Verschlüsselung / Zertifikate
Allgemein
Über den ENERGYlink werden endverbraucherbezogene Daten ausgetauscht. Jegliche endverbraucherbezogene Daten sind zur Sicherheit und Vertraulichkeit und zum Schutz dieser Daten vor Missbrauch ausnahmslos zu verschlüsseln. Das Sicherheitskonzept der Verrechnungsstellen sieht hierbei die Verwendung von eigens dafür konzipierten Verschlüsselungszertifikaten vor.
Durch die Verwendung von Verschlüsselungszertifikaten ist sichergestellt, dass nur der Adressat der jeweiligen Nachricht den endverbraucherbezogenen Inhalt derselben entschlüsseln und somit lesen kann. Somit ist eine vollständige Verschlüsselung der Daten während der gesamten Übertragungskette, vom Absender, über den ENERGYlink, bis zum Empfänger, gewährleistet.
Zur lückenlosen Umsetzung dieses Verschlüsselungskonzeptes ist es erforderlich, dass den Verrechnungsstellen von jedem Marktteilnehmer für jede registrierte EC-Nummer (AT-Nummer) ein Verschlüsselungszertifikat zur Verfügung gestellt wird (Mehrfachverwendung von einem Zertifikat für mehrere EC-Nummern möglich).
Jedes Verschlüsselungszertifikat besteht dabei aus einem privaten und einem öffentlichen Schlüssel. Die öffentlichen Schlüssel sind zwischen den Marktteilnehmern untereinander auszutauschen. Wurde der private Schlüssel eines Marktteilnehmers nicht ordnungsgemäß in den ENERGYlink eingebunden und der öffentliche Schlüssel nicht den übrigen Marktteilnehmern zur Verfügung gestellt, kann weder ein Versand, noch ein Empfang von Mitteilungen über den ENERGYlink erfolgen.
Der Verschlüsselungsvorgang lässt sich anhand der Übermittlung einer Nachricht von „AT111111“ nach „AT222222“ exemplarisch wie folgt skizzieren:
- Absender „AT111111“ verschlüsselt die Nachricht mit dem öffentlichen Schlüssel von Empfänger „AT222222“
- Absender „AT111111“ sendet die verschlüsselte Nachricht an Empfänger „AT222222“.
- Nur dem Empfänger „AT222222“ als Inhaber des privaten Schlüssels ist es möglich, die Nachricht von Absender „AT111111“ zu entschlüsseln und zu lesen.
Prozessablauf
Die Einbindung der Verschlüsselungszertifikate und somit die Verschlüsselung der Nachricht hat durch jeden Marktteilnehmer selbst zu erfolgen und kann dabei auf zwei Arten durchgeführt werden:
- Einbindung des Verschlüsselungszertifikates durch den Marktteilnehmer in dessen eigenen Systemen, welche an den ENERGYlink mittels Direktanbindung angebunden sind (siehe Kapitel Direktanbindung)
- Einbindung des Verschlüsselungszertifikates im Self Storage-Dienst, der von den Verrechnungsstellen zur Verfügung gestellten Internetapplikation zur Abwicklung der Prozesse, welche direkt mit dem ENERGYlink verbunden ist (siehe Kapitel Self Storage-Dienst).
Markteilnehmer mit Direktanbindung
Sofern die Einbindung der Zertifikate in die eigenen Systeme des Marktteilnehmers erfolgen soll, erhalten Sie technische Unterstützung zur Einbindung der Zertifikate bei Ihrem Softwarelieferanten.
Marktteilnehmer, welche den Self Storage-Dienst nicht verwenden, haben deren öffentlichen Schlüssel gesondert in den ENERGYlink hochzuladen. Dafür ist ein eigener Bereich vorgesehen, welcher nach dem Login über die Webmaske des ENERGYlink sichtbar ist. Der öffentliche Teil des Zertifikates hat extrahiert zu werden und in einer eigenen Datei (Zertifikatsdatei zB „.cer“) abgelegt zu werden, damit dieser hochgeladen werden kann.
Der private Schlüssel hat in ihrem eigenen System zur Entschlüsselung verwahrt zu werden. Bitte fragen Sie etwaige Details bei ihrem Softwarelieferanten nach.
