 Jahren Expertise in Kryptografie- und Zertifikatswelten haben wir die Fachkompetenz Ihnen diese kostengünstige Alternative zum HSM anzubieten.
Andere MaKo-Anbieter, beispielsweise von B2B-Fachanwendungen, haben andere Schwerpunkte in der Entwicklung als wir. Daher können sie die speziellen Kosteneinsparungsmöglichkeiten, die der Bund für passive EMT vorgesehen hat, nicht in ihren Lösungen nutzen.
Best Practice No.1: B2B-Fachanwendung ergänzen mit Z1 Marktkommunikationslösung inklusive Kryptografiemodul
Passive EMT, die Zertificons Lösung Z1 Energy Market Communication nutzen, können das Security Level 1 mit dem Z1 Cryptographic Module kostengünstig erfüllen. Als Messaging Service Handler (MSH) arbeitet die Lösung mit unterschiedlichsten Fachanwendungen zusammen. Setzen Sie für die AS4-Umstellung mit automatisiertem Zertifikatshandling auf Zertificon und nutzen Sie Ihre bestehende Fachanwendung einfach über die Schnittstelle E-Mail weiter. So gelingt eine einfache Integration in bestehende Prozesse.
Best Practice No.2: KRITIS-Vorgaben mit Z1 SecureMail Gateway erfüllen
Auch Ihre Office-Kommunikation nach IT-Sicherheitsgesetz 2.0 kann mit einer Lizenzerweiterung für das bewährte Z1 SecureMail Gateway gesichert werden. Reden Sie mit der zuständigen Fachabteilungen für KRITIS und die sichere digitale Transformation. Sie erhalten die doppelte Investitionssicherheit und sparen Integrations-, Schulungs- und Administrationsaufwand.
Weitere Empfehlung: Sicherheitskonzept frühzeitig planen
Wir unterstützen passive EMT, die unser Kryptografiemodul nutzen, bei der Erarbeitung des für die Martkkommunikation mit AS4 neu geforderten Sicherheitskonzeptes. Sprechen Sie uns dazu gern frühzeitig an, da hier meist individuelle Lösungen gefragt sind, die von uns terminiert werden müssen.