NextGenPSD2-Zertifizierung

Next­Gen­PS­D2-Zer­ti­fi­zie­rung | SRC star­tet Audits für XS2A

Sind Sie bereit für eine Zer­ti­fi­zie­rung Ihrer Next­Gen­PS­D2-Imple­men­tie­rung?

Die über­ar­bei­te­te Zah­lungs­ver­kehrs­dienst­e­richt­li­nie (PSD2) ver­pflich­tet Ban­ken, auto­ri­sier­ten Dritt­an­bie­tern den Zugang zu Kun­den­da­ten zu ermög­li­chen. Die­se Dritt­an­bie­ter (TPP) sol­len über eine Pro­gram­mier­schnitt­stel­le (XS2A) nach Zustim­mung des Kun­den Zugriff erhal­ten. Mit die­sen Daten sind TPPs in der Lage neu­ar­ti­ge Zah­lungs­in­iti­ie­rungs- und Kon­to­in­for­ma­ti­ons­diens­te anzu­bie­ten. Die Next­Gen­PS­D2-Zer­ti­fi­zie­rung för­dert die Imple­men­tie­rung auf eines ein­heit­li­chen Stan­dards.

Die meis­ten Ban­ken und API-Anbie­ter in Euro­pa imple­men­tie­ren die XS2A-Schnitt­stel­le mit Hil­fe des NextGenPSD2 Frame­work der Ber­lin Group. Dabei han­delt es sich um eine offe­ne und euro­pa­weit har­mo­ni­sier­te Lösung zur Imple­men­tie­rung der PSD2 Vor­ga­ben für die XS2A-Schnitt­stel­le.

Die kor­rek­te Imple­men­tie­rung der XS2A-Schnitt­stel­le befreit das Insti­tut von der Imple­men­tie­rung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Imple­men­ta­ti­on Sup­port Pro­gramm (kurz: NISP) bie­tet den Teil­neh­mern ein Tes­ting Frame­work mit Test­kon­zept, Test­fall­ka­ta­log, Com­pli­an­ce Best Prac­tices und Test­tool-Anfor­de­run­gen. Das imple­men­tie­ren­de Insti­tut bewer­tet sei­ne Arbeit selbst. Damit ist die Imple­men­tie­rung der­zeit abge­schlos­sen. Offen ist der­zeit, ob die­se Eigen­be­wer­tung gegen­über der Auf­sichts­be­hör­de (NCA) als aus­rei­chend betrach­tet wird.

War­um Sie eine Next­Gen­PS­D2-Zer­ti­fi­zie­rung durch­füh­ren soll­ten?

Die Eigen­be­wer­tung der Next­Gen­PS­D2-Imple­men­tie­rung bie­tet bereits ein hohes Maß an Qua­li­tät. Unter­schied­li­che Inter­pre­ta­tio­nen der Spe­zi­fi­ka­ti­on kön­nen jedoch zu Inter­ope­ra­bi­li­täts­pro­ble­men füh­ren. Zwi­schen Ban­ken und Dritt­an­bie­tern exis­tiert der­zeit kein doku­men­tier­tes Ver­ständ­nis über die genaue Imple­men­tie­rung der XS2A-Schnitt­stel­le. Damit steigt die Wahr­schein­lich­keit, dass die zustän­di­ge Auf­sichts­be­hör­de der Ban­ken die Frei­stel­lung von der Imple­men­tie­rung einer Fall­back-Schnitt­stel­len­lö­sung ver­wei­gert.

Aus dem Enga­ge­ment bei Spe­zi­fi­ka­ti­on und Imple­men­tie­rung der XS2A-Schnitt­stel­le im Rah­men von NISP ver­fügt SRC über eine umfang­rei­che und detail­lier­te Exper­ti­se. Auf die­ser Grund­la­ge haben wir für Sie die Next­Gen­PS­D2-Zer­ti­fi­zie­rung erar­bei­tet.

Wie läuft der Pro­zess zur Next­gen­PS­D2-Zer­ti­fi­zie­rung ab?

Vor­aus­set­zung für die Next­Gen­PS­D2-Zer­ti­fi­zie­rung sind der Test­fall­ka­ta­log, das Imple­men­tie­rungs­pro­fil und die Test­spe­zi­fi­ka­ti­on des imple­men­tie­ren­den Insti­tuts. Die­se Vor­aus­set­zun­gen nutzt SRC, um ein voll­stän­di­ges Funk­ti­ons-, Sicher­heits- und Belas­tungs­au­dit der Next­Gen­PS­D2-Imple­men­tie­rung durch­zu­füh­ren.