Marktteilnehmer mit Self Storage-Dienst
Die Einbindung der Zertifikate über den Self Storage-Dienst erfolgt auf die nachfolgend skizzierte Weise:
Der Self Storage-Dienst bietet in seinem Webinterface ein Menü, in dem das Zertifikat für die entsprechende EC-Nummer hochgeladen werden kann. Nach einem Klick auf das entsprechende Auswahlfeld wählen Sie das zu verwendende Zertifikat (Endung des Zertifikat-Files „.p12“ oder „.pfx“) aus. Mit Betätigung des Buttons „Upload“ wird das Zertifikat in den Self Storage-Dienst hochgeladen und der jeweiligen EC-Nummer zugewiesen. Im Rahmen dieses Einbindungsprozesses wird das System die Eingabe des Passwortes des Zertifikates von Ihnen verlangen. Sofern die Eingabe erfolgreich ist, wird das Zertifikat als abgespeichert angezeigt.
Der Self Storage-Dienst speichert den privaten Schlüssel unmittelbar und gesichert in ihren Stammdaten ab. Der öffentliche Schlüssel, welcher Teil des Zertifikates ist, ist ebenso im ENERGYlink hochzuladen, sodass andere Marktteilnehmer diesen herunterladen können
Wie bekomme ich ein Zertifikat?
Marktteilnehmer, welche bereits im Zuge der Nutzung des ENERGYlink-Light ein Zertifikat beantragt und in Verwendung haben, können dieses ebenfalls für den ENERGYlink nutzen.
Marktteilnehmer, welche noch kein Zertifikat besitzen oder ein eigenes für den ENERGYlink verwenden möchten, verweisen wir auf folgende, den Verrechnungsstellen bekannte, Ausstellungsstelle von digitalen Zertifikaten der Klasse 1 (E-Mail-Zertifikate), welche unter anderem vom ENERGYlink akzeptiert wird. Bei allen Ausstellungsstellen ist die einfachste Variante (Basic/Klasse1) ausreichend:
- GlobalSign: https://globalsign.wis.de/systemde/person/?EU
- Comodo: https://comodosslstore.com/email-identity/personal-authentication-certificate
- Sectigo: https://www.sectigo.com/ssl-certificates-tls/email-smime-certificate
Darüber hinaus gibt es noch weitere anerkannte Zertifizierungsstellen. Für eine genaue Evaluierung, ob ihr Zertifikat vom ENERGYlink unterstützt wird, senden Sie uns bitte das öffentliche Zertifikat an kundenservice@energylink.at. Wir geben Ihnen umgehend Bescheid, ob das übermittelte Zertifikat von uns unterstützt wird.
HINWEISE:
- Grundsätzlich kommen für die Verwendung im ENERGYlink nur Softwarezertifikate in Frage. Kartenlösungen werden nicht unterstützt.
- Im Rahmen der Bestellung der Zertifikate ist verpflichtend eine E-Mail-Adresse anzugeben, auf welche das Zertifikat gesendet werden soll. Diese Adresse kann beliebig sein. Bitte achten Sie jedoch darauf, dass Sie zu dieser E-Mail-Adresse Zugang haben. Es kann mitunter vorkommen, dass Mails von Zertifizierungsstellen in ihrem Spam-Ordner landen. Überprüfen Sie daher auch diese Ordner auf einen möglichen E-Mail-Empfang.
- Zudem ist ein Inhaber des Zertifikats anzugeben. Die Angaben zum Zertifikatsinhaber unterliegen keinerlei Vorgaben, da das gesamte Zertifikat geprüft wird.
Wie erhalte ich die öffentlichen Zertifikate anderer Marktteilnehmer?
Um eine Nachricht verschlüsselt zu versenden, benötigen Sie den öffentlichen Schlüssel des jeweiligen Empfängers der Nachricht, wie unter Punkt Allgemein beschrieben.
Abhängig davon, ob Sie mittels Direktanbindung an den ENERGYlink angebunden sind, oder den Self Storage-Dienst verwenden, unterscheidet sich die Vorgehensweise zum Erhalt der öffentlichen Schlüssel anderer Marktteilnehmer:
- Direktanbindung
Der ENERGYlink stellt einen automatischen Prozess zum „Erhalten“ der öffentlichen Schlüssel bereit. Ihre Software (falls entsprechend implementiert) kann daher vom ENERGYlink jeden öffentlichen Schlüssel eines Marktteilnehmers herunterladen und somit die Nachricht verschlüsseln.
Eine detaillierte technische Beschreibung für ihren Softwarelieferanten finden Sie auf der Homepage des ENERGYlink unter www.energylink.at im Bereich »Download»/Technische Dokumentation.
- Self Storage-Dienst
Im Falle der Nutzung des Self Storage-Dienstes besorgt sich der Dienst bei jedem Versand das aktuellste öffentliche Zertifikat des Empfängers automatisch vom ENERGYlink und verschlüsselt die zu sendende Nachricht entsprechend.