Bundesamt für Sicherheit in der Informationstechnik

Fragen und Antworten zum Themenbereich der SM-PKI

Die nachfolgend behandelten Fragen und Antworten beschreiben Hinweise und Erläuterungen des BSI, sowohl zu den gesetzlichen Vorgaben aus dem Messstellenbetriebsgesetz (MbsG) als auch zu den Vorgaben der BSI TR-03109-4 und der Certificate Policy (CP) der Smart Metering PKI.

Die gesetzlichen Vorgaben sowie die ergänzenden Vorgaben aus der TR-03109-4 und der Certificate Policy haben weiterhin Gültigkeit.

Welche Stellen sind rechtlich unter der PKI-Rolle EMT gemäß SM-PKI Certficate Policy (CP) einzuordnen?

Ein EMT ist ein datenumgangsberechtigter Marktteilnehmer nach § 49 Abs. 2 MsbG.

Ist es möglich, dass ein nach § 49 Abs. 2 MsbG datenumgangsberechtigter Marktteilnehmer (EMT) einen Dienstleister für die Durchführung von PKI-Aufgaben beauftragt?

Ja, die Beauftragung eines Dienstleisters durch einen datenumgangsberechtigten Marktteilnehmer (EMT) ist gemäß § 49 Abs. 3 MsbG möglich. Wie eine Registrierung in der SM-PKI mit einem Dienstleister generell erfolgen muss, ist in der SM-PKI CP in Kapitel 3.2.2.2 definiert. Die spezifischen Prozesse und die zugehörigen Registrierungsunterlagen werden von der jeweiligen Sub Certificate Authority (Sub-CA) vorgegeben.

Benötigt ein datenumgangsberechtigter Marktteilnehmer nach § 49 Abs. 2 MsbG (EMT) ein eigenes PKI-Zertifikat, auch wenn ein Dienstleister beauftragt wird?

Gemäß § 52 Abs. 4 MsbG dürfen personenbezogene Daten, Stammdaten und Netzzustandsdaten nur zwischen den Teilnehmern der SM-PKI kommuniziert werden. Entsprechend müssen die verschiedenen Teilnehmer (z.B. Messstellenbetreiber) jeweils über ein eigenes Zertifikat verfügen, um die Kommunikation dieser Daten mit dem SMGW und untereinander durchzuführen. Daher muss ein datenumgangsberechtiger Marktteilnehmer nach §49 Abs. 2 MsbG (EMT, z.B. ein Messstellenbetreiber) in seinem Namen ein PKI-Zertifikat bei seiner gewählten Sub-CA beantragen.

Der beauftragte Dienstleister nach § 49 Abs. 3 MsbG muss das PKI-Zertifikat im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) nutzen. Der Dienstleister darf für die beauftragten Aufgaben kein anderes Zertifikat verwenden. Diese Regelung gilt für jeden datenumgangsberechtigten Marktteilnehmer (EMT).

Kann ein Dienstleister im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) die zugehörigen PKI-Zertifikate beantragen?

Der Dienstleister kann im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) entsprechende PKI-Zertifikate für diesen beantragen. Die Zertifikate müssen dabei auf den datenumgangsberechtigten Marktteilnehmer (EMT) ausgestellt werden. Die hierfür zu durchlaufenden spezifischen Prozesse und die zugehörigen Registrierungsunterlagen werden von der jeweiligen Sub-CA vorgegeben und müssen konform zu SM-PKI CP Kapitel 3.2.2.2 sein.

Wie muss die Kommunikation zwischen einen datenumgangsberechtigten Marktteilnehmer (EMT) und den von Ihm beauftragten Dienstleister abgesichert werden?

Der Dienstleister handelt im Auftrag des datenumgangsberechtigten Marktteilnehmers (EMT) und nutzt dessen PKI-Zertifikat. Zwischen dem EMT und Dienstleister besteht ein Innenverhältnis. Beide kommunizieren über eine geschützte interne Infrastruktur (z.B. ein VPN). Die sichere Kommunikation zwischen EMT und Dienstleister muss im Sicherheitskonzept (SiKo) des EMT definiert werden.

Sicherheitstechnisch muss die Weiterverarbeitung der Daten gleichwertig zur Authentisierung und Verschlüsslung mit den PKI-Zertifikaten aus der SM-PKI geschützt werden. Dies bedeutet insbesondere den Einsatz vergleichbarer Kryptographie (siehe Kapitel 1.3.3.4 der SM-PKI CP).

Wie müssen in einem Kryptographiemodul die Mandaten getrennt werden?

Werden die kryptografischen Schlüssel mehrerer Mandaten auf einem Kryptographiemodul gespeichert (siehe Kapitel 6.2.6 SM-PKI CP), müssen die Schlüssel logisch getrennt werden. Die Trennung der Schlüssel kann durch einen Mechanismus des Kryptographiemoduls (eigene Partition/Slot) oder serverseitig auf Anwendungsebene (Berechtigungsmanagement) erfolgen. Hierbei muss sichergestellt werden, dass ein Mandat ausschließlich auf seine Schlüssel zugreifen kann.