Audit-Vali­die­rung

In der Vali­die­rung wird die Imple­men­tie­rung gegen die Anfor­de­run­gen der Doku­men­ta­ti­on geprüft.

Funk­tio­na­ler Teil

Im Funk­ti­ons­teil wer­den die Test­spe­zi­fi­ka­tio­nen aus­ge­führt und die Ergeb­nis­se über­prüft.

Nicht-funk­tio­na­ler Teil

Im nicht-funk­tio­na­len Teil wird die Ver­füg­bar­keit der Imple­men­tie­rung (Stress­test) an rele­van­ten Punk­ten ermit­telt und bewer­tet.

Secu­ri­ty Test

Im Secu­ri­ty Test wer­den Metho­den des Pene­tra­ti­ons­tes­tens genutzt. Es wird über­prüft, ob die Imple­men­tie­rung der XS2A-Schnitt­stel­le Kun­den­da­ten und Trans­ak­tio­nen aus­rei­chen­den Schutz vor Betrugs­ver­su­chen bie­tet.

Die Zer­ti­fi­zie­rung wird in einem abschlie­ßen­den Bericht doku­men­tiert. Wenn alle Anfor­de­run­gen min­des­tens aus­rei­chend erfüllt sind, erhält das Insti­tut ein SRC-Zer­ti­fi­kat. Mit die­sem Zer­ti­fi­kat kann die Kon­for­mi­tät der imple­men­tier­ten XS2A-Schnitt­stel­le gegen­über Drit­ten und der Auf­sichts­be­hör­de nach­ge­wie­sen wer­den. Auf Basis der ers­ten Zer­ti­fi­zie­rung kön­nen zukünf­tig ggf. Regres­si­ons­au­dits durch­ge­führt wer­den.

SRC-Bera­tungs­leis­tun­gen zur Ent­wick­lungs­op­ti­mie­rung oder zur Erstel­lung der Test­spe­zi­fi­ka­ti­on kön­nen zur Vor­be­rei­tung der Next­Gen­PSD-Zer­ti­fi­zie­rung genutzt wer­den.

War­um SRC?

Als Mit­her­aus­ge­ber des NextGenPSD2 Frame­works und des NISP Tes­ting Frame­works ver­fügt SRC über ein tie­fes Ver­ständ­nis der Next­Gen­PS­D2-Stan­dards und aller mit dem Tes­ten ver­bun­de­nen Auf­ga­ben. Dar­über hin­aus ver­fügt SRC über lang­jäh­ri­ge Erfah­rung in der Ent­wick­lung von Test­um­ge­bun­gen mit vie­len lizen­zier­ten Audi­to­ren für meh­re­re Funk­ti­ons- und Sicher­heits­be­wer­tun­gen nach for­ma­len Zer­ti­fi­zie­rungs­sche­ma­ta. Infol­ge­des­sen ist SRC in der Lage, mit über­schau­ba­rem Auf­wand ein qua­li­ta­tiv hoch­wer­ti­ges Audit durch­zu­füh­ren.

Sie sind an einer NextGenPSD2 Zer­ti­fi­zie­rung inters­siert? Dann schrei­ben Sie an info@src-gmbh.de.

CDCVM

CDCVM | SRC als Sicher­heits­gut­ach­ter für CDCVM-Lösun­gen zuge­las­sen

Bei jeder Zah­lung muss die Iden­ti­tät des Bezah­len­den zwei­fels­frei sicher­ge­stellt sein. Dazu for­dern eta­blier­te kar­ten­ba­sier­te Bezahl­ver­fah­ren den Bezah­len­den in der Regel zur Ein­ga­be sei­ner PIN auf. Mobi­le, auf Smart­pho­nes imple­men­tier­te Bezahl­sys­te­me ver­la­gern die­se Prü­fung vom Ter­mi­nal des Händ­lers auf das Smart­pho­ne des Bezah­len­den. Dabei kom­men zuneh­mend bio­me­tri­sche Ver­fah­ren, wie die Prü­fung des Fin­ger­ab­drucks, der Iris, der Stim­me oder der Abgleich mit dem Gesicht des Benut­zers, zum Ein­satz. CDCVM wid­met sich der Sicher­heit die­ser Tech­no­lo­gie.

Die Ver­ei­ni­gung der inter­na­tio­na­len Zah­lungs­sys­te­me EMV­Co treibt die Umset­zung von Stan­dards für welt­wei­te Inter­ope­ra­bi­li­tät, Akzep­tanz und Sicher­heit von Zah­lun­gen vor­an. EMV­Co hat am 15. März 2019 einen neu­en Sicher­heits­eva­lu­ie­rungs­pro­zess für CDCVM-Lösun­gen (Con­su­mer Devicer Card­hol­der Veri­fi­ca­ti­on Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­run­gen – pdf ange­kün­digt. Das zuge­hö­ri­ge Best Prac­tices-Doku­ment – pdf legt die Richt­li­ni­en für Funk­ti­ons- und Leis­tungs­ver­hal­ten von bio­me­tri­schen Authen­ti­fi­zie­rungs­ver­fah­ren im Zah­lungs­ver­kehr fest. So wird eine ein­heit­li­che Benut­zer­er­fah­rung und glo­ba­le Inter­ope­ra­bi­li­tät geför­dert.

Mit der lang­jäh­ri­gen Akkre­di­tie­rung bei EMV­Co, Mas­ter­Card und VISA greift SRC auf einen umfang­rei­chen Erfah­rungs­schatz bei der Sicher­heits­be­gut­ach­tung von Bezahl­lö­sun­gen zurück. SRC unter­stützt selbst­ver­ständ­lich auch den neu­en Sicher­heits­eva­lu­ie­rungs­pro­zess für CDCVM-Lösun­gen. Lösungs­an­bie­tern im Mobi­le Pay­ment-Bereich haben damit die Mög­lich­keit, SRC-Exper­ti­se ganz­heit­lich für die Begut­ach­tung ihrer mobi­len Soft­ware-Imple­men­tie­run­gen zu nut­zen und eine erfolg­rei­che Zer­ti­fi­zie­rung bei EMV­Co zu durch­lau­fen.

ISB

Zer­ti­fi­kats­lehr­gang „Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” – 7. bis 10. Mai 2019

Mit dem KWG und der MaRisk ver­pflich­tet der Gesetz­ge­ber Kre­dit­in­sti­tu­te zur Sicher­stel­lung von Inte­gri­tät, Ver­füg­bar­keit, Authen­ti­zi­tät und Ver­trau­lich­keit der Daten in ihren IT-Sys­te­me und -Pro­zes­sen. Aber auch für den wirt­schaft­li­chen Erfolg eines Kre­dit­in­sti­tuts ist eine siche­re und effi­zi­en­te IT unbe­dingt erfor­der­lich.

Die neu­en „Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT“ (BAIT) for­mu­lie­ren kon­kre­te Erwar­tun­gen. Unter ande­rem for­dert die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­li­nie die neu ein­zu­rich­ten­de Funk­ti­on des “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten”. Die­ser steu­ert den Infor­ma­ti­ons­si­cher­heits­pro­zess und berich­tet direkt an die Geschäfts­lei­tung.

In Koope­ra­ti­on mit dem Bank-Ver­lag hat SRC bereits vier Zer­ti­fi­kats­lehr­gän­ge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” erfolg­reich durch­ge­führt. Nach der gro­ßen Reso­nanz und der anhal­ten­den Nach­fra­ge freu­en wir uns, dass der Bank-Ver­lag einen wei­te­ren Ter­min für die­sen vier­tä­gi­gen Zer­ti­fi­kats­lehr­gang mög­lich gemacht hat.

Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Mög­lich­keit sich in den Räu­men der Bank-Ver­lag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) für Kre­dit­in­sti­tu­te” fort­bil­den zu las­sen.

Im Team mit Hein­rich Lott­mann (TARGOBANK AG & Co. KGaA) und Alex­an­dros Mana­kos (HSBC Deutsch­land) refe­rie­ren die SRC-Exper­ten San­dro Amen­do­la, Flo­ri­an Schu­mann und Dr. Deniz Ulu­cay und infor­mie­ren Sie in die­sem Lehr­gang umfas­send über die Nor­men und Stan­dards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB rele­van­ten gesetzlichen/regulatorischen Anfor­de­run­gen. Zudem wird auf die The­men IT-Risi­ken und -Not­fall­vor­sor­ge sowie Busi­ness Con­ti­nui­ty Manage­ment ein­ge­gan­gen.

Nach bestan­de­ner Abschluss­prü­fung erhal­ten Sie das Zer­ti­fi­kat „Informationssicherheitsbeauftragte/r für Kre­dit­in­sti­tu­te“.

