Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 1/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

co.met GmbHHohenzollernstraße 7566117 Saarbrückenwww.co-met.info

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy Network

© 23.05.2023 co.met GmbH

Version 1.1

Geltungsbereich Smart Energy Network (SEN)

Klassifizierung Vertraulich

Dokumenteneigner Yvonne Pill

Genehmiger Natalia Götz

Verteiler co.met und definierte Dritte

Dokumentenstatus Freigegeben

Dokumententyp Dokument (DOK)

Autor/OE/FIRMA Yvonne Pill C7 co.met

Gültig ab 07.03.2019

Ersetzt Dokument

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 2/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Änderungshistorie

Versionsnummer Datum der Änderung Autor/OE/FIRMA Beschreibung der Änderung

0.1 21.02.2019 YP/C7/co.met Erstellung des Dokumentes

0.2 26.02.2019 YP/C7/co.met Einfügen der Formulare

1.0 07.03.2019 NG/C7/co.met Korrektur der Endfassung und Freigabe des Dokumentes

1.1 13.03.2019 YP/C7/co.met Aktualisierung der eingebetteten Dokumente

Prüfung- und Freigabe-Historie

Versionsnummer Datum der Prüfung

Datum der Freigabe

Prüfer

Name/OE/Firma/Signatur

Genehmiger

Name/OE/Firma/Signatur

1.0 07.03.2019 NG/C7/co.met NG/C7/co.met

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 3/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Inhalt

1. Einleitung....................................................................................................................................5

2. Schrittweise Beschreibung der Anlage eines Mandanten...........................................................5

2.1. Ausfüllen und Einreichen der Antragsformulare..................................................................5

2.1.1. Antrag zur Teilnahme an der SEN.CA..........................................................................6

2.1.2. Anlage 1: Allgemeine Vollmacht Smart Energy Network zum Antrag zur Teilnahme an der SEN.CA...........................................................................................................................8

2.1.3. Anlage 2: Autorisierung eines Dienstleisters zum Antrag zur Teilnahme an der SEN.CA 8

2.1.4. Anlage 3: Identifizierung eines neuen Benutzers zum Antrag zur Teilnahme an der SEN.CA 8

2.2. Benutzerregistrierung in der SEN-Cloud.............................................................................9

2.3. Beantragung des VPNs und der Schnittstellen..................................................................10

2.4. Durchführung der Zertifikatsmanagementprozesse...........................................................11

2.5. Einrichtung der Produktivumgebung..................................................................................13

Anhang.............................................................................................................................................14

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 4/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildungsverzeichnis

Abbildung 1: Ablauf der Mandantenanlage........................................................................................5Abbildung 2: Formulare zur Teilnahme an der SEN.CA....................................................................6Abbildung 3: Benutzerregistrierung in der SEN-Cloud.......................................................................9Abbildung 4: Antrag zur Teilnahme an der SEN.CA........................................................................15Abbildung 5: Aufgaben des PKI Ansprechpartners..........................................................................16Abbildung 6: Anlage 1: Allgemeine Vollmacht Smart Energy Network............................................17Abbildung 7: Anlage 2: Autorisierung eines Dienstleisters...............................................................18Abbildung 8: Anlage 3: Identifizierung eines neuen Benutzers........................................................19Abbildung 9: Beantragung der Einrichtung einer Schnittstelle zur SEN-Cloud................................20Abbildung 10: VPN Datenblatt SEN-Cloud Infrastruktur..................................................................21Abbildung 11: Anleitung zur Erstellung eines Certificate Signing Requests....................................22Abbildung 12: Zertifikatsprozesse der SEN.....................................................................................23Abbildung 13: Antrag zum Erneuern eines Zertifikats der SEN.CA.................................................24Abbildung 14: Antrag zum Sperren oder Suspendieren eines Zertifikats der SEN.CA....................25

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 5/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

1. Einleitung

Um einen GWA- und/oder einen EMT-Mandanten in Smart Energy Network (SEN) optimal und effizient ausprägen zu können, sind einige Voraussetzungen zu erfüllen, sowie Anträge auszufüllen und einzureichen.

In diesem Dokument werden die einzelnen Schritte, die zur Anlage und Registrierung eines Mandanten notwendig sind, beschrieben. Weiterhin wird auf häufig auftretende Probleme und wie diese zu vermeiden sind, hingewiesen, damit die beantragten Mandanten schnell und effizient ausgeprägt werden können. Die Vorgaben, nach denen die Antragsformulare erstellt wurden, leiten sich aus der Certificate Policy1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab.

