Nach einem längeren Stillstand ist nun wieder Bewegung in die Diskussion um das IT-Sicherheitsgesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referentenentwurf durch das Bundesministeriums des Innern, für Bau und Heimat (BMI) veröffentlicht.
Aktueller Status der Novellierung
Die Novellierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die rechtlichen Anforderungen beim Einsatz von technischen Produkten aus Drittländern durch Betreiber von kritischen Infrastrukturen. Der nun vorliegende dritte Referentenentwurf ist nun bereit, in die Ressortabstimmung zu gehen. Eine Verabschiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.
Welche Schwerpunkte setzt der Gesetzesentwurf?
Schwerpunkte des neuen Referentenentwurfs sind die Bedrohungen für die Cybersicherheit. Daneben werden auch die Befugnisse des BSI erweitert werden und neue Aufgabenfelder, z.B. als nationale Cybersicherheitszertifizierungsbehörde mit der Umsetzung von aktiven Detektionsmaßnahmen.
Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kritischen Komponenten enthalten:
„Der Einsatz einer kritischen Komponente (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben“.
Kritische Komponenten sind insbesondere solche IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Für TK-Netzbetreiber oder TK-Diensteerbringer werden diese Komponenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entsprechenden BSI-Katalog konkretisiert.
Es dürfen nur kritische Komponenten eingesetzt werden, deren Hersteller eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Garantieerklärung). Das BMI legt die Mindestanforderungen für die Garantieerklärung unter Berücksichtigung überwiegender öffentlicher Interessen, insbesondere sicherheitspolitischer Belange, fest. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können.
Hier entsteht eine neue Anzeigepflicht für die Betreiber der Komponenten. Bisher mussten die Hersteller beim BSI eine Zertifizierung dieser Komponenten beantragen. Diese neue Listung von kritischen Komponenten enthält hochsensible Angriffsziele. Erfolgreiche Angriffe durch Hacker oder Geheimdienste können den kritischen Infrastrukturen in der Bundesrepublik nachhaltig schaden.
Auch die Diskussion um Anforderungen an die eingesetzten IT-Produkte, Identifizierungs- und Authentisierungsverfahren und deren Bewertung hinsichtlich der Informationssicherheit wird aufgenommen und konkretisiert. Diese Vorgaben münden in die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Hinzugekommen sind Anforderungen an Verbraucherschutz und Verbraucherinformation.
Fazit
Es bleibt abzuwarten, ob dieser Zeitplan eingehalten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbesserung, weil Konkretisierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evaluierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte stattfinden sollen, immer noch aussteht.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
PCI DSS v4.0‑Veröffentlichung verzögert sich
/in News, PCI, PCI DSS /von Jochen SchumacherSeit 2019 ist die Veröffentlichung einer neuen, grundlegend überarbeiteten Version des Zahlungsverkehrsstandards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.
Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durchlaufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgeltenden Dokumente, insbesondere
im Juni 2021 einer RFC-Phase zu unterziehen. Damit wird sich aber auch die Veröffentlichung des PCI DSS v4.0 weiter verzögern.
Statt des angekündigten Veröffentlichungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröffentlicht wird, ist noch nicht genauer festgelegt.
Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzögerung der Veröffentlichung verschieben sich ebenso die geplanten Übergangsfristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.
Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen
/in Banken Compliance, News /von Jochen Schumacher„Die Bedeutung von Kryptowährungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulierungsfragen nutzen, um sich eine gute Ausgangsposition auf dem Markt der Dienstleistungen für Kryptowährungen wie beispielsweise Schlüsselverwahrung zu verschaffen. Durch ihre bereits bestehenden Kompetenzen im Umgang mit kryptographischen Verfahren, z. B. in der Autorisierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der technischen Voraussetzungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschienenen Artikel die Chancen für Banken und Finanzdienstleister hinsichtlich der Entwicklung von Kryptowährungen.
Gibt es Abhängigkeiten zum Digitalen Euro?
Das zunehmende Interesse an Kryptowährungen ist – neben dem in den letzten Tagen zu beobachtenden rasanten Anstieg des Euro Gegenwertes zu einem Bitcoin – auch in Zusammenhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kreditwirtschaft (DK) – wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Dabei sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen angestrebt werden, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann.
