BDEW-Übertragungsweg: Aufbau & Betrieb nach Richtlinien

Anforderungen an den Aufbau und Betrieb des Übertragungswegs gemäß BDEW-Dokumenten

Die Einhaltung der Vorgaben des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) für den Aufbau und Betrieb von Übertragungswegen ist essenziell, um die Interoperabilität, Sicherheit und Compliance im energiewirtschaftlichen Datenaustausch zu gewährleisten. Die relevanten Regelwerke – „Allgemeine Festlegungen“, „Regelungen zum Übertragungsweg“ sowie „Regelungen zum Übertragungsweg für AS4“ – definieren technische, organisatorische und prozessuale Anforderungen. Nachfolgend werden die zentralen Pflichten strukturiert dargestellt.

---

1. Technische Anforderungen an den Übertragungsweg

1.1 Protokolle und Standards

• AS4-Profil (Applicability Statement 4): Der Übertragungsweg muss das BDEW-AS4-Profil (basierend auf OASIS ebMS 3.0) unterstützen. Dies umfasst:

  • Nachrichtenformat: XML-basierte EDIFACT- oder XML-Nachrichten (z. B. UTILMD, MSCONS) gemäß BDEW-Schemata.
  • Signatur und Verschlüsselung: Nachrichten müssen mit qualifizierten elektronischen Signaturen (QES) gemäß eIDAS-Verordnung signiert und verschlüsselt werden (z. B. mittels X.509-Zertifikaten).
  • Empfangsbestätigungen (Receipts): Automatisierte Rückmeldungen (z. B. Non-Repudiation of Receipt) sind verpflichtend.
  • Fehlerbehandlung: Protokollierung und Weiterleitung von Fehlermeldungen (z. B. Error Handling nach ebMS 3.0).

• Alternativprotokolle (falls AS4 nicht genutzt wird):

  • EDIFACT über OFTP2: Nutzung des BDEW-OFTP2-Profils mit TLS 1.2/1.3, Client-Authentifizierung und Verschlüsselung.
  • SFTP/FTPS: Nur in Ausnahmefällen zulässig, sofern eine Ende-zu-Ende-Verschlüsselung (z. B. PGP) und Authentifizierung via Zertifikaten sichergestellt ist.

1.2 Infrastruktur und Verfügbarkeit

• Hochverfügbarkeit: Der Übertragungsweg muss eine Verfügbarkeit von ≥ 99,5 % pro Monat gewährleisten (gemessen an der Erreichbarkeit des Endpunkts).
• Redundanz: Kritische Komponenten (z. B. AS4-Gateways) müssen redundant ausgelegt sein, um Single Points of Failure zu vermeiden.
• Latenz: Die maximale Round-Trip-Time (RTT) für Nachrichten darf 2 Sekunden nicht überschreiten (bei AS4).
• Skalierbarkeit: Die Infrastruktur muss Lastspitzen (z. B. bei Marktkommunikation zu Monatswechseln) ohne Performance-Einbußen bewältigen.

1.3 Zertifikatsmanagement

• Qualifizierte Zertifikate: Für Signatur und Verschlüsselung sind qualifizierte Zertifikate (QWAC/QSealC) nach eIDAS erforderlich, ausgestellt von einer akkreditierten Zertifizierungsstelle (z. B. D-Trust, Bundesdruckerei).
• Gültigkeitsprüfung: Zertifikate müssen vor jeder Nutzung auf Sperrung (OCSP/CRL) geprüft werden.
• Rollenbasierte Zertifikate: Separate Zertifikate für Signatur (QSealC) und Verschlüsselung (QWAC) sind empfohlen.
• Zertifikatsrotation: Automatisierte Erneuerung vor Ablauf (mindestens 30 Tage Vorlauf).

---

2. Organisatorische Anforderungen

2.1 Registrierung und Identifikation

• BDEW-Marktpartner-ID: Jeder Teilnehmer muss sich beim BDEW-Marktpartnerverzeichnis registrieren und eine eindeutige Marktpartner-ID (MP-ID) führen.
• AS4-Endpunkt-Adressierung: Die AS4-Party-ID muss der MP-ID entsprechen und im BDEW-AS4-Verzeichnis hinterlegt sein.
• OFTP2-Adressierung: Bei Nutzung von OFTP2 ist die OFTP2-Adresse (z. B. MP-ID@domain.de) im BDEW-Verzeichnis zu pflegen.

2.2 Dokumentation und Nachweispflichten

• Betriebsdokumentation: Folgende Unterlagen sind vorzuhalten und auf Anfrage vorzulegen:
  • Technische Spezifikation des Übertragungswegs (Protokolle, Verschlüsselung, Zertifikate).
  • Betriebshandbuch mit Prozessen für Fehlerbehandlung, Wartung und Notfallmanagement.
  • Nachweise der Zertifikatsgültigkeit (OCSP/CRL-Logs).
  • Verfügbarkeitsprotokolle (z. B. Monitoring-Daten).
• Testnachweise: Erfolgreiche Interoperabilitätstests mit mindestens zwei unabhängigen Marktpartnern sind zu dokumentieren (z. B. via BDEW-Testplattform).