2. Schrittweise Beschreibung der Anlage eines Mandanten

Zunächst müssen die Antragsformulare ausgefüllt und eingesendet werden. Anschließend registrieren sich die einzelnen Benutzer des Mandanten im SEN Support Portal. Werden ein VPN Tunnel und eine Schnittstellenanbindung für das ERP-System benötigt, müssen hierfür weitere Anträge ausgefüllt werden. Die detaillierte Beschreibung der einzelnen Schritte folgt in Kapitel 2.3.

Zu beachten ist, dass in jedem der Anträge personenbezogene Daten abgefragt werden. Die Anträge dürfen aus diesem Grund nicht unverschlüsselt versendet werden. Entweder können die Anträge zur Prüfung per S/MIME an sen@sen-cloud.de gesendet oder an ein Ticket, welches in der SEN-Cloud geöffnet wird, angehangen werden. In Abbildung 1 ist der generelle Ablauf zur Anlage eines Mandanten dargestellt. Den einzelnen Schritten ist je ein Kapitel in diesem Dokument gewidmet.

Abbildung 1: Ablauf der Mandantenanlage

1https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/ PKI_Certificate_Policy.pdf?__blob=publicationFile&v=6

© 23.05.2023 co.met GmbH

Ausfüllen und Einreichen der Antragsformulare

Benutzerregistrierung in der SEN-Cloud

Beantragung des VPNs und der Schnittstellen

Durchführung der Zertifikatsmanagementprozesse

Einrichtung der Produktivumgebung

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 6/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

2.1. Ausfüllen und Einreichen der Antragsformulare

Die Antragsformulare stehen in der jeweils neuesten Version über das SEN Supportportal zur Verfügung (Link: https://support.sen-cloud.de/SEN-PKI/SitePages/Homepage.aspx). Die Dokumente liegen unter dem Reiter SEN-PKI auf der linken Seitenhälfte. Die Antragsformulare befinden sich unter dem Abschnitt „Formulare zur Teilnahme an der SEN.CA“ (vgl. Abbildung 2).

Unter dem Namen SEN.CA wird die an das Smart Energy Network gekoppelte Public-Key-Infrastruktur (PKI) der co.met geführt.

Abbildung 2: Formulare zur Teilnahme an der SEN.CA

In den Formularen sind viele Begriffe in den Fußnoten erläutert. Es ist wichtig alle Unterlagen genau zu lesen, damit es bei der späteren Einrichtung des Mandanten zu keinen Problemen kommt. Zur besseren Verständlichkeit, sollten die Anträge geöffnet und die Kapitel dieses Dokuments dazu gelesen werden. Die Erläuterungen führen von oben nach unten durch die einzelnen Anträge. Der direkte Link zu den Anträgen ist im jeweiligen Kapitel hinterlegt. Weiterhin sind im Anhang alle Anträge und Anlagen eingefügt.

Es empfiehlt sich, die Formulare zum Ausfüllen direkt vom Portal zu verwenden, da dort immer die aktuellste Version zu finden ist.

2.1.1. Antrag zur Teilnahme an der SEN.CA

Mit diesem Antrag (vgl. Abbildung 4 im Anhang) werden die grundsätzlichen Informationen für die Anlage des Mandanten abgefragt. Anzufügen ist ein Handelsregisterauszug, der nicht älter als 14 Tage ist sowie die Anlagen 1-3, welche im weiteren Verlauf des Dokumentes beschrieben werden. Die Bestätigung der erfolgreichen Testteilnahme wird nach der Durchführung der Zertifikatsmanagementprozesse (siehe Kapitel 2.4) in der Testumgebung von Mitarbeitern der SEN.CA per Mail an die definierten PKI-Ansprechpartner des Kunden gesendet. Die Bestätigung

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 7/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

muss demnach beim Ausfüllen des Antrags nicht vorliegen. Sobald die Prozesse erfolgreich durchlaufen sind, erfolgt ein Vermerk der Mitarbeiter der co.met auf dem Antrag, dass die Freigabe für die Ausprägung des Mandanten in der Produktivumgebung erfolgt ist.