Optio­nal haben Sie die Mög­lich­keit sich am 6. Mai 2019 in Köln das für den Lehr­gang erfor­der­li­che IT-Grund­la­gen­wis­sen in einem ein­tä­gi­gen Inten­siv­se­mi­nar im Vor­feld der Ver­an­stal­tung anzu­eig­nen. Hier geht es um Grund­la­gen, Begrif­fe, Ver­schlüs­se­lungs- und IT-Sicher­heits­tech­ni­ken in der Infor­ma­ti­ons­tech­nik.

Associate QSA

Asso­cia­te QSA – die Aus­bil­dung zum QSA

SRC bie­tet Men­to­ring-Pro­gramm für zukünf­ti­ge Sicherheitsgutachter/innen

 

Die QSA-Zulas­sung – der bis­he­ri­ge, unstruk­tu­rier­te Weg zum hoch­qua­li­fi­zier­ten Sicher­heits­gut­ach­ter

Um Umge­bun­gen, in denen Daten von Zahl­kar­ten ent­ge­gen­ge­nom­men und/oder wei­ter ver­ar­bei­tet wer­den, auf die Ein­hal­tung des Sicher­heits­stan­dards PCI DSS prü­fen zu kön­nen, ist eine umfang­rei­che Erfah­rung not­wen­dig. Für die Erfül­lung der ent­spre­chen­den Vor­be­din­gun­gen für die Zulas­sung als PCI DSS-Gut­ach­ter (Qua­li­fied Secu­ri­ty Asses­sor, QSA) – umfas­sen­de Berufs­er­fah­rung, PCI DSS-spe­zi­fi­sche Schu­lung und Prü­fung sowie min­des­tens zwei wei­te­re Akkre­di­tie­run­gen im Bereich Infor­ma­ti­ons­si­cher­heit und IT-Audi­tie­rung – gab es bis­her kei­nen stan­dar­di­sier­ten Weg.

Asso­cia­te QSA – der beglei­te­te Weg zum QSA

Mit dem neu­en Asso­cia­te QSA-Pro­gramm des Pay­ment Card Indus­try Secu­ri­ty Stan­dards Coun­cil (PCI SSC) ist jetzt ein Weg defi­niert, über den neue Talen­te mit einem Grund­maß an Berufs­er­fah­rung den Weg zur QSA-Zulas­sung beschrei­ten kön­nen.

Asso­cia­te QSA wer­den dabei durch einen erfah­re­nen QSA als Men­tor beglei­tet. Die Ent­wick­lung und zuneh­men­de Audit-Erfah­rung des Asso­cia­te QSA wer­den regel­mä­ßig reflek­tiert und doku­men­tiert. So wird kon­trol­liert und sicher­ge­stellt, dass die Mit­ar­bei­te­rin oder der Mit­ar­bei­ter bis zum Erlan­gen der QSA-Akkre­di­tie­rung umfas­sen­de Erfah­rung in allen rele­van­ten Berei­chen bekommt.

SRC bil­det aus

Das SRC-Team ist dafür bekannt, Prüf­stan­dards nicht nur als abzu­ar­bei­ten­de Check­lis­ten anzu­se­hen, son­dern ihre Anwen­dung auf kom­ple­xe Umge­bun­gen begrün­det her­zu­lei­ten und den Kun­den bei der Umset­zung und Inter­pre­ta­ti­on mög­lichst pra­xis­nah zu unter­stüt­zen. Hier­für ist eine umfas­sen­de Fach­kun­de und Erfah­rung in Kom­bi­na­ti­on mit einem stän­di­gen Aus­tausch mit ande­ren Exper­ten not­wen­dig.

SRC begrüßt daher die Defi­ni­ti­on eines schritt­wei­sen Vor­ge­hens zur Aus­bil­dung und Beglei­tung von Asso­cia­te QSA, wel­ches zum Auf­bau einer ent­spre­chen­den Qua­li­fi­ka­ti­on bei­trägt. SRC hat sich somit als Asso­cia­te QSA-Fir­ma regis­trie­ren las­sen und bereits die ers­te Mit­ar­bei­te­rin als Asso­cia­te QSA zuge­las­sen. So soll auch in Zukunft die Qua­li­tät der Audits in den sich stän­dig ver­än­dern­den Zah­lungs­ver­kehrs-Umge­bun­gen gewähr­leis­tet wer­den.