Neue Chancen bei der Digitalisierung der Geschäftsprozesse
Institute stehen vor der Herausforderung, ihre Sichtbarkeit in diesem neuen Marktsegment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienstleistern reagieren zu können. Mittelfristig kann das generell wachsenden Interesse an Kryptowährungen auch Chancen für Institute ergeben, die z. B. ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
SRC ist Mitglied im Bundesverband IT Sicherheit (TeleTrusT)
/in Allgemein, News /von Jochen SchumacherSRC hat sich zu Beginn des Jahres dem Bundesverband IT Sicherheit (TeleTrusT) angeschlossen.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst.
Aufgrund der permanent ändernden Anforderungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regelmäßig über neue Notwendigkeiten, Techniken, Prozesse und Regularien informieren und austauschen müssen.
TeleTrusT bietet hierfür insbesondere gute Voraussetzungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissenschaft hergestellt ist.
SRC wird sich mit ihrer breit gefächerten Expertise in die verschiedenen Arbeitsgruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.
Operational Resilience – Anforderungen an die Cyber-Widerstandsfähigkeit von Instituten
/in Banken Compliance, News /von Jochen SchumacherAktuelle Schwerpunktthemen: Operational Resilience und Cybersicherheit
Angriffe auf das Finanzsystem können schwerwiegende Folgen haben – nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit. Auch Experten der Bundesbank, Sicherheitsexperten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Widerstandsfähigkeit gegen ebensolche als größte Gefahr, die sich aus der zunehmenden Digitalisierung im Finanzsektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetzliche und regulatorische Rahmenbedingungen geschaffen, um im gesamten Finanzsektor europaweit einheitliche Standrads zu schaffen und die „Operational Resilience“ zu erhöhen.
Sowohl für die EZB als auch für die BaFin stand das Jahr 2020 unter dem Schwerpunkt „Operational Resilience“ und „Cybersicherheit“. Zudem wurde auf europäischer Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröffentlichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Operational Resilience Act) ihre Anforderungen an Betriebsstabilität und Cybersicherheit.
Für die Verantwortlichen stellt sich die Frage, wie diese verschiedenen Aktivitäten zusammenspielen und – noch viel relevanter – wie effizient diese zur Zielerreichung beitragen.
Novellierung MaRisk und BAIT – Operative IT-Sicherheit
Auf nationaler Ebene veröffentlichte die BaFin im Oktober letzten Jahres mit der Novellierung von MaRisk und BAIT ihre Ansätze zur Adressierung von operativen IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erweiterung der BAIT-Anforderungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formulierten konkreten Anforderungen stellen kleinere und mittlere Institute wahrscheinlich vor große Herausforderungen, da sie auf den Betrieb eines Security Information and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Operations Centers (SOC) sowie regelmäßige interne Abweichungsanalysen, Schwachstellenscans, Penetrationstests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer professionellen Cyber-Security-Abteilung sowie unabhängiger interner Informationssicherheitsstrukturen. Dies wird die betroffenen Institute schon allein aufgrund des erforderlichen Know-hows und der begrenzten Ressourcen auf dem Arbeitsmarkt vor große Herausforderungen stellen. Als weiterer Schwerpunkt wird das Notfallmanagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.
Das TIBER-Programm von EZB und Bundesbank
Bereits im Jahr 2018 haben die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetrationstests angestrebt. Die deutliche Zurückhaltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwändigen Projektumfang, die nicht unwesentlichen Risiken und zuletzt auch durch die „Freiwilligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte anderweitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.
Digital Operational Resilience Act (DORA) der EU
Die Veröffentlichung des Digital Finance Package enthält mit dem EU regulatory framework on digital operational resilience einen umfassenden Legislativvorschlag zur europaweiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebsstabilität, die allerdings dem grenzüberschreitenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmentierung auch die Gefahr der Inkonsistenzen und ist zudem mit zusätzlichen hohen Aufwänden für europaweit agierende Institute verbunden.
Hier ist es also sehr wünschenswert, mit DORA einheitliche Regelungen, insbesondere zum Risikomanagement, Testen, Auslagerung Notfall- und Incident-Management, anzustreben. Neben der Verbesserung und Optimierung der Widerstandsfähigkeit der eingesetzten IT-Systemen wird hier sicherlich auch ein signifikant verminderter Verwaltungsaufwand auf Seiten der Institute zu beobachten sein.
