![[Quelle: eam energie ag]](04-4-050-1.jpg)
Digitale Signaturen versprechen eine erheblich schnellere und kostengünstigere Übertragung von Messdaten – eichrechtlich gesichert.
Der elektronische Datenverkehr im Zusammenhang mit dem Kommunikationsbedarf der Teilnehmer am liberalisierten deutschen Strommarkt beläuft sich heute nach Schätzungen auf über 2,5 Milliarden Nachrichten pro Jahr. Die beiden Projekte VEDIS und SELMA schaffen für die Energieversorger-Branche wesentliche Grundlagen, um die Sicherheit der zunehmend automatisierten und in den Transaktionszahlen steigenden Kommunikation sicherzustellen.
Integrität, Authentizität, Verbindlichkeit und Vertraulichkeit stellen natürlich auch in der Stromwirtschaft die Grundanforderungen an geschäftliche Transaktionen dar. Das notwendige Vertrauen der anwendenden Stromversorgungsunternehmen entsteht jedoch nicht allein durch technische Interoperabilität, sondern vielmehr erst durch eine Kombination aus sicherer Technik und sicheren organisatorischen Prozessen. In diesem weiten Sinne ist Sicherheit die Summe aller vertrauensbildenden Maßnahmen, um effektiv, aber abgesichert, sein Kerngeschäft betreiben zu können.
Das dazu nötige Sicherheitsbewusstsein kann man nur in einer gemeinsamen Anstrengung der gesamten Branche erreichen. Deshalb wurde im Frühjahr 2002 das Projekt "Verbindlichkeit und Sicherheit im Electronic Data Interchange" (VEDIS) gestartet. Dabei ist es durchaus Absicht, dass das Akronym VEDIS auch mit V wie Verschlüsselung und S wie Signatur gebildet werden kann. Den Initiatoren – Vertreter des Verbandes der Elektrizitätswirtschaft (VDEW) und namhafter Energieversorgungsunternehmen – war frühzeitig klar, dass nicht nur technische, sondern gerade auch politische und organisatorische Empfehlungen nötig sind. Dies gilt besonders für Sicherheitsmechanismen, die zwischen den Unternehmen und an den betroffenen Arbeitsplätzen, Voraussetzungen einer Public-Key-Infrastruktur (PKI) benötigen.
In Abstimmung mit sechs Verbänden der Elektrizitätswirtschaft, die die aktuelle Verbändevereinbarung zum liberalisierten Strommarkt (VV II plus) mittragen, wurde deshalb eine gemeinsame Erklärung abgestimmt, die etliche Maßnahmen zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr empfiehlt. Diese haben das Ziel, das Sicherheitsniveau beim elektronischen Datenaustausch auf der technischen und organisatorischen Ebene nachhaltig zu heben. Herzstück ist dabei eine branchenweite Public-Key-Infrastruktur.
Die "Gemeinsame Erklärung zu Sicherheitsrahmenbedingungen" (verfügbar auf www.strom.de) der Verbände der Stromwirtschaft hat Empfehlungscharakter, ist bewusst allgemein gehalten und soll mittelfristig Bestand haben. Sie wird als politische Willenserklärung verstanden, geeignete Maßnahmen zu ergreifen, um technisch und organisatorisch die elektronische Kommunikation zu schützen beziehungsweise im weiteren Ausbau zu ermöglichen. Gleichzeitig sollen optimierte Prozesse Rationalisierungspotenzial erschließen (z. B. durch den Wegfall handschriftlicher Unterschriften).
Die notwendige weitere Ausgestaltung der gemeinsamen Erklärung erfolgt auch zukünftig auf der Ebene von Arbeitsdokumenten, die durch zeitnahe Anpassung dem technischen Wandel und kurzfristigen Bedürfnissen in der Branche Rechnung tragen. Diese Dokumente werden durch die VDEW-Projektgruppe "Sicherheit beim elektronischen Datenaustausch" mithilfe von Siemens-Experten erarbeitet und durch den Verband veröffentlicht (www.strom.de – Suche: VEDIS). Es handelt sich bei diesen Folgedokumenten neben einer bereits im Jahr 2002 vorgelegten Studie bislang um fünf weiterführende Empfehlungen im technischen und organisatorischen Bereich:
Bei der PKI-Konzeption wurde das Prinzip "so wenig wie möglich, soviel wie nötig" angewendet, besonderer Schwerpunkt war der Ansatz, normgerechtes Vorgehen und Industriestandards miteinander zu verbinden.