Darüber hinaus müssen GWAs und aktive EMTs eine ISO-27001 Zertifizierung vorweisen. Für passive EMTs ist ein Sicherheitskonzept notwendig. Auch diese Erfordernisse müssen erst mit Teilnahme an der Produktivumgebung vorliegen. Sind die Dokumente zum Zeitpunkt der Antragsstellung noch nicht vorhanden, wird dieser Umstand bei co.met vermerkt und vor der Einrichtung des Produktivmandanten auf das Vorhandensein überprüft. Die ISO-Zertifikate müssen dabei vorgelegt werden, das Sicherheitskonzept muss bestehen. Bitte reichen Sie diese Dokumente so schnell wie möglich nach. Das Sicherheitskonzept wird von co.met nur eingesehen werden, wenn ein Schadensfall eintritt.

Als Zertifizierungsinstanz können Test- und Produktivumgebung gleichzeitig angekreuzt werden. Somit muss für die Teilnahme an der Produktivumgebung kein separater Antrag ausgefüllt werden. Die Entwicklungsumgebung kann optional gebucht und für erste Tests oder vertriebliche Zwecke verwendet werden. Auf die Entwicklungsumgebung kann direkt über den Browser zugegriffen werden. Test- und Produktivumgebung sind für GWA und aEMT über einen bereitgestellten Thin Client, für pEMT über einen Thin Client oder die Client-Software „Secure Plus Access“ zugänglich.

Die Unternehmensdaten müssen gemäß den Angaben aus dem Handelsregisterauszug befüllt werden. Ist die GLN-Nummer nicht bekannt, kann diese über die Suchen-Funktion auf der Internetseite des BDEW2 abgerufen werden.

Im nächsten Schritt folgen die Angaben zur Ausprägung des Mandanten. Der EMT wird grundsätzlich immer als Mandant ausgeprägt. Das bedeutet, er bekommt eigene Zertifikate. Auf der GWA Seite können auch die Zertifikate eines GWA-Dienstleisters verwendet werden. Wird diese Option gewählt, wird systemseitig ein GWA-Submandant angelegt. Sollen die Gateways direkt unter den Mandanten des Dienstleisters geführt werden, wird auf der GWA-Seite kein Mandant benötigt, es wird also kein Kreuz in den Antragsformularen gesetzt.

Für den GWA-Dienstleister ist es übersichtlicher, wenn ein Submandant im System unter seinem GWA-Mandanten ausgeprägt wird, da die Gateways über diesen Mandanten dem Kunden zugeordnet werden und in Supportfällen schneller gefunden werden können.

Hauptmandanten werden im Regelfall nur von Kunden beantragt, die eine GWA- oder EMT-Dienstleistung vermarkten möchten bzw. für die beiden Rollen als Dienstleister auftreten. Der Name des Hauptmandanten wird vom Dienstleister in den Formularen nachgetragen. Der Name des eigenen Mandanten kann gemäß den Vorgaben, welche in der Fußnote des Formulars beschrieben sind, frei vergeben werden. Um den Dienstleistern das Arbeiten zu erleichtern, sollte ein sprechender Name gewählt werden, so dass direkt auf das zugehörige Unternehmen geschlossen werden kann.

Im Feld der Kontaktdaten für Rückfragen zu dem Antrag soll die Person benannt werden, die den Antrag ausgefüllt hat. Rückfragen treten bspw. bei nicht vollständig ausgefüllten Anträgen oder unleserlichen Einträgen auf.

2 https://bdew-codes.de/Codenumbers/BDEWCodes/CodeOverview

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 8/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Im nächsten Abschnitt müssen die Kontaktdaten der Ansprechpartner eingetragen werden. Hierbei handelt sich um die Ansprechpartner, die von der Certificate Policy gerfordert werden, auch PKI-Ansprechpartner genannt. Es müssen mindestens zwei Ansprechpartner angegeben werden. Die PKI-Ansprechpartner müssen einen Benutzer in der SEN-Cloud beantragen, da sie Aufgaben in der SEN-Cloud durchführen müssen, wie z.B. die Genehmigung von Zertifikatsanträgen. Die PKI-Ansprechpartner werden mit diesem Antrag durch die Geschäftsführung des Unternehmens berechtigt, Aufgaben die PKI betreffend durchzuführen und gegenüber der SEN.CA als Ansprechpartner zu agieren. Darüber hinaus dürfen sie weitere Benutzer des Unternehmens legitimieren (mit der Anlage 3). Es ist wichtig die PKI-Ansprechpartner entsprechend ihrer Aufgaben zu schulen. Eine Liste aller aus der Certificate Policy hervorgehenden Aufgaben der PKI-Ansprechpartner können in dem Dokument Aufgaben des PKI Ansprechpartners und der RA First Level Instanz (vgl. Abbildung 5) nachgelesen werden.