 

Konfomitätsbewertungsstelle

SRC erhält Akkre­di­tie­rung für Kon­for­mi­täts­be­wer­tungs­stel­le (KBS) nach ISO 17065

Im ver­gan­ge­nen Monat hat die Deut­sche Akkre­di­tie­rungs­stel­le (DAkkS) der SRC Secu­ri­ty Rese­arch & Con­sul­ting GmbH die Akkre­di­tie­rung für ihre Kon­fo­mi­täts­be­wer­tungs­stel­le (KBS) nach ISO 17065 erteilt.

Die­se Akkre­di­tie­rung gilt für die Kon­fo­mi­täts­be­wer­tung von (qua­li­fi­zier­ten) Ver­trau­ens­diens­te­an­bie­tern, die Ver­trau­ens­diens­te gemäß den Anfor­de­run­gen der Ver­ord­nung (EU) Nr. 910/2014 (eID­AS) qua­li­fi­zie­ren las­sen möch­ten.

Die eID­AS-Ver­ord­nung ent­hält ver­bind­li­che euro­pa­weit gel­ten­de Rege­lun­gen in den Berei­chen „Elek­tro­ni­sche Iden­ti­fi­zie­rung“ und „Elek­tro­ni­sche Ver­trau­ens­diens­te“. Mit der Ver­ord­nung wer­den ein­heit­li­che Rah­men­be­din­gun­gen für die grenz­über­schrei­ten­de Nut­zung elek­tro­ni­scher Iden­ti­fi­zie­rungs­mit­tel und Ver­trau­ens­diens­te geschaf­fen.

Als EU-Ver­ord­nung ist die­se unmit­tel­bar gel­ten­des Recht in allen 28 EU-Mit­glied­staa­ten sowie im Euro­päi­schen Wirt­schafts­raum.

Bürostühle an einem Roundtable in einem Konferenzraum

Chan­cen & Risi­ken im Smart Mete­ring

Bei­trag von SRC zum Exper­ten Round­ta­ble zu der Sicher­heits­per­spek­ti­ve für Smart Mete­ring

Am 22. August 2018 nah­men Dr. Deniz Ulu­cay und Dr. Jens Oberen­der, Seni­or Con­sul­tant bei SRC, am Exper­ten Round­ta­ble in Köln teil. Sie wur­de aus­ge­rich­tet vom eco – Ver­band der Inter­net­wirt­schaft und beschäf­tig­te sich mit dem The­ma  „Smart Ener­gie: Nicht ohne mein „Smart Meter?“.

Zusam­men­ge­kom­men waren Ver­tre­ter von Unter­neh­men, die mit der Umset­zung der Ener­gie-Ver­ord­nung betraut sind. Lie­fe­ran­ten für Smart Meter Gate­ways waren eben­so ver­tre­ten wie Netz­be­trei­ber und Star­tups, etwa aus dem Bereich der Visua­li­sie­rung. In die­sem Zusam­men­hang leis­te­te Dr. Oberen­der einen Impuls­bei­trag. Aus­ge­hend von den Erfah­run­gen der Prüf­stel­le bei der Eva­lua­ti­on von Secu­ri­ty Modu­les und Smart Meter Gate­ways, schil­dert der Seni­or Con­sul­tant Chan­cen und Risi­ken im Smart Mete­ring. Mit einem risi­ko­ba­sier­ten Ansatz schil­der­te er die vor­an­ge­gan­ge­nen Akti­vi­tä­ten der Stan­dar­di­sie­rer und zu nut­zen­de Unter­neh­mens­chan­cen, aber auch deren Risi­ken.

Der voll­stän­di­ge Bei­trag kann hier als PDF her­un­ter­ge­la­den wer­den. Für wei­te­re Fra­gen zu die­sem The­ma ste­hen wir Ihnen ger­ne zur Ver­fü­gung.

Smart Energie

Smart Ener­gie Exper­te von SRC bei Round­ta­ble in Köln

Am Mitt­woch, den 22. August 2018, fin­det in Köln ein Exper­ten-Round­ta­ble zum The­ma Smart Ener­gie statt. Aus­ge­rich­tet vom eco – Ver­band der Inter­net­wirt­schaft, zeich­nen sich die Exper­ten-Round­ta­bles vor allem durch hohe Exper­ti­se, mul­ti­dis­zi­pli­nä­re Blick­win­kel und hohe Dis­kus­si­ons­in­ten­si­tät aus.