Gleichzeitig empfehlen die beteiligten Verbände, für bilaterale oder multilaterale (EDI-)Verträge die genannten Empfehlungen vertragsrechtlich bindend zugrunde zu legen. Damit ist vor allem auch eine elektronische Unterschrift der handschriftlichen Unterschrift weitgehend gleichgestellt, selbst mit "nur" fortgeschrittenen Signaturen. Der Datenaustausch genügt damit rechtlich der so genannten vereinbarten elektronischen Form. Für die elektronische Rechnung über EDI (z. B. eine Netznutzungsrechnung) ist eine vertragsrechtliche Regelung seit Anfang 2004 gesetzlich vorgeschrieben. Das neue Umsatzsteuerrecht (§ 14, Abs. 3 UStG) verlangt zudem mit der Forderung nach "Echtheit der Herkunft" und "Unversehrtheit des Inhaltes" sicherheitstechnische Kriterien, denen das Vorgehen nach VEDIS genügt.
Der Kerntext der Umsetzungsempfehlungen für die gemeinsame Erklärung enthält bewusst weder Hinweise auf Hersteller noch Produkte; erst die Anhänge geben Produkthinweise und bieten Herstellern Gelegenheit zu einer Selbstdarstellung ihrer Kompetenzen.
Wichtig erschien außerdem, in den Umsetzungsempfehlungen Augenmaß zu behalten: daher findet man darin keine "Nice-to-haves". Leitlinie des gesamten Projektes ist es, das Sicherheitsbedürfnis im Datenaustausch möglichst angemessen einzustufen und keine übertriebenen sicherheitstechnischen Investitionen zu verlangen.
Auch die Akzeptanzfreudigkeit der Mitarbeiter darf nicht überschätzt werden. Der Übergang zur elektronischen Signatur stellt schließlich einen Paradigmenwechsel dar, der behutsam eingeführt werden will. Kurzfristig soll vor allem die Kommunikation zwischen zwei Unternehmen des Strommarktes zusätzliche Sicherheit erhalten. Mittelfristig werden dann auch Ende-zu-Ende-Sicherheitsanforderungen angemessen berücksichtigt.
Das VEDIS-Projekt sieht Sicherheit stets als Voraussetzung und im Dienste einer optimalen Geschäftsabwicklung, auch und gerade über Firmengrenzen hinaus. Denn nur auf dieser Basis entsteht das nötige Vertrauen in die digitale Kommunikation und die immer weiter gehende und immer effizientere elektronische Geschäftsabwicklung bleibt beherrschbar. Sicherheit mit den Methoden der Public-Key-Infrastruktur wird damit zum "Enabler" für das E-Business.
Ein weiteres Beispiel für die intensive Auseinandersetzung mit der Informationssicherheit stellt das Projekt "Sicherer elektronischer Messdatenaustausch" (SELMA) dar. Es wurde als Förderprojekt im Rahmen der VERNET-Initiative des Bundes vergeben (www.vernetinfo.de), welche die Entwicklung von "sicheren und verlässlichen Transaktionen in offenen Kommunikationsnetzen" unterstützen soll. An SELMA beteiligen sich Hersteller von Messgeräten, industrielle Anwender aus der Energiewirtschaft, die Physikalisch-Technische Bundesanstalt, die Eichbehörden der Länder, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie eine rechtlich orientierte, wissenschaftliche Begleitung und eine sicherheitstechnisch orientierte, wissenschaftliche Moderation des Prozesses.
Ziel des SELMA-Vorhabens ist die Erarbeitung eines rechtsverträglichen, technischen Verfahrens, das geldwerte Energiemessdaten unabhängig vom Transportmedium sicher von dezentralen Messstellen über offene Netze zu den Eigentümern und Nutzern der Messdaten (Versorgungsunternehmen/Energiekunden) übertragen kann. Hierzu sollen IT-Sicherheitskonzepte und Methoden aus dem Bereich des Telediensterechts, vor allem der Signaturgesetzgebung (SigG und SigV) nutzbar gemacht werden, um für die übertragenen Messdaten das Vertrauenswürdigkeitsniveau des Eichrechts zu erreichen.
Digitale Signaturen versprechen eine erheblich schnellere und kostengünstigere Übertragung von Messdaten – eichrechtlich gesichert.
Im klassischen Strommarkt bildeten Stromzähler, Ablesung der Zählerstände, ihre Verarbeitung und die darauf bezogene Rechnungsstellung eine lineare Kette, die der jeweilige Monopolist kontrolliert und verantwortet. Der seit einigen Jahren liberalisierte Strommarkt mit den unterschiedlichen Marktrollen unterbricht dieses Prinzip: Stromhändler, Verteilnetzbetreiber, Übertragungsnetzbetreiber, Dienstleister für Zählerablesung, Bilanzkreisverantwortliche und Erzeuger können nur noch mit erheblichem Aufwand die eichrechtlich geforderte Integritätsbeziehung zwischen Datenanzeige und Warenwert sicherstellen, wie sie etwa die Marktwaage des Gemüsehändlers durch ihre Eichplakette garantiert.
Voraussetzung für einen funktionierenden liberalisierten Wettbewerb in der Energiewirtschaft bildet die zeitnahe Bereitstellung von Informationen zu gemessenen Energiemengen für Abrechnungszwecke. Diese Daten benötigen sowohl Netzbetreiber und Händler als auch der Kunde für die Kontrolle seiner Energieabrechnung. Alle berechtigten Marktteilnehmer müssen daher diskriminierungsfrei und neutral Zugang zu eichrechtlich gesicherten Messwerten erhalten. Die Messwerte stellen im liberalisierten Strommarkt Marktinformationen dar, die einen großen und wechselnden Teilnehmerkreis betreffen und für die auch aus der Sicht des Verbraucherschutzes hohe Sicherheitsanforderungen gelten müssen.
SELMA soll ein Sicherheitskonzept liefern, das auf die Geschäftsprozesse rund um die Energieverbrauchsmessung abgestimmt ist. Die Signatur der Messdaten ermöglicht an allen Stellen des Prozesses – bis hin zur Rechnungsstellung – eine exakte Validierung der gemessenen Verbrauchsdaten. Damit können Rückfragen und Nacherfassungen weitgehend vermieden werden. Auch die heute noch eichrechtlich geforderte Anzeige der Messdaten am Zähler könnte dann entfallen. Zudem will SELMA mittelfristig die Möglichkeit schaffen, durch Herunterladen validierter und zertifizierter Software-Pakete den Unterhaltsprozess für die Messgeräte zu automatisieren und damit die Betriebskosten beträchtlich zu senken.
Die geschilderten Probleme und ihre Lösung sind auf viele andere Branchen und Anwendungsfälle übertragbar. Überall, wo vor Ort Daten entstehen, die über öffentliche oder teilweise offene Netze transportiert werden, entstehen Konflikte mit dem Eichrecht oder anderen Rechtsvorschriften, die den Nachweis von integren Messdaten verlangen. Messdaten müssen für solche Fälle verkehrsfähigen Beweiswert erlangen. Die nächsten Messgeräte-Generationen werden deshalb nicht um weitergehende, informationsgebundene Sicherheitsmechanismen herumkommen, um die Integrität der einzelnen Datenpakete zu sichern.
Das Konzept der Energieversorger basiert auf bewährten, internationalen Standards und lässt sich deshalb auch in bestehende IT-Infrastruktur integrieren. Allerdings: Selbst wenn die Basistechnologie existiert, so lassen sich doch nicht auf einmal alle Zähler austauschen. Der erste Schritt erfolgt deshalb bei industriell eingesetzten Messgeräten und betrifft noch nicht die Haushaltsgeräte. Im Sommer dieses Jahres startet der Feldtest mit der neuentwickelten SELMA-Technik.
Dr. Willi Kafitz ist Senior Consultant bei Siemens Information and Communication Networks in Frankfurt am Main (![[externer Link]](../../../../images/link.gif)
www.siemens.de/solutionprovider), Dr. Norbert Zisky ist Leiter der Arbeitsgruppe Datenkommunikation und -sicherheit bei der Physikalisch-Technischen Bundesanstalt in Berlin ( www.ptb.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 50
| 