Die weitere organisatorische und technische Ausgestaltung wird durch Dokumente, zu denen auch der „Umgang mit Schlüsselmaterial“ gehört, vorgenommen. Erst organisatorische und technische Mindestanforderungen an den Umgang mit Schlüsselmaterial garantieren, dass alle Marktteilnehmer sich auf die eingesetzten Methoden verlassen können, unabhängig davon ob das Schlüsselmaterial im Rahmen einer firmeneigenen PKI zertifiziert wurde (MAKE) oder durch Zertifizierungsdienstleister bereit gestellt wurde (BUY).
Das vorliegende Dokument beschreibt diese Mindestanforderungen aus Nutzersicht. Es stellt die Regeln zum sorgfältigen Umgang mit krytographischem Schlüsselmaterial auf, die im Rahmen des elektronischen Geschäftsverkehrs eingesetzt werden. Eine Verletzung dieser Regeln würde die Vertrauensinfrastruktur zwischen den Marktteilnehmern schwächen oder letztlich in Frage stellen. Unsachgemäßer Umgang mit Schlüsselmaterial ist ungleich schwerwiegender als etwa leichtfertiger Umgang mit Passwörtern, weil an kryptographisches Schlüsselmaterial höhere Sicherheitserwartungen geknüpft sind und den damit verbundenen geschäftliche Transaktionen in der geldwerten Höhe und im Automatisierungsgrad mehr vertraut wird.
Das gesamte Regelwerk wird als PKI-Policy bezeichnet. Das vorliegende Kerndokument gilt sowohl für ein MAKE- als auch für ein BUY-Vorgehen.
Der BDEW empfiehlt seinen Mitgliedsunternehmen beim Einsatz von elektronischer Signatur und Verschlüsselung beim elektronischen Datenaustausch einen Rahmenvertrag mit den Marktpartnern zu schließen, in dem die Berücksichtigung der gemeinsamen Erklärung sowie der Folgedokumente vertraglich verankert wird.
22.09.2003
Umgang mit Schlüsselmaterial
Ergänzend zu den Gesetzen und Rechtsvorschriften für den Einsatz der elektronischen Signatur und der Verschlüsselung haben die Verbände eine gemeinsame Erklärung zu „Sicherheitsrahmenbedingungen für den elektronischen Geschäftsverkehr im deutschen Strommarkt" abgegeben. Diese stellt die Basis für die Bildung einer Vertrauensinfrastruktur der Marktteilnehmer beim elektronischen Datenaustausch dar und zeigt Maßnahmen zur Sicherheit auf. Dadurch wird das Sicherheitsniveau auf der technischen und organisatorischen Ebene nachhaltig gehoben.