Abschließend muss der Antrag von den beiden benannten Ansprechpartnern und der Geschäftsführung gemäß Handelsregisterauszug unterschrieben werden.

2.1.2. Anlage 1: Allgemeine Vollmacht Smart Energy Network zum Antrag zur Teilnahme an der SEN.CA

Die Vollmacht (vgl. Abbildung 6) muss ausgefüllt werden, damit die Mitarbeiter der co.met und der Stadtwerke Saarbrücken GmbH, die das Rechenzentrum der co.met hostet, berechtigt werden, die in der Vollmacht genannten Handlungen durchzuführen. Hauptsächlich geht es hierbei um die Bearbeitung der Zertifikatserstellungen und der notwendigen Vorbereitungen und Einrichtungen in der PKI, die im Namen des Kunden durchgeführt werden müssen. Die Vollmacht muss von einem der PKI-Ansprechpartner und der Geschäftsführung unterschrieben werden.

2.1.3. Anlage 2: Autorisierung eines Dienstleisters zum Antrag zur Teilnahme an der SEN.CA

Diese Anlage (vgl. Abbildung 7) muss nur ausgefüllt werden, wenn ein Dienstleister eingesetzt wird. Übernimmt der Kunde alle EMT- und GWA-Aufgaben selbst, muss diese Anlage nicht bereitgestellt werden. Über dieses Formular wird gesteuert, welche Rechte der Dienstleister für den Mandanten bekommt. Zunächst werden die Daten zum eigenen Unternehmen eingetragen. Im Anschluss wird angegeben, welche Mitarbeiter des Dienstleisters auf welchen Mandanten Zugriff bekommen. Bspw. kann angegeben werden, dass alle GWA-Mitarbeiter des Dienstleisters Zugriff auf den GWA-Mandanten bekommen sollen. Auf der nächsten Seite werden die Daten des Dienstleisters eingetragen. Diese Angaben können in Absprache mit dem Dienstleister bereits vorausgefüllt werden, um dem Kunden das Ausfüllen zu erleichtern. Der Antrag muss von den PKI-Ansprechpartnern und der Geschäftsführung unterschrieben werden.

2.1.4. Anlage 3: Identifizierung eines neuen Benutzers zum Antrag zur Teilnahme an der SEN.CA

Der Benutzerantrag (vgl. Abbildung 8) dient der Rechtevergabe und der Legitimation neuer Benutzer. Es muss angegeben werden, für welche Zertifizierungsinstanz der Benutzer Rechte bekommen soll. In der Regel werden hier die gleichen Umgebungen wie im Antrag angekreuzt.

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 9/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Weiterhin muss die Rolle des neuen Benutzers angegeben werden. Neben dem Gateway-Hersteller, Gateway-Administrator, externen Marktteilnehmer kann die Rolle des Agenten und des Creators gewählt werden.

Agenten können im Ticketsystem der co.met (Helpline) Tickets bearbeiten. Diese Rolle ist Mitarbeitern der Firmen co.met und Next Level Integration (NLI) vorbehalten. Der Creator kann Tickets erstellen, bekommt keine Smartcard und kann nicht auf das System zugreifen. Diese Rolle wird in der Regel an die Mitarbeiter im First-Level-Support vergeben. Darüber hinaus wird angegeben, ob der Benutzer einen Thin Client bekommt oder nicht. Thin Clients können von mehreren Benutzern verwendet werden. Zu dem Thin Client muss eine Versandadresse und die IP-Adresse des Thin Clients angegeben werden. Abschließend wird angegeben, auf welche Mandanten der Benutzer Zugriffsrechte bekommen soll sowie die Daten des Benutzers selbst und die des Ansprechpartners. Das Formular muss von dem neuen Benutzer und einem der PKI-Ansprechpartner unterschrieben werden.