Im August steht die Ver­an­stal­tung unter dem Mot­to „Smart Ener­gie: Nicht ohne mein „Smart Meter?“ und ver­tieft unter ande­rem das vor­her gegan­ge­ne Round­ta­ble zu dem The­ma „Smart Home“. Bereits seit vie­len Jah­ren wird über das Smart Mete­ring gespro­chen, jedoch scheint die eigent­li­che Ent­wick­lung den dama­li­gen Pla­nun­gen und Pro­gno­sen weit hin­ter­her zu hän­gen. In der am 22.08.2018 statt­fin­den­den Exper­ten­run­de soll nun über neue Rah­men­be­din­gun­gen, neue Ansät­ze und neue Erfolgs­fak­to­ren dis­ku­tiert wer­den.

Dr. Jens Oberen­der ist Seni­or Con­sul­tant bei SRC. Sein Bei­trag behan­delt das The­men­fel­deld „Sicher­heit und Per­spek­ti­ven des Smart Meters“. Dabei wird er erör­tern, ob Smart Meters und ihre Umge­bung als sicher betrach­tet wer­den kön­nen. Dr. Jens Oberen­der greift dazu auf sei­ne lang­jäh­ri­ge Erfah­rung aus den Bera­tungs­pro­jek­ten rund um die Zer­ti­fi­zie­rung der Smart Meter Gate­ways zurück.

Cloud Security

SRC baut Kom­pe­ten­zen in Cloud Secu­ri­ty aus

Cloud Com­pu­ting stellt hohe Anfor­de­run­gen an die IT-Sicher­heit

Cloud Com­pu­ting ist längst zur Nor­ma­li­tät gewor­den, und immer mehr Unter­neh­men lagern Tei­le ihrer Infra­struk­tu­ren und Ser­vices in die Cloud aus, um fle­xi­bler agie­ren zu kön­nen.

Die Her­aus­for­de­run­gen an Sicher­heit in der Cloud gehen jedoch über her­kömm­li­che IT-Sicher­heits-Anfor­de­run­gen hin­aus. So muss bei­spiels­wei­se tech­nisch gewähr­leis­tet sein, dass nur befug­te Per­so­nen auf die sen­si­ti­ven Daten zugrei­fen kön­nen. Beson­de­re Sorg­falt muss auf die Absi­che­rung der Cloud-Manage­ment-Schnitt­stel­le gelegt wer­den. Die orga­ni­sa­to­risch größ­te Her­aus­for­de­rung besteht in der Ver­tei­lung der Sicher­heits-Ver­ant­wort­lich­kei­ten auf meh­re­re Par­tei­en. Genau das muss auch bei der Gestal­tung von Ver­trä­gen und bei der Erfül­lung von Com­pli­an­ce-Vor­ga­ben berück­sich­tigt wer­den.

Feh­ler­haf­te Kon­fi­gu­ra­ti­on von Cloud­kon­ten – Mil­li­ar­den Daten frei zugäng­lich im Netz

Wie bri­sant die­ses The­ma ist, zeigt auch ein kürz­li­cher Vor­fall. Auf­grund von feh­ler­haf­ten Kon­fi­gu­ra­tio­nen von Ama­zon Cloud Simp­le Sto­rage Ser­vices (Ama­zon S3) Spei­cher­ein­hei­ten und Web­ser­vern lan­de­ten etli­che ver­trau­li­che Doku­men­te frei für jeden zugäng­lich im Netz. Dazu gehör­ten u. a. Gehalts­ab­rech­nun­gen, ver­trau­li­che Patent­an­mel­dun­gen und gehei­me Bau­plä­ne für Pro­duk­te im Ent­wick­lungs­pro­zess. Aus dem Bericht der Sicher­heits­fir­ma „Digi­tal Shadows“ geht her­vor, dass ca. 1,5 Mil­li­ar­den Daten im Netz gelan­det sei­en. Gera­de die ver­trau­li­chen Daten, wie z.B. inter­ne Berich­te, Fotos von Waren­häu­sern oder Rechen­zen­tren oder Auf­lis­tun­gen von Sicher­heits­lü­cken in fir­men­in­ter­ner Soft­ware, kön­nen von Angrei­fern für Hacker­an­grif­fe auf die Fir­ma oder für Dieb­stäh­le miss­braucht wer­den.

SRC-Mit­ar­bei­ter erwer­ben Cer­ti­fi­ca­te of Cloud Secu­ri­ty Know­ledge

SRC beglei­tet sei­ne Kun­den bei die­sen Her­aus­for­de­run­gen mit Kom­pe­tenz. Dazu haben meh­re­re Mit­ar­bei­ter das Cer­ti­fi­ca­te of Cloud Secu­ri­ty Know­ledge (CCSK) der Cloud Secu­ri­ty Alli­an­ce erwor­ben.

