Im April hat Schleupen mit der Beantragung der Zertifikate begonnen. Aufgrund der hohen Anzahl von Aufträgen erfolgt die Beantragung in der Reihenfolge der Eingänge. Im Juni erfolgte die erste Software-Auslieferung. Mit diesem Prozesspaket wird Schleupen.CS auf die AS4-Kommunikation vorbereitet.

Bitte beachten Sie: Frühere vom Regulierer vorgegebene Umstellungsprojekte haben gezeigt, dass es bei nahendem Fristtermin zu verstärkten Beauftragungen und somit Engpässen bei den Personalressourcen kommen kann.
 

In der folgenden Mitteilung des bdew finden Sie eine Anleitung (PDF-Download), wie die Dokumente heruntergeladen werden können:

https://bdew-codes.de/Codenumbers/BDEWCodes

Schleupen benötigt diese Urkunden aufgrund von Vorgaben, um nachprüfen zu können, dass ein Antragsteller auch der legitime Empfänger eines Zertifikates ist. Zertifikate können somit erst nach Vorliegen der Urkunden ausgestellt werden.

Gelegentlich trifft man auf Aussagen, dass nur HSMs bestimmter Hersteller zulässig seien. Die Vorgaben seitens des BSI sind hier eindeutig. Es sind Anforderungen bzgl. des Sicherheitsniveaus zu erfüllen – zu konkreten Herstellern werden jedoch keine Vorgaben gemacht. Formulierungen wie „deutsche Hersteller“ führen hier teils zu Irritationen – Schleupen setzt auf zugelassene Systeme, welche die Vorgaben des BSI, sowohl bei Level 1 wie auch Level 2, erfüllen („Key Lifecycle Security Requirements 1.03“, Kapitel „2.2 Cryptographic Modules“).

Schleupen AS4 Connect ist eine Eigenentwicklung der Schleupen SE. Diese wird durch Schleupen entwickelt und bereitgestellt.

Ja. Schleupen betreibt seit Jahren eine offizielle und registrierte Zertifizierungsstelle (Sub-CA) zur Erstellung von Zertifikaten aus der Smart Meter-PKI (SM-PKI). Die Verwendung von Zertifikaten aus dieser PKI ist zwingend vorgeschrieben und bei der Auswahl Ihres AS4-Anbieters unbedingt zu beachten.

Liste der registrierten Zertifizierungsdienstleister:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Smart-metering/Smart-Meterin-PKI/Registrierte_Sub-CAs/registrierte_sub_cas.html

Ja. Die Nutzung von Schleupen AS4 Connect vereinfacht im Vergleich zur bisherigen Übertragung per E-Mail die Nachvollziehbarkeit der Übertragung deutlich. Mit Schleupen AS4 Connect stellen wir Ihnen eine umfangreiche und komfortable Oberfläche für Monitoring und Recherche zur Verfügung – bei Nutzern von Schleupen.CS ist diese sogar direkt in das Software-Portal integriert. Mit diesem „Blick in die Cloud“ erhalten Sie einen detaillierten Einblick zum Stand der Nachrichtenverarbeitung, z.B. Zustellbestätigungen oder ggf. einen Fehlerstatus, so dass u.a. der Klärungsprozess deutlich vereinfacht wird.

(Funktion nur bei Nutzung von Schleupen AS4 Connect verfügbar.)

Nutzer von Schleupen.CS:
Für die Verbindungsaufnahme mit einem Marktpartner bzw. der einmaligen Umstellung eines Marktpartners von E-Mail auf AS4 stellen wir Ihnen im Schleupen.CS-Portal eine Oberfläche für diesen Prozess zur Verfügung. Die initiale Umstellung aller Marktpartner wird dabei weitgehend automatisiert, sodass nur in Ausnahmefällen (z. B. Fehlern) ein manuelles Eingreifen erforderlich ist (bilaterale Klärung mit Marktpartnern).

Nutzer anderer ERP-Systeme:
Die Schnittstelle von Schleupen AS4 Connect stellt die Funktionen zum Verbindungstest AS4 sowie die Umstellung von Marktpartnern bereit.

Schleupen AS4 Connect puffert eingehende Nachrichten, sodass eine vorübergehende Unterbrechung bei der Annahme der Meldungen kein Problem darstellt. Sind die Systeme wieder online, rufen sie die aufgelaufenen Nachrichten ab und verarbeiten diese.

"Gas" ist derzeit nicht von den Umstellungen betroffen. Es hat hierzu allerdings bereits Konsultationen gegeben; Details hierzu, sowie Termine, sind derzeit noch nicht bekannt. Aufgrund der bisher vorliegenden Informationen ist jedoch auch hier von einer zeitnahen Umstellung auszugehen.

Dies ist möglich und kann über die bekannte Dateischnittstelle erfolgen; für die Anbindung an die Schnittstelle ist der Drittanbieter verantwortlich. Auch die Nachverfolgung der Nachrichten ist dann durch den jeweiligen Anbieter sicherzustellen.
Der Drittanbieter muss in diesem Fall sowohl für die Bereitstellung der BSI-konformen Zertifikate sorgen als auch mit den öffentlichen Schlüsseln der Marktpartner umgehen können. Ohne die Verwendung der vorgeschriebenen Zertifikate aus der Smart Metering PKI ist keine Marktkommunikation möglich.
 

Schleupen AS4 Connect wird ausschließlich in der Schleupen.Cloud angeboten, um alle hiermit verbundenen Vorteile zu nutzen.

Ja, dies ist möglich. Schleupen AS4 Connect bietet für die Anbindung an das ERP-System eine moderne Web-Schnittstelle. Für die Anbindung an diese Schnittstelle stellt Schleupen bei Bedarf eine Beschreibung zur Verfügung (s.u.).

(Betrifft nur Nutzer anderer ERP-Lösungen.)

Nein. Sowohl bei lokalen Installationen als auch in der Schleupen.Cloud werden die erforderlichen Software-Komponenten für Nutzer von Schleupen AS4 Connect rechtzeitig im Rahmen von Updates bereitgestellt. Die Freischaltung erfolgt, wie gewohnt, über eine zugehörige Lizenzerweiterung, welche zusammen mit Schleupen AS4 Connect ausgeliefert wird.

(Betrifft nur Nutzer von Schleupen.CS.)

Aus unserer Sicht nein. Bezüglich der EMT-Zertifikate gilt, dass für die privaten Schlüssel eine Speicherung in einem kryptografischen Modul erfolgen MUSS. Das Dokument „Key Lifecycle Security Requirements“ (Version 1.0.3, Link s.u.) definiert (s. Kapitel 2.2, Absatz 1) kryptografische Module zunächst als „Hardware Security Module (HSM), a Smart Card or a Server“. Wesentlich für die Ausgestaltung ist, welcher Security Level (1 oder 2) anzuwenden ist. Als passiver EMT oder Dienstleister in der Marktkommunikation ist Security Level 1 einzuhalten. Anforderungen dabei sind

• Zwei-Faktor-Authentifizierung
• Ein Sicherheitskonzept inklusive Identity and Access Management, Business Continuity, Disaster Recovery
• Härtung des Systems gegen unzulässige Zugriffe auf und Kompromittierung von Schlüsseln
• Zufallszahl-Generatoren bestimmter Klassen

Hierfür ist es erforderlich, eine abgesicherte Umgebung herzustellen, die den Vorgaben der CP genügt und darüber hinaus performant genug ist, um tausende Signatur- und Verschlüsselungsvorgänge pro Tag sicher abwickeln zu können. Aus unserer Sicht ist dies sinnvoll nur unter Verwendung von HSMs möglich. Wir haben uns trotz der erheblich höheren Kosten für die sichere Aufbewahrung von Schlüsseln in HSM-Clustern entschieden. Die von uns betrachteten Smart Card-Lösungen genügten den Performance-Anforderungen nicht. Die Lösung über Server setzt einen physischen Server voraus (keine Virtualisierung). Die üblicherweise verwendeten Standard-Server wurden nicht als spezielle Kryptografie-Module konzipiert, und genügen den Anforderungen an die Zufallszahlen-Generierung oft nicht.

Link BSI, „Key Lifecycle Security Requirements“: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ElekAusweise/CVCA/KeyLifecycleSecurityRequirements.html

Die Kommunikation erfolgt über einen Webservice in der Cloud. Um diesen anzusprechen, ist aufseiten des ERP-Systems eine entsprechende Schnittstelle einzurichten. Der Webservice bzw. dessen Schnittstelle zum ERP-System ist umfangreich dokumentiert; die Dokumentation wird auf der Webseite des Schleupen Developer Campus zur Verfügung gestellt:
https://developer-campus.de/tracks/integration/

(Einmalige Registrierung erforderlich unter: https://developer-campus.de/register/ . Die Freigabe des Zugangs erfolgt nach Prüfung durch Schleupen).

(Betrifft nur Nutzer anderer ERP-Lösungen.)

Die Certificate Policy (CP) des BSI schreibt, neben der Übertragung mit AS4 über das Internet, ein äquivalentes Sicherheitsniveau für die Übermittlung vom AS4 System an das Abrechnungs-/ERP-System vor. Dies ist nach unserer Einschätzung mit dem E-Mail-Protokoll und den bisherigen Verfahren (RSA-basierte Kombi-Zertifikate mit S/MIME) nicht zu erreichen.

Die Schleupen SE hat sich zur Umsetzung eines äquivalenten Sicherheitsniveaus für folgende Maßnahmen entschieden: Die Verbindungsstrecke zwischen ERP-System und Cloud wird durch einen verschlüsselten VPN-Tunnel abgesichert. Die darin übertragenen Nutzdaten werden zusätzlich per TLS verschlüsselt und integritätsgesichert. Die zugehörigen Schlüssel nutzen elliptische Kurven auf dem Niveau der SM-PKI; das eingesetzte Schlüsselaustauschverfahren bietet Perfect-Forward-Secrecy. Die Authentifizierung des Client-Systems findet zudem per Zertifikat statt.

Hierdurch wird außerdem die Verwendung zusätzlicher Protokolle (wie z.B. SMTP) vermieden, was die Komplexität senkt und die Transparenz bei der Nachrichtenverfolgung verbessert. Insbesondere im Fehlerfall reduziert dies den Arbeitsaufwand.

Nein. Die Vorgaben sehen eine schrittweise Umstellung der Kommunikation zwischen den jeweiligen Marktpartnern vor. Dies bedeutet, dass die Marktpartner zu einem gegebenen Zeitpunkt entweder in beide Richtungen per E-Mail kommunizieren oder über AS4.

Die Archivierung von Marktnachrichten erfolgt, wie bisher, auf Kundenseite - sie ist nicht Bestandteil der Cloud-Lösung. Die Nachrichten können weiterhin direkt aus Schleupen.CS ausgesteuert werden, um sie aus dem Dateisystem zu archivieren. 

Im Fall von nicht-Schleupen-ERP-Systemen kann keine konkrete Aussage zur Umsetzung der Archivierung getroffen werden. Die im ERP-System ankommenden/ausgehenden EDI-Nachrichten sollten dort jedoch für ein Archivsystem zugreifbar sein.

Bei der Umstellung auf AS4 bleibt das eigentliche Format der Nachrichten erhalten (EDIFACT). Es ändert sich nur das verwendete Übertragungsprotokoll. Schleupen AS4 Connect übernimmt die Übertragung, die Verschlüsselung/ Entschlüsselung sowie die Verarbeitung der Signaturen. Die eigentliche Verarbeitung der Nachrichten erfolgt nach wie vor in Schleupen.CS (bzw. sonstigem ERP-System).