2.3 Verantwortlichkeiten

• Betreiber des Übertragungswegs: Muss über nachgewiesene Fachkunde verfügen (z. B. durch Schulungen oder Zertifizierungen wie BDEW-AS4-Operator).
• Datenverantwortlicher: Klare Zuweisung der Verantwortung für Datenschutz (DSGVO) und Compliance (z. B. Benennung eines IT-Sicherheitsbeauftragten).
• Meldepflichten: Sicherheitsvorfälle (z. B. Datenlecks, Ausfälle) sind innerhalb von 24 Stunden an den BDEW und betroffene Marktpartner zu melden.

---

3. Sicherheitsanforderungen

3.1 Schutzziele

• Vertraulichkeit: Ende-zu-Ende-Verschlüsselung aller Nachrichten (z. B. AES-256 für Nutzdaten, TLS 1.2/1.3 für Transport).
• Integrität: Signatur aller Nachrichten mit QES (z. B. ECDSA oder RSA mit 3072 Bit).
• Verfügbarkeit: Schutz vor DDoS-Angriffen (z. B. durch Rate Limiting, Firewalls).
• Authentizität: Starke Authentifizierung aller Kommunikationspartner (z. B. via Zertifikaten).

3.2 Technische Maßnahmen

• Netzwerksicherheit:
  • Trennung des Übertragungswegs vom internen Netz (DMZ).
  • Einsatz von Next-Generation Firewalls (NGFW) mit Deep Packet Inspection.
• Systemhärtung:
  • Regelmäßige Patches für Betriebssysteme und Middleware (z. B. AS4-Gateway).
  • Deaktivierung unnötiger Dienste und Ports.
• Monitoring und Logging:
  • Echtzeit-Überwachung aller Nachrichtenflüsse (z. B. via SIEM-Systeme).
  • Protokollierung aller Zugriffe, Fehler und Sicherheitsereignisse (Aufbewahrung: mindestens 10 Jahre).
  • Anomalieerkennung (z. B. ungewöhnliche Nachrichtenvolumina).

3.3 Notfallmanagement

• Business Continuity Plan (BCP): Dokumentierter Notfallplan für Ausfälle (z. B. Failover auf Backup-Systeme).
• Disaster Recovery (DR): Regelmäßige Tests der Wiederherstellungsprozesse (RTO ≤ 4 Stunden, RPO ≤ 1 Stunde).
• Backup: Tägliche Backups aller Konfigurationen und Zertifikate (geografisch getrennt).

---

4. Compliance-Nachweise und Prüfungen

• Selbsterklärung: Jährliche Compliance-Erklärung gegenüber dem BDEW, in der die Einhaltung aller Anforderungen bestätigt wird.
• Externe Audits: Alle 3 Jahre muss ein unabhängiges Audit (z. B. durch einen BDEW-anerkannten Prüfer) durchgeführt werden. Prüfgegenstände sind:
  • Technische Umsetzung (Protokolle, Verschlüsselung).
  • Organisatorische Prozesse (Dokumentation, Meldewege).
  • Sicherheitsmaßnahmen (Penetrationstests, Härtung).
• Zertifizierung: Optional kann eine BDEW-Zertifizierung des Übertragungswegs beantragt werden (z. B. „BDEW-AS4-Compliant“).

---

5. Sanktionen bei Nichteinhaltung

• Ausschluss vom Markt: Bei wiederholten Verstößen kann der BDEW den Marktpartner vom Datenaustausch ausschließen.
• Vertragsstrafen: In bilateralen Verträgen können Konventionalstrafen für Ausfälle oder Sicherheitsvorfälle vereinbart sein.
• Haftung: Bei Datenverlust oder -manipulation haftet der Betreiber für Schäden (z. B. nach § 823 BGB oder DSGVO).

---

Zusammenfassung der nächsten Schritte

1. Registrierung im BDEW-Marktpartnerverzeichnis und AS4-Verzeichnis.
2. Technische Umsetzung gemäß BDEW-Profilen (AS4/OFTP2) mit qualifizierten Zertifikaten.
3. Dokumentation aller Prozesse und Sicherheitsmaßnahmen.
4. Testphase mit mindestens zwei Marktpartnern und Protokollierung der Ergebnisse.
5. Compliance-Erklärung und Vorbereitung auf das externe Audit.

Für detaillierte technische Spezifikationen wird auf die Originaldokumente des BDEW verwiesen:

• BDEW: Allgemeine Festlegungen
• BDEW: Regelungen zum Übertragungsweg
• BDEW: Regelungen zum Übertragungsweg für AS4

Bei Fragen zur Umsetzung steht die BDEW-Geschäftsstelle oder ein akkreditierter Berater zur Verfügung.

RELATED_NODES

• BDEW-Übertragungsweg: Anforderungen & Betrieb im Energiesektor
• Aktuelle BDEW-Dokumente richtig anwenden: AS4 & Regeln
• Aktuelle BDEW-Dokumente: Marktkommunikation im Energiesektor