2.2. Benutzerregistrierung in der SEN-Cloud

Sobald die Formulare eingereicht sind, müssen sich die Benutzer im SEN Support Portal (https://support.sen-cloud.de ) registrieren. Das SEN Support Portal dient grundsätzlich als Einstieg in die SEN-Cloud. Über den Blog werden den Benutzern Informationen bspw. über das Einspielen neuer Releases oder sonstige Wartungsarbeiten bereitgestellt. Über den Button Supportanfrage können Tickets eingestellt werden.

Möchte der Benutzer sich registrieren, wird der Button Registrieren geklickt. Anschließend muss die Eingabemaske befüllt werden (vgl. Abbildung 3). Alle mit * gekennzeichneten Pflichtfelder müssen ausgefüllt werden. Weiterhin müssen die Vorgaben zur Bildung des Benutzernamens (1. Buchstabe Vorname Nachname) und die Passwortrichtlinie (mind. 15-stellig inkl. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) eingehalten werden.

Abbildung 3: Benutzerregistrierung in der SEN-Cloud

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 10/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Nachdem das Registrierungsformular abgesendet wurde, bekommt der Benutzer eine Informations-Mail über die beantragte Registrierung und Mitarbeiter der SEN-Cloud prüfen die Angaben. Damit die Angaben abgeglichen werden können, müssen die Antragsformulare bereits vor der Benutzerregistrierung bei co.met eingereicht werden. Der Benutzer muss unterdessen mit einem Klick auf den einen Link in der Bestätigungsmail seine angegebene E-Mailadresse bestätigen, um auszuschließen, dass Tippfehler gemacht wurden und die Mails nicht beim Benutzer ankommen. Sobald die Registrierung bestätigt wurde, wird eine Mail an den Benutzer gesendet, mit der er aufgefordert wird ein Passfoto hochzuladen. Das Passfoto wird für den Druck der Smartcard benötigt. Über den Link in der Mail wird der Benutzer ins SEN Support Portal geleitet und dort aufgefordert das Passfoto hochzuladen. Das Passfoto wird durch die Mitarbeiter der SEN-Cloud geprüft und bestätigt. Der Benutzer bekommt zur Info eine Mail über den abgeschlossenen Registrierungsprozess. Im SEN Support Portal kann der Benutzer nun bereits auf den Bereich für die registrierten Benutzer zugreifen.

Im Anschluss an die Registrierung wird der Benutzer gemäß der beantragten Rechte vollständig ausgeprägt und die Smartcard erstellt. Sobald der Benutzer fertig angelegt ist, bekommt er die bestellte Hardware per Post an die auf den Antragsformularen angegebene Adresse zugesendet.

2.3. Beantragung des VPNs und der Schnittstellen

Für die Anbindung von ERP-Systemen über die MSB- oder IM4G-Schnittstelle wird ein VPN-Tunnel benötigt. Die Schnittstellendetails können erst konfiguriert werden, wenn der Mandant in der SEN-Cloud vollständig ausgeprägt ist. Da es sich um eine Schnittstelle an die sichere Umgebung der SEN-Cloud handelt, muss das Formular Beantragung des Aufbaus einer Schnittstelle zur SEN-Cloud (vgl. Abbildung 9 in Anhang) ausgefüllt und eingereicht werden. In diesem Formular werden alle notwendigen, vom Kunden zu erfüllenden Anforderungen an den sicheren Betrieb einer Schnittstelle aufgelistet. Der Kunde muss die erfüllten Punkte ankreuzen. Sollten einige Vorgaben nicht exakt wie beschrieben erfüllt werden, gibt es auf der letzten Seite des Formulars einen Bereich für Anmerkungen. Dort muss vermerkt werden, welche Anforderungen nicht erfüllt werden, weshalb und wie die Schnittstelle trotzdem sicher betrieben werden kann. Die Sicherheitsexperten der SEN-Cloud werden die Kommentare prüfen und sich ggf. zur Analyse der weiteren Vorgehensweise mit dem Kunden in Verbindung setzen. Das Formular muss wiederum von einem der benannten PKI-Ansprechpartner unterschrieben werden.

