Wir ziehen wieder los! IT – Roadstars 2017
9. Oktober 2017
Die REDDOXX Appliance bietet aktuell keine Angriffsmöglichkeit für Meltdown und Spectre
REDDOXX Appliance bietet keine Angriffsmöglichkeit für Meltdown und Spectre
11. Januar 2018
alle anzeigen

Energieversorger aufgepasst: REDDOXX unterstützt RSASSA-PSS und RSAES-OAEP

Energieversorger EDIFACT Übertragungsdateien RSASSA-PSS und RSAES-OAEP

Der BDEW – also der Bundesverband der Energie- und Wasserwirtschaft e.V. – hat neue Regelungen zum Austausch von EDIFACT-Übertragungsdateien veröffentlicht, die zum 01.01.2018 umgesetzt werden sollen. Dies betrifft vor allem den sicheren elektronischen Datenaustausch zwischen den Marktpartnern der deutschen Energiewirtschaft per E-Mail. Da EDIFACT-Dateien als sensible, personenbezogene Daten gelten, darf der Austausch ausschließlich digital signiert und verschlüsselt erfolgen.

Inhalt dieses Beitrages:

Regelung zum sicheren Austausch von EDIFACT-Übertragungsdateien

Neben Vorgaben zur Gestaltung und Inhalt der E-Mail, werden auch die Algorithmen und Schlüssellängen vorgegeben, hier sind u.a. die wenig bekannten Standards RSASSA-PSS und RSAES-OAEP gefordert. Wir fassen nachfolgend die Regelungen für Sie zusammen. Basis dafür ist das am 01.04.2017 durch den BDEW veröffentlichten Dokument „EDI@Energiy – Regelungen zum Übertragungsweg“ in der Version 1.1..

Anforderungen an die Gestaltung der E-Mail

E-Mailadresse

  • Die für den Austausch von EDIFACT-Übertragungsdateien verwendete E-Mailadresse darf nicht anderweitig verwendet werden
  • Die verwendete E-Mailadresse muss personenneutral und funktionsbezogen lauten, beispielsweise edifact@firma.de
  • Im VON-Feld der versendeten E-Mail muss die eigene E-Mailadresse stehen, im AN-Feld darf ausschließlich die E-Mailadresse des Empfängers stehen
  • Sowohl das VON-, als auch das AN-Feld müssen gefüllt sein und dürfen nicht leer sein

Betreffzeile

  • Der Betreff der E-Mail muss genau so heißen, wie der Dateiname der EDIFACT-Übertragungsdatei

E-Mail Anhang

  • Der Name der Datei wird im EDI@Energy Dokument „Allgemeine Festlegungen“ geregelt und ist Energieversorgern bekannt
  • In jeder E-Mail darf ausschließlich eine EDIFACT-Übertragungsdatei enthalten sein
  • Die E-Mail darf keine weiteren Anhänge enthalten
  • Sofern die EDIFACT-Übertragungsdatei komprimiert werden soll, ist dies zulässig, sofern dafür die gzip-Komprimierung verwendet wird
  • Der Anhang muss nicht separat verschlüsselt werden, da dies bereits über S/MIME erfolgt
  • Damit Mailserver keine Zeilenumbrüche während des Transportes einfügen, muss der Anhang Base64 kodiert sein

E-Mail Body

  • Der E-Mail Body – also der eigentliche Text einer E-Mail – darf nicht als HTML kodiert sein, sondern muss aus reinem Text bestehen
  • Der Body darf keine Bilder oder Unternehmenslogos enthalten
  • Da manch eingesetzte Software zur E-Mailkommunikation Schwierigkeiten mit einem leeren E-Mail Body haben, muss die E-Mail einen inhaltlichen Text bekommen
  • Im Body dürfen keine Informationen enthalten sein, die für die weitere Verarbeitung der Daten notwendig ist. Das liegt daran, dass der Empfänger (im Regelfall automatisiert) ausschließlich die EDIFACT-Daten verarbeitet und den Inhalt der E-Mail nicht beachtet

Anforderungen an die digitale Signatur und E-Mailverschlüsselung

  • Alle E-Mails mit EDIFACT-Übertragungsdateien müssen digital signiert und verschlüsselt werden
  • Hierfür ist ausschließlich der S/MIME Standard zu verwenden
  • Spätestens zwei Wochen vor Ablauf eines Zertifikates muss dem Kommunikationspartner ein neues zur Verfügung gestellt werden

Zertifizierungsstelle (CA)

  • Die verwendeten Zertifikate dürfen nicht selbstausgestellt werden, sondern müssen von einer Zertifizierungsstelle stammen, die mindestens folgende Anforderungen abdeckt:
    • Die IT-Sicherheit muss durch einen Audit oder eine Zertifizierung geprüft sein
    • Der Registrierungsservice erfolgt auf einem hohen Sicherheitsniveau
    • Die Vertrauenswürdigkeit ist gegeben
    • Zertifikate müssen über einen Rückrufservice widerrufen werden können
    • Eine Zertifikatssperrliste (CRL) ist öffentlicht zugänglich
    • Der Rechtsstand genügt den Anforderungen des beantragenden Unternehmens

Verwendete Zertifikate

  • Die Gültigkeit der verwendeten Zertifikate darf maximal drei Jahre betragen
  • Das Zertifikat muss im Feld KeyUsage beide Verwendungszwecke beinhalten, sowohl die Signatur, als auch die Verschlüsselung
  • Das Zertifikat muss eine fortgeschrittene elektronische Signatur ermöglichen
  • Das Zertifikat muss eine Identifizierung und Zuordnung zum Unternehmen ermöglichen, welches die E-Mail-Adresse betreibt, im Feld O ist also eine juristische Person aufzuführen
  • Im Feld „Alternativer Antragstellername“ mit dem Wert „RFC822-Name=“ muss die verwendete E-Mailadresse stehen, also beispielsweise edifact@firma.de
  • Für den Austausch der öffentlichen Zertifikate gilt die Codierung:
    • DER-codiert-binär X.509 (mit der Datei-Extension: .cer) oder
    • Base-64-codiert X.509 (mit der Datei-Extension: .cer)

Algorithmen und Schlüssellängen

  • Die RSA Schlüssellänge muss mindestens 2048 Bit betragen
  • digitale Signatur
    • Hashfunktion: SHA-256 oder SHA-512
    • Signaturverfahren: RSASSA-PSS
  • E-Mailverschlüsselung
    • Schlüsselverschlüsselung: RSAES-OAEP
    • Inhaltsverschlüsselung: AES-128 CBC oder AES-192 CBC

REDDOXX MailSealer – Ihre Lösung für den sicheren Austausch

Der REDDOXX MailSealer ist Bestandteil der tausendfach bewährten REDDOXX Appliance und genau die Funktion, mit der Sie die Anforderungen einfach und komfortabel umsetzen können. Ausgehende E-Mails werden digital signiert und verschlüsselt, eingehende E-Mails werden geprüft und entschlüsselt. Der MailSealer unterstützt den geforderten S/MIME Standard und ist damit konform zu anderen Lösungen, die Ihre Kommunikationspartner einsetzen. Die Verschlüsselung und Signierung erfolgt regelbasiert und damit zentral und automatisch – unabhängig vom Benutzer.

Unsere Entwicklungsabteilung hat bereits auf die neu geforderten Algorithmen RSASSA-PSS und RSAES-OAEP reagiert und diese in die bestehende Lösung integriert. Derzeit steht dieses Update in einer Betaversion zur Verfügung und wird von Bestandskunden aus der Energiewirtschaft getestet. Sollten Sie ebenfalls Interesse an einem Test haben, kontaktieren Sie gerne unseren Vertrieb!

Die Konfiguration

Der Betrieb der Lösung erfordert nur einen geringen Konfigurationsaufwand. Mit wenigen Schritten werden Ihre E-Mails zukünftig vertraulich übermittelt. Nachdem Sie das entsprechende Zertifikat erworben und hochgeladen haben, sind nur noch drei Klicks notwendig (anklicken zum Vergrößern).

Absender und Empfänger definieren

Digitale Signatur und E-Mailverschlüsselung konfigurieren - Absender und Empfänger definieren

digitale Signatur erwingen

Digitale Signatur und E-Mailverschlüsselung konfigurieren - Signatur erzwingen

E-Mailverschlüsselung erzwingen

Digitale Signatur und E-Mailverschlüsselung konfigurieren - Verschlüsselung erzwingen


Die REDDOXX Appliance verfügt über ein umfangreiches Diagnose Center und überwacht sich über einen integrierten Watchdog selbständig. Über das Diagnose Center überprüft die REDDOXX Appliance auch die verwendeten Zertifikate auf ihre Gültigkeit.

Neben der Möglichkeit der manuellen Überprüfung werden Sie rechtzeitig per E-Mail vom System über auslaufende Zertifikate informiert, so dass ausreichend Zeit für die Neubeantragung bleibt und ein unterbrechungsfreier Betrieb gewährleistet ist.

Das Diagnose Center informiert Sie rechtzeitig über auslaufende Zertifikate


Optionale Erweiterung um Anti-Spam und E-Mail Archivierung

Der MailSealer ist Bestandteil der REDDOXX Appliance, die auf Wunsch um die Funktionen Anti-Spam und E-Mail Archivierung erweitert und damit zu einem umfangreichen E-Mail Management ausgebaut werden kann.

Grundlage des REDDOXX Spamfinder sind verschiedene Abwehrmethoden wie Black- und Whitelisting, Advanced RBL, automatische Checks von Sender- und Empfängeradresse, syntaktische Spamerkennung und viele mehr. Allein die Kombination dieser konventionellen und bewährten Filtermethoden sorgt für den extrem hohen Antispam-Faktor von rund 98 Prozent. Jeder Anwender kann die gefilterten E-Mails einsehen und bei einer eventuellen Fehlerkennung selbst zustellen. Virenbehaftete Mails hat der REDDOXX Virenschutz dabei bereits im Vorfeld herausgefiltert.

Mit dem REDDOXX MailDepot steht Ihnen eine leistungsstarke und TüV-zertifizierte E-Mail Archivierung zur Verfügung, mit der jede E-Mail nur zwei Mausklicks entfernt ist. Das Volltext-indizierte System durchsucht in Sekunden schnelle Ihre E-Mails und alle textlich orientierten Anhänge (z.B. Word oder PDF), aufwendiges Sortieren und Ordnen der E-Mails im Postfach wird damit überflüssig. Alle E-Mails werden automatisch und dauerhaft in einem vom Mailserver unabhängigen Archiv gespeichert. Das MailDepot erfüllt selbstverständlich alle gesetzlichen Anforderungen, die bereits seit Jahren verbindlich gelten.

Das sagen unsere Kunden aus der Energiewirtschaft

REDDOXX ist mit über 3.000 Installationen einer der Marktführer für rechtskonformes E-Mail Management in der D/A/CH-Region. Zum Kundenkreis gehören neben namhaften Unternehmen auch Konzerne, öffentliche Institutionen, gemeinnützige Einrichtungen und natürlich Energieversorger. Einer der ältesten Kunden von REDDOXX ist die SWU Stadtwerke Ulm/Neu-Ulm GmbH. Bereits seit 2005 (!) setzt man dort die drei Lösungen von REDDOXX ein (Bericht über den Einsatz bei SWU lesen).

Zum aktuellen Update mit der Unterstützung von RSASSA-PSS und RSAES-OAEP äußert sich Herr Florian Stüber, IT-Systembetreuer bei der SWU, wie folgt:

REDDOXX überzeugt uns seit vielen Jahren in allen Bereichen. Neben der ausgereiften Technologie betrifft dies vor allem den angenehmen Kontakt mit den Mitarbeitern im Support. Derzeit testen wir das neu veröffentlichte Update und sind damit sehr zufrieden, denn es erfüllt exakt die Anforderungen der BDEW.

Ein weiterer langjähriger Kunde ist die City-USE GmbH & Co.KG, welche die REDDOXX Lösung 2008 eingeführt haben. Die Kooperationsgesellschaft für Stadtwerke setzte dabei zunächst das MailDepot zur rechtskonformen E-Mail Archivierung ein und erweiterte das System 2011 um den MailSealer.

Herr Peter Schleinitz betreut die REDDOXX Appliance und sagt zum aktuellen Update:

Die Zusammenarbeit mit REDDOXX ist äußerst angenehm. Bereits bei vergangenen Updates wurde immer wieder schnell und zuverlässig auf neue Anforderungen aus der Energiewirtschaft reagiert – genau wie auch dieses Mal.

Überzeugen Sie sich selber

Um sich einen eigenen Eindruck über die Leistungsfähigkeit der REDDOXX Lösung zu verschaffen, empfehlen wir Ihnen eine Teststellung. Als virtuelle Appliance können Sie die REDDOXX einfach in Ihre bestehende Infrastruktur integrieren und für 30 Tage kostenfrei ausprobieren.

Sie haben Fragen zur Lösung? Kein Problem, kontaktieren Sie uns einfach, wir beantworten gerne all Ihre Fragen. Sie erreichen uns unter +49 7021 92846-0 und sales@reddoxx.com, wir freuen uns auf Ihre Kontaktaufnahme!