Gemeinsam die Cyber-Widerstandsfähigkeit erhöhen
Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswirkungen auf gesetzlicher und regulatorischer Ebene aus. Gemeinsam analysieren wir Ihren Handlungsbedarf und unterstützen Sie bei der Umsetzung. Wir bewerten die Novellierung MaRisk und BAIT für Ihr Institut, unterstützen bei der Vorbereitung, Durchführung und Analyse von TIBER-Tests und analysieren die geplanten Anforderungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten zurückgreifen.
Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” – 4. bis 7. Mai 2021
/in Banken Compliance, News /von Jochen SchumacherMit dem KWG und der MaRisk verpflichtet der Gesetzgeber Kreditinstitute zur Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich.
Die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) formulieren konkrete Erwartungen. Unter anderem fordert die Bundesanstalt für Finanzdienstleistungsaufsicht in ihrer Richtlinie die neu einzurichtende Funktion des “Informationssicherheitsbeauftragten”. Dieser steuert den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung.
In Kooperation mit dem Bank-Verlag hat SRC bereits sieben Zertifikatslehrgänge zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” erfolgreich durchgeführt. Nach der großen Resonanz und der anhaltenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertägigen Zertifikatslehrgang möglich gemacht hat.
Vom 4. bis zum 7. Mai 2021 haben Sie erneut die Möglichkeit sich zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” fortbilden zu lassen.
Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Ansgar Tessmer und informieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grundschutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anforderungen. Zudem wird auf die Themen IT-Risiken und ‑Notfallvorsorge sowie Business Continuity Management eingegangen.
Nach bestandener Abschlussprüfung erhalten Sie das Zertifikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.
Optional haben Sie die Möglichkeit sich am 3. Mai 2021 das für den Lehrgang erforderliche IT-Grundlagenwissen in einem eintägigen Intensivseminar im Vorfeld der Veranstaltung anzueignen. Hier geht es um Grundlagen, Begriffe, Verschlüsselungs- und IT-Sicherheitstechniken in der Informationstechnik.
Kryptowährungen – Wie und wann kommt ein Digitaler Euro?
/in Banken Compliance, News /von Jochen SchumacherAm 12. Januar 2021 endete die öffentliche Befragung der Europäischen Zentralbank (EZB) zum Digitalen Euro. Basierende auf eingegangen Stellungnahmen wird im Sommer 2021 eine grundsätzliche Weichenstellung zur Weiterführung dieses Großprojektes erwartet. In diesem Zusammenhang werden auch die Entwicklungen der privatwirtschaftlichen Kryptowährungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivitäten anderer Zentralbanken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.
Stellungnahme der Deutschen Kreditwirtschaft
Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme zum Digitalen Euro die Aktivitäten der EZB begrüßt und Unterstützung bei der Ausgestaltung und Projektierung zugesagt.
Überwiegend positiver Tenor
Der Tenor der Stellungnahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokenisierungslösungen, z. B. durch Distributed-Ledger-Technologie (DLT), ermöglicht die Umsetzung innovativer Zahlungsverkehrslösungen. Denkbar sind in diesem Zusammenhang die Nutzung von Smart Contracts und Micropayments, Angebot wie „Blockchain as a Service“, „Smart Contracts as a Service“ oder Paymentangebote im Internet-of-Things (IoT).
Klärungsbedarf
Kritisch wird gesehen, dass das bewährte zweistufige Bankensystem mit Zentralbank und Geschäftsbanken in Frage gestellt werden könnte. Diese Konstellation ist aus Sicht der DK essentiell wichtig für die Geldmarktstabilität, die Versorgung der Unternehmen und Privatpersonen mit Krediten sowie die Akzeptanz und das Vertrauen in die herausgegebenen Zahlungsmittel. Das etablierte Bankensystem wird als entscheidender Baustein für ein kontinuierliches Wirtschaftswachstum angesehen.
Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Implikationen sich daraus ergeben könnten. Zu diesem Verordnungsvorschlag der EZB gibt es ebenfalls eine Stellungnahme der DK.
Weiterer Klärungsbedarf besteht bzgl. einiger Regulierungsfragