Noch in der Vorweihnachtszeit des letzten Jahres, genauer am 09.12.2016, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ohne große Ankündigungen die Version 1.1 der Certificate Policy für die Smart Metering PKI (SM-PKI-Policy) veröffentlicht.
Im Folgenden möchten wir Ihnen einige der wesentlicheren Änderungen kurz vorstellen.
Abschwächung der Funktionstrennung zwischen Rollen der SM-PKI
In der alten SM-PKI-Policy wurden für bestimmte Aufgaben definierte Trennungen zwischen einzelnen Rollen der SM-PKI (z.B. GWA, Sub-CA und EMT) gefordert. Dies machte teilweise die Umsetzung strikter Funktionstrennungen notwendig, z.B. dass Mitarbeiter entweder für Tätigkeiten im Bereich GWA oder im Bereich Sub-CA berechtigt werden durften, aber nicht in beiden Bereichen. Diese Forderungen wurden in der neuen SM-PKI-Policy abgeschwächt. Eine klare Trennung der unterschiedlichen SM-PKI-Rollen ist natürlich weiterhin gefordert, allerdings kann die Trennung nun auch durch technische und organisatorische Maßnahmen, z.B. der Durchführung im 4-Augenprinzip, umgesetzt werden.
Anforderungen an S/MIME-Zertifikate für Ansprechpartner
Ein weiterer Bereich, der angepasst wurde, sind die S/MIME-Zertifikate für Ansprechpartner. Mit den Zertifikaten werden die Ansprechpartner bei der zuständige CA registriert werden und die dazugehörigen Zertifikate, bspw. für die E-Mail-Kommunikation zu Abstimmungsprozessen, hinterlegt. Bisher war nicht eindeutig festgelegt, welche Anforderungen das S/MIME-Zertifikat erfüllen musste und wie eine Erneuerung dieses Zertifikats abläuft.
In der neuen SM-PKI-Policy wurde nun aufgenommen, dass die S/MIME-Zertifikate personenbezogen, d.h. ein Class 2 oder Class 3-S/MIME-Zertifikat sein müssen. Läuft die Gültigkeit eines Zertifikates ab, muss ein neues Zertifikat bei der zuständigen CA hinterlegt werden. Für die sichere Übertragung und richtige Zuordnung muss das neue Zertifikat mit einem gültigen S/MIME-Zertifikat (mit dem noch gültigen eigenem oder durch einen anderen Ansprechpartner) signiert werden.
Änderungen der Anforderungen an die Kryptomodule
Bei den Kryptomodulen gab es im Rahmen der überarbeiteten Certificate Policy größere Änderungen. Einerseits wurde ein Teil der zu erfüllenden Anforderungen in das Dokument Key Lifecycle Security Requirements ausgelagert. In der neuen Certificate Policy werden Anforderungen an die Einsatzumgebung berücksichtigt und dazu in den Key Lifecycle Security Reuirements Anforderungen zwischen Security Level 1 und 2 aufgeteilt. Die Hauptunterschiede zwischen den Security Leveln sind, dass für Security Level 2 der Zugriff auf das Kryptomodul im 4-Augenprinzip und eine Zertifizierung gemäß Common Criteria (CC) gefordert wird. Auch die bei der CC-Zertifizierung zu erfüllenden Schutzprofile wurden geändert; dabei wurden die bisherigen BSI-Schutzprofile durch Schutzprofile auf Basis europäischer Normen des Europäische Komitee für Normung (CEN) ersetzt. Andererseits wurden die verbleibenden Anforderungen in der Certificate Policy überarbeitet, in dem Kryptomodule zukünftig nicht mehr Anforderungen an den Tamper-Schutz und die Seitenkanalresistenz gegen Attack Potential „moderate“ erfüllen müssen, wenn die Kryptomodule im Rahmen einer Einsatzumgebung betrieben werden, die durch ein zertifiziertes ISMS gesteuert wird. In diesem Fall ist es möglich, angemessene Maßnahmen für diese Bedrohungsszenarien über das ISMS umsetzen zu lassen.
Auch bei dem Einsatz von Kryptomodulen im Rahmen der Test-PKI wurden Anpassungen vorgenommen: Gemäß der vorherigen Version mussten auch für die Testumgebung hardware-basierte Lösungen zum Einsatz kommen. In der überarbeiteten Version reichen nun Kryptomodule mit dem neuen Security Level 1. Dieser Security Level kann dabei auch durch softwarebasierte Lösungen erfüllt werden. Einige HSM-Hersteller bieten z.B. auch Softwaresimulatoren für ihre HSMs an, die nun in der Test-PKI eingesetzt werden könnten.
Fazit zur neuen SM-PKI-Policy
Die vorgestellten Änderungen führen teilweise, wie bei der Anpassung der Funktionstrennung, direkt zu Erleichterungen bei den umzusetzenden Maßnahmen oder durch Klarstellung der Anforderungen immerhin zur Erleichterung bei der Maßnahmenumsetzung. Positiv ist aus unserer Sicht auch, dass bei der überarbeiteten SM-PKI Rückmeldungen aus der praktischen Umsetzung berücksichtigt und eingearbeitet wurden.
Bei den Anpassungen wurde aber auch darauf geachtet, dass das Ziel der sicheren Kommunikation in der Smart Metering PKI nicht aus den Augen verloren wurden. Die teilweise mit den Klarstellungen verbunden Erleichterungen kommen daher zustande, dass die bestehenden Anforderungen für das vom BSI eigentlich gewünschte Schutzniveau zu strikt ausgefallen waren und daher angepasst werden musste.
Verwandte Artikel:
Wenn der Smart Meter-Gateway-Administrator in der Wolke sitzt
Alles Rund um die Smart Metering PKI