Ja. Schleupen betreibt seit Jahren eine offizielle und registrierte Zertifizierungsstelle (Sub-CA) zur Erstellung und Signierung von Zertifikaten aus der Smart Meter-PKI (SM-PKI). Die Nutzung unserer Zertifikate ist unabhängig vom eingesetzten Billing-System bzw. der gewählten AS4-Lösung.

Die Kommunikation erfolgt über einen Webservice in der Cloud. Um diesen anzusprechen, ist aufseiten des Billing-Systems eine entsprechende Schnittstelle („Adapter“) einzurichten. Für eine schnelle Implementierung dieser Komponente stellt die Schleupen SE einen Open Source-Code zur Verfügung, welchen der Auftragnehmer bzw. ein durch ihn beauftragter Dienstleister für die Entwicklung der Schnittstelle nutzen kann.

Der Webservice in der Cloud bzw. dessen Schnittstelle zum Billing-System ist umfangreich dokumentiert;
die Dokumentation hierzu sowie der o. g. Open Source-Code werden auf der Webseite des Schleupen Developer Campus zur Verfügung gestellt:  https://developer-campus.de/tracks/integration/ 
(Einmalige Registrierung erforderlich).

Die Energieart „Gas“ soll ab dem 01.04.2025 über das AS4-Protokoll kommunizieren. Die Konsultationen hierzu finden derzeit statt. Nach dem letzten Stand ist mit einer Umstellungsphase ab dem 01.10.2024 zu rechnen. Die grundlegenden Konzepte und das Vorgehen entsprechen dabei denen der Energieart „Strom“.

Schleupen.Connect AS4 wurde unabhängig vom transportierten Inhalt konzipiert und kann daher auch die Marktkommunikation für „Gas“ durchführen.

Bei der Umstellung auf AS4 bleibt das eigentliche Format der Nachrichten erhalten (EDIFACT). Es ändert sich nur das verwendete Übertragungsprotokoll. Schleupen.Connect AS4 übernimmt die Übertragung, die Verschlüsselung/ Entschlüsselung sowie die Verarbeitung der Signaturen. Die eigentliche Verarbeitung der Nachrichten erfolgt nach wie vor in Schleupen.CS (bzw. sonstigem Billing-System).

Nein. Die Vorgaben sehen eine schrittweise Umstellung der Kommunikation zwischen den jeweiligen Marktpartnern vor. Dies bedeutet, dass die Marktpartner zu einem gegebenen Zeitpunkt entweder in beide Richtungen per E-Mail kommunizieren oder über AS4.

Schleupen.Connect AS4 ist eine Eigenentwicklung der Schleupen SE. Diese wird durch Schleupen entwickelt und bereitgestellt.

Schleupen.Connect AS4 wird ausschließlich in der Schleupen.Cloud angeboten, um alle hiermit verbundenen Vorteile zu nutzen.

Nein. Sowohl bei lokalen Installationen als auch in der Schleupen.Cloud werden die erforderlichen Software-Komponenten für Nutzer von Schleupen.Connect AS4 automatisch bereitgestellt. Die Freischaltung erfolgt, wie gewohnt, über eine zugehörige Lizenzerweiterung, welche zusammen mit Schleupen.Connect AS4 ausgeliefert wird.

Schleupen.Connect AS4 puffert eingehende Nachrichten in der Cloud, sodass eine vorübergehende Unterbrechung bei der Annahme der Meldungen kein Problem darstellt. Sind die Systeme wieder online, rufen sie die aufgelaufenen Nachrichten ab und verarbeiten diese.

Die Certificate Policy (CP) des BSI schreibt, neben der Übertragung mit AS4 über das Internet, ein äquivalentes Sicherheitsniveau für die Übermittlung vom AS4 System an das Abrechnungs-/Billing-System vor. Dies ist nach unserer Einschätzung mit dem E-Mail-Protokoll und den bisherigen Verfahren (RSA-basierte Kombi-Zertifikate mit S/MIME) nicht zu erreichen.