Darüber hinaus muss eine Excel-Datei VPN Datenblatt SEN-Cloud Infrastruktur (vgl. VPNDatenblatt SEN-Cloud Infrastruktur – Kontaktformular, Tabellenblatt 1) mit den technischen Parametern des VPN Tunnels befüllt werden. Es ist darauf zu achten, dass alle Felder korrekt und vollständig befüllt sind. Treten Fragen bei der Befüllung der Datei auf, kann der Ansprechpartner der SEN-Cloud, der im ersten Tabellenblatt der Datei benannt ist, kontaktiert werden. Im zweiten Tabellenblatt werden die Angaben zu dem VPN Tunnel gemacht. An dieser Stelle sind einige wichtige Voraussetzungen zu beachten:

- Im Feld „Protected Traffic (Netzsegment)“ ist der Netzbereich 172.16.0.0/12 (IP-Range: 172.16.0.0 -172.31.255.255) bereits belegt und kann nicht verwendet werden.

- Bitte tragen Sie im Feld Protected Traffic und der Accesslist die internen Subnetze bzw. IP-Adressen der entsprechenden Server ein.

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 11/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

- Wenn Sie öffentliche IP-Adressen in Ihrem internen Netzwerk verwenden, so stellen Sie bitte sicher, dass diese Ihnen auch offiziell zugeordnet sind und übermitteln uns einen entsprechenden Nachweis darüber. Sollten Sie fremde öffentliche IP-Adressen in Ihrem internen Netz verwenden, so ist es notwendig, diese per NAT umzusetzen, damit diese korrekt angesprochen werden können.

- Sollten Sie bei TEST und PROD die gleiche IP-Adressrange verwenden, fügen Sie bitte einen Netzplan bei, aus dem die Trennung der Systeme hervorgeht.

- Überschreitet ein Protected Traffic Netz den Bereich von /24, dann muss hierfür der Grund angegeben werden. Die Standardausprägung ist /24 und kleiner.

Im dritten Tabellenblatt muss unter anderem angegeben werden, ob ein eigenes, von einer öffentlichen Zertifizierungsstelle signiertes SSL-Zertifikat, für die abgesicherte Kommunikation der Schnittstelle bereitgestellt oder ein Zertifikat der SEN-Cloud beantragt wird. Wird ein Zertifikat der SEN-Cloud benötigt, muss dieses mit einem Certificate Signing Request (CSR) beantragt werden. Wie dieser CSR erzeugt wird, ist in dem Dokument Anleitung zur Erstellung eines Certificate Signing Requests (vgl. Abbildung 11) beschrieben. Hierbei ist darauf zu achten, dass im CSR die IP-Adresse des Netzsegments angegeben wird. Die IP-Adresse ist mit den Mitarbeitern der SEN-Cloud abzustimmen, damit diese in beiden anzubindenden Rechenzentren vergeben werden kann. Sollte sich die IP-Adresse im Laufe der Konfiguration des VPN-Tunnels ändern, muss auch ein neuer CSR ausgestellt werden und somit auch ein neues SSL-Zertifikat.

Achtung: Ein SSL-Zertifikat ist zwei Jahre gültig. Die Überwachung der Gültigkeitsdauer obliegt dem Kunden. Der Kunde muss min. 1 Woche vor Ablauf der Gültigkeit des SSL-Zertifikates co.met aktiv kontaktieren und einen neuen CSR zusenden.

Im letzten Tabellenblatt der Datei werden die Schnittstellenparameter abgefragt. Für die Nutzung der Schnittstelle wird ein separater Schnittstellenbenutzer benötigt. Der Benutzername und das Passwort des Benutzers werden an den im Datenblatt benannten Mitarbeiter telefonisch übermittelt und müssen im ERP-System hinterlegt werden. In der SEN-Cloud müssen wiederum Benutzername und Passwort des Schnittstellenbenutzers des ERP-Systems sowie die Links für die Schnittstellenaufrufe hinterlegt werden. Sind bei Beantragung der Schnittstelle noch nicht alle Endpunkte bekannt, können diese nachgereicht werden.

2.4. Durchführung der Zertifikatsmanagementprozesse

Die Durchführung der Zertifikatsmanagementprozesse wird von der Certificate Policy gefordert. Sie sind in der Testumgebung als Test durchzuführen, damit der Benutzer in der Produktivumgebung weiß, was zu tun ist, wenn bspw. ein Zertifikat gesperrt werden muss. Die geforderten Prozesse unterscheiden sich je Rolle, die der Kunde in der SEN-Cloud wahrnehmen möchte. Sind alle Prozesse erfolgreich abgeschlossen, schicken Mitarbeiter der PKI eine Bestätigungsmail über die erfolgreiche Teilnahme an der Testumgebung an die PKI-Ansprechpartner des Kunden. Diese Mail dient als Eintrittskarte in die Produktivumgebung und ist sicher zu verwahren. Im Folgenden werden die durchzuführenden Anforderungen pro Rolle für den Eintritt in die Produktivumgebung kurz aufgelistet. Eine detaillierte Beschreibung inkl. Screenshots, wie die Zertifikatsmanagementprozesse in der SEN-Cloud durchzuführen sind, gibt das Dokument Zertifikatsprozesse der SEN (vgl. Abbildung 12) wider.

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 12/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Passiver EMT

Registrierung und Zertifikatsbeantragung o Die Registrierung und Zertifikatsbeantragung erfolgen mit Einreichen des Antrages

zur Teilnahme an der SEN.CA inkl. Anlagen. Der Antragssteller bekommt im Verlauf seine Zertifikate ausgestellt. Die Anforderungen an die Registrierung gemäß der Certificate Policy3 werden komplett mit den Antragsformularen abgefragt.

Sicherheitskonzept ist erstellt Zertifikatserneuerung (routinemäßiger Folgeantrag) des EMT-Zertifikats

o Für die Zertifikatserneuerung muss das Formular Antrag zum Erneuern eines Zertifikats der SEN.CA (vgl. Abbildung 13) eingereicht werden.

Zertifikatssperrung eines EMT-Zertifikatso Für die Durchführung einer Zertifikatssperrung muss das Formular Antrag zum

Sperren oder Suspendieren eines Zertifikats der SEN.CA (vgl. Abbildung 14) eingereicht werden. Bspw. kann das initial ausgestellte Zertifikat gesperrt werden, da nach der Ausstellung des Folgezertifikats mit dem Folgezertifikat gearbeitet wird.

Aktiver EMT

Registrierung und Zertifikatsbeantragung o Die Registrierung und Zertifikatsbeantragung erfolgen mit Einreichen des Antrages

zur Teilnahme an der SEN.CA inkl. Anlagen. Der Antragssteller bekommt im Verlauf seine Zertifikate ausgestellt. Die Anforderungen an die Registrierung gemäß der Certificate Policy S. 22 f werden komplett mit den Antragsformularen abgefragt.

ISO-27001 Zertifikat liegt vor Zertifikatserneuerung (routinemäßiger Folgeantrag) des EMT-Zertifikats

o Für die Zertifikatserneuerung muss das Formular Antrag zum Erneuern eines Zertifikats der SEN.CA eingereicht werden.

Zertifikatssperrung eines EMT-Zertifikats o Für die Durchführung einer Zertifikatssperrung muss das Formular Antrag zum

Sperren oder Suspendieren eines Zertifikats der SEN.CA eingereicht werden. Bspw. kann das initial ausgestellte Zertifikat gesperrt werden, da nach der Ausstellung des Folgezertifikats mit dem Folgezertifikat gearbeitet wird.

GWA3https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/ PKI_Certificate_ Policy.pdf?__blob=publicationFile&v=3, S. 22ff

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 13/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Registrierung und Zertifikatsbeantragung o Die Registrierung und Zertifikatsbeantragung erfolgen mit Einreichen des Antrages

zur Teilnahme an der SEN.CA inkl. Anlagen. Der Antragssteller bekommt im Verlauf seine Zertifikate ausgestellt. Die Anforderungen an die Registrierung gemäß der Certificate Policy S. 22 f werden komplett mit den Antragsformularen abgefragt.

ISO-27001 inkl. TR-03109-6 Zertifikat liegt vor PKI-Ansprechpartner haben sich persönlich bei der First-Level-RA der SEN.CA identifiziert

und authentifiziert Zertifikatserneuerung (routinemäßiger Folgeantrag) des GWA-Zertifikats

o Für die Zertifikatserneuerung muss das Formular Antrag zum Erneuern eines Zertifikats der SEN.CA eingereicht werden.

Zertifikatssperrung eines GWA-Zertifikats o Für die Durchführung einer Zertifikatssperrung muss das Formular Antrag zum

Sperren oder Suspendieren eines Zertifikats der SEN.CA eingereicht werden. Bspw. kann das initial ausgestellte Zertifikat gesperrt werden, da nach der Ausstellung des Folgezertifikats mit dem Folgezertifikat gearbeitet wird.