Das CCSK ist das ers­te Zer­ti­fi­kat für Cloud-Sicher­heit, das der welt­weit füh­ren­de Cloud-Sicher­heits-Anbie­ter, die Cloud Secu­ri­ty Alli­an­ce, anbie­tet. Die Cloud Secu­ri­ty Alli­an­ce ist eine Non-Pro­fit-Orga­ni­sa­ti­on und ent­wi­ckelt – in Koope­ra­ti­on mit ENISA – den anbie­ter­un­ab­hän­gi­gen Stan­dard für Cloud Secu­ri­ty. Durch den Erwerb des Zer­ti­fi­kats erlang­ten die SRC-Mit­ar­bei­ter die not­wen­di­ge Brei­te und Tie­fe an Wis­sen, um ganz­heit­li­che Cloud-Sicher­heits­pro­gram­me zum Schutz sen­si­bler Infor­ma­tio­nen ent­spre­chend welt­weit aner­kann­ter Stan­dards zu imple­men­tie­ren.

International Common Criteria Conference

SRC hält Vor­trag zu JTEMS auf der Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence in Ams­ter­dam

Vom 30. Okto­ber bis zum 01. Novem­ber fin­det die 17. Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence in Ams­ter­dam statt. Die Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence wird mit Unter­stüt­zung des Com­mon Cri­te­ria Anwen­der­fo­rums (CCUF) prä­sen­tiert. Die CCUF bie­tet einen Sprach- und Kom­mu­ni­ka­ti­ons­ka­nal zwi­schen der CC-Com­mu­ni­ty und den Orga­ni­sa­ti­ons­ko­mi­tees der Com­mon Cri­te­ria, den CCRA-Mit­glieds­or­ga­ni­sa­tio­nen (natio­na­le Pro­gram­me) und den poli­ti­schen Ent­schei­dungs­trä­gern.

SRC wird auch in die­sem Jahr aktiv an der Kon­fe­renz teil­neh­men. Im Rah­men eines Vor­trags unse­res Exper­ten Sven-Mar­tin Hüh­ne mit dem­Ti­tel “JTEMS – a Pay­ment Sche­me Inde­pen­dent Frame­work for POI Ter­mi­nal spe­ci­fic Secu­ri­ty Eva­lua­ti­ons based on Com­mon Cri­te­ria” wird das JTEMS Frame­work vor­ge­stellt und der aktu­el­le „Stand der Din­ge“ erläu­tert. Der Vor­trag behan­delt die Vor­tei­le einer auf CC basie­ren­den und Pay­ment Sche­me unab­hän­gi­gen Eva­lu­ie­rungs- und Zer­ti­fi­zie­rungs­vor­ge­hens­wei­se für POI Ter­mi­nals. Das Frame­work ist ein geleb­tes Bei­spiel für die akti­ve Nut­zung der CC Metho­de von inter­es­sier­ten Par­tei­en aus der Pri­vat­wirt­schaft (Deut­sche Kre­dit­wirt­schaft und UK Finan­ce bzw. Common.SECC). Dabei wird auch auf die Mög­lich­keit der Ein­bet­tung des JTEMS-Frame­work in aktu­el­len Dis­kus­sio­nen der EU Kom­mis­si­on für ein „European Secu­ri­ty Cer­ti­fi­ca­ti­on Sche­me“ ein­ge­gan­gen.

In der Panel Dis­kus­si­on „The Why and How of Using CC in Pri­va­te Sche­mes“ wer­den die­se Aspek­te aus Sicht von Anwen­dern aus der euro­päi­schen Kre­dit­wirt­schaft von Regi­ne Quent­mei­er im Aus­tausch mit Ver­tre­tern ande­rer Wirt­schafts­be­rei­che erör­tert.

CSCUBS 2018

SRC lie­fert Stu­die­ren­den Ein­blick in span­nen­de Pro­jek­te im Rah­men der CSCUBS 2018

Die 5th Com­pu­ter Sci­ence Con­fe­rence for Uni­ver­si­ty of Bonn Stu­dents im Rück­blick

Die CSCUBS 2018 fand am 16. Mai in den Räum­lich­kei­ten der Uni­ver­si­tät Bonn statt.Organisiert wur­de die Ver­an­stal­tung von Dok­to­ran­den und MSc-Stu­den­ten und hat­te zum Ziel, die For­schung in der Infor­ma­tik und den wis­sen­schaft­li­chen Aus­tausch unter den Stu­die­ren­den zu för­dern. Die Betei­li­gung von For­schern und Prak­ti­kern wur­de eben­falls geför­dert. Die Stu­die­ren­den hat­ten zudem die Mög­lich­keit eige­ne Bei­trä­ge ein­zu­rei­chen, die neue For­schungs- oder Ent­wick­lungs­ar­bei­ten im Zusam­men­hang mit der Infor­ma­tik beschrei­ben. Dazu gehör­ten auch Uni­ver­si­täts­pro­jek­te, Dis­ser­ta­tio­nen und Ergeb­nis­se ande­rer Berufs- oder Frei­zeit­ak­ti­vi­tä­ten. Dar­über hin­aus hiel­ten, abge­se­hen von den Spon­sor­fir­men, auch die Stu­den­ten selbst Vor­trä­ge.

SRC Mit­ar­bei­ter lie­fert Stu­die­ren­den Ein­blick in span­nen­de Pro­jek­te

Auch Max Hett­rich von SRC berich­te­te in einem Vor­trag über die Tätig­keits­fel­der der Fir­ma. Der Fokus lag dabei auf dem The­ma „Pay­ment Evol­ving“. Dabei geht es dar­um, die „Giro­card ins Han­dy zu brin­gen“. Inter­es­sant ist dabei vor allem, wie die Sicher­heits­eva­lu­ie­rung für die Zah­lungs­kar­ten bis­her aus­sieht und wel­che neu­en Her­aus­for­de­run­gen sich nun in Zukunft fürs mobi­le Bezah­len erge­ben. So wird bei der Sicher­heits­eva­lu­ie­rung von Smart­pho­ne-basier­ten Lösun­gen Rever­se Engi­ne­eing der ver­wen­de­ten Appli­ka­tio­nen eine zen­tra­le Rol­le spie­len. Dabei ver­setzt sich der Prü­fer in die Rol­le eines Angrei­fes, und ver­sucht, Wege zu fin­den um die Zah­lungs­ap­pli­ka­ti­on zu kom­pro­mit­tie­ren. Dies ist ein zen­tra­ler Bau­stein um die Wirk­sam­keit der imple­men­tier­ten Schutz­me­cha­nis­men bewer­ten zu kön­nen. Wo in der Ver­gan­gen­heit vor allem die Prüf­stel­le der SRC die Sicher­heit von Zah­lungs­kar­ten eva­lu­iert hat, wird in Zukunft auch die Abtei­lung für Pene­tra­ti­on Tes­ting ihre Exper­ti­se bei der Bewer­tung von mobi­len Lösun­gen ein­brin­gen.

Dar­über hin­aus beinhal­te­te der Vor­trag auch all­ge­mei­ne­re The­men, wie z.B. die Tätig­keits­fel­der und Arbeits­at­mo­sphä­re der SRC. Aus dem Kern­ge­schäft der Zah­lungs­kar­ten ent­stan­den über die vie­len Jah­re, die SRC bereits besteht, auch eine Viel­zahl wei­te­re Geschäfts­fel­der. Es wur­de außer­dem dar­auf ein­ge­gan­gen, was SRC als Arbeit­ge­ber beson­ders macht und wel­che Qua­li­tä­ten SRC lie­fert.

Fazit und Ein­drü­cke aus Sicht der SRC

Der hohe Anteil inter­na­tio­na­ler Stu­die­ren­der, die akti­ve Betei­li­gung an der Ver­an­stal­tung und die durch­gän­gig eigen­stän­di­ge Orga­ni­sa­ti­on der CSCUBS beein­druck­ten uns nach­hal­tig“, so Jochen Schu­ma­cher von SRC. Das BSI, BC Tech­no­lo­gies und SRC beglei­te­ten die CSCUBS 2018 mit Vor­trä­gen. Beson­ders freu­te uns, dass der Pra­xis-Bei­trag von SRC Stoff für eine ergie­bi­ge Dis­kus­si­on lie­fer­te. Die Sicher­heit des moder­nen Zah­lungs­ver­kehrs ist ein The­ma, dass auch die Stu­die­ren­den bewegt. Das beleg­ten die vie­len gehalt­vol­len Gesprä­che im Ple­num und der per­sön­li­che Aus­tausch am eigens ein­ge­rich­te­ten Stand von SRCDie CSCUBS 2018 war eine über­aus gelun­ge­ne und infor­ma­ti­ve Ver­an­stal­tung. SRC freut sich auf die Neu­auf­la­ge 2019.

Bild­quel­le: https://twitter.com/CSCUBS_Bonn