Die Schleupen SE hat sich zur Umsetzung eines äquivalenten Sicherheitsniveaus für folgende Maßnahmen entschieden: Die Verbindungsstrecke zwischen Billing-System und Cloud wird durch einen verschlüsselten VPN-Tunnel abgesichert. Die darin übertragenen Nutzdaten werden zusätzlich per TLS verschlüsselt und integritätsgesichert. Die zugehörigen Schlüssel nutzen elliptische Kurven auf dem Niveau der SM-PKI; das eingesetzte Schlüsselaustauschverfahren bietet Perfect-Forward-Secrecy. Die Authentifizierung des Client-Systems findet zudem per Zertifikat statt.

Hierdurch wird außerdem die Verwendung zusätzlicher Protokolle (wie z.B. SMTP) vermieden, was die Komplexität senkt und die Transparenz bei der Nachrichtenverfolgung verbessert. Insbesondere im Fehlerfall reduziert dies den Arbeitsaufwand.

Ja. Schleupen betreibt seit Jahren eine offizielle und registrierte Zertifizierungsstelle (Sub-CA) zur Erstellung von Zertifikaten aus der Smart Meter-PKI (SM-PKI). Die Verwendung von Zertifikaten aus dieser PKI ist zwingend vorgeschrieben und bei der Auswahl Ihres AS4-Anbieters unbedingt zu beachten.

Liste der registrierten Zertifizierungsdienstleister:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Smart-metering/Smart-Meterin-PKI/Registrierte_Sub-CAs/registrierte_sub_cas.html​​​​​​​
 

Nutzer von Schleupen.CS:
Für die Verbindungsaufnahme mit einem Marktpartner bzw. der einmaligen Umstellung eines Marktpartners von E-Mail auf AS4 stellen wir Ihnen im Schleupen.CS-Portal eine Oberfläche für diesen Prozess zur Verfügung. Die initiale Umstellung aller Marktpartner wird dabei weitgehend automatisiert, sodass nur in Ausnahmefällen (z.B. Fehlern) ein manuelles Eingreifen erforderlich ist (bilaterale Klärung mit Marktpartnern).

Nutzer anderer Billing-Lösungen:
Die Schnittstelle von Schleupen.Connect AS4 stellt die Funktionen zum Verbindungstest AS4 sowie die Umstellung von Marktpartnern bereit.

Aus unserer Sicht nein. Bezüglich der EMT-Zertifikate gilt, dass für die privaten Schlüssel eine Speicherung in einem kryptografischen Modul erfolgen MUSS. Das Dokument „Key Lifecycle Security Requirements“ (Version 1.0.3, Link s.u.) definiert (s. Kapitel 2.2, Absatz 1) kryptografische Module zunächst als „Hardware Security Module (HSM), a Smart Card or a Server“. Wesentlich für die Ausgestaltung ist, welcher Security Level (1 oder 2) anzuwenden ist. Als passiver EMT oder Dienstleister in der Marktkommunikation ist Security Level 1 einzuhalten.

Anforderungen dabei sind:

- Zwei-Faktor-Authentifizierung

- Ein Sicherheitskonzept inklusive Identity and Access Management, Business Continuity, Disaster Recovery

- Härtung des Systems gegen unzulässige Zugriffe auf und Kompromittierung von Schlüsseln

- Zufallszahl-Generatoren bestimmter Klassen

Hierfür ist es erforderlich, eine abgesicherte Umgebung herzustellen, die den Vorgaben der CP genügt und darüber hinaus performant genug ist, um tausende Signatur- und Verschlüsselungsvorgänge pro Tag sicher abwickeln zu können. Aus unserer Sicht ist dies sinnvoll nur unter Verwendung von HSMs möglich. Wir haben uns trotz der erheblich höheren Kosten für die sichere Aufbewahrung von Schlüsseln in HSM-Clustern entschieden. Die von uns betrachteten Smart Card-Lösungen genügten den Performance-Anforderungen nicht. Die Lösung über Server setzt einen physischen Server voraus (keine Virtualisierung). Die üblicherweise verwendeten Standard-Server wurden nicht als spezielle Kryptografie-Module konzipiert, und genügen den Anforderungen an die Zufallszahlen-Generierung oft nicht.

BSI, „Key Lifecycle Security Requirements“:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ElekAusweise/CVCA/KeyLifecycleSecurityRequirements.html