Zertifikatserneuerung eines SMGw-Zertifikats o In diesem Schritt muss der Wechsel von Gütesiegel- auf Wirkzertifikate

durchgeführt werden. Es muss also mind. ein Gateway zur Durchführung dieses Prozesses in der Testumgebung installiert sein. Der Prozess kann direkt im GWA-Modul angestoßen werden.

Zertifikatssperrung eines SMGw-Zertifikats o Die Sperrung eines SMGw-Zertifikats kann direkt im GWA-Modul angestoßen

werden. Bspw. kann der Prozess der Zertifikatserneuerung zweimal durchgeführt werden. So kann das initial ausgestellte Wirkzertifikat ohne Verlust der Kommunikation zum Gateway gesperrt werden.

2.5. Einrichtung der Produktivumgebung

Sind alle in den vorherigen Kapiteln beschriebenen Schritte durchgeführt, kann die Einrichtung des Produktivmandanten durchgeführt werden. Wurde bereits in den Antragsformularen die Test- und die Produktivumgebung als Zertifizierungsinstanzen angegeben, werden keine weiteren Formulare benötigt. Der Mandant wird wie beantragt in der Produktivumgebung eingerichtet. Die Benutzerrechte werden erweitert. Es ist allerdings zu prüfen, ob der VPN und die Schnittstellendetails bei der Beantragung bereits für beide Umgebungen bekannt waren und eingerichtet wurden. Ist dies nicht der Fall, müssen die Angaben nachgereicht werden. D.h. das VPN-Datenblatt muss mit den Informationen der Produktivumgebung befüllt und eingesendet werden.

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 14/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Anhang

Die abgebildeten Dokumente können jeweils durch einen Doppelklick im entsprechenden Programm geöffnet und angesehen werden.

Diese Dokumente dienen der Vervollständigung dieser Anleitung sowie als Muster. Zur Bearbeitung der Anträge und Formulare verwenden Sie bitte die Originale in der aktuellsten Version, die Sie online im unseren SEN Support Portal unter https://support.sen-cloud.de/SEN-PKI/SitePages/Homepage.aspx finden.

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 15/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 4: Antrag zur Teilnahme an der SEN.CA

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 16/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 5: Aufgaben des PKI-Ansprechpartners

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 17/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 6: Anlage 1: Allgemeine Vollmacht Smart Energy Network

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 18/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 7: Anlage 2: Autorisierung eines Dienstleisters

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 19/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 8: Anlage 3: Identifizierung eines neuen Benutzers

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 20/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 9: Beantragung der Einrichtung einer Schnittstelle zur SEN-Cloud

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 21/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

VPN Datenblatt SEN-Cloud Infrastruktur – Kontaktformular, Tabellenblatt 1

Kontaktdaten

V 1.9

Ansprechpartner VPN Ansprechpartner Backend-System

Datum

Firma

Adresse

Telefonnummer

E-Mail Addresse

Nutzung eines vorhanden VPN Tunnels ja/nein

wenn ja, Host (Tunnelbetreiber) Bsp. Stadtwerke xyz

Persönlicher Ansprechpartner SEN SupportFirmenname co.met GmbH co.met GmbH

Adresse Hohenzollernstraße 75, 66117 Saarbrücken Hohenzollernstraße 75, 66117 Saarbrücken

Vorname Nachname Daniel Grob Supportteam

Telefonnummer +49 681 587 2603 +49 681 587 2799

Ansprechpartner (Vorname Nachname)

Abbildung 10: VPN Datenblatt SEN-Cloud Infrastruktur

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 22/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 11: Anleitung zur Erstellung eines Certificate Signing Requests

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 23/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 12: Zertifikatsprozesse der SEN

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 24/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 13: Antrag zum Erneuern eines Zertifikats der SEN.CA

© 23.05.2023 co.met GmbH

Optimale und effiziente Ausprägung eines Mandanten in Smart Energy

Network

Version: 1.1Seite: 25/25

ISMS-6-6431 Gültig ab: 07.03.2019

Status: Freigegeben

Klassifizierung: Vertraulich Druckdatum: 23.05.23

Abbildung 14: Antrag zum Sperren oder Suspendieren eines Zertifikats der SEN.CA

© 23.05.2023 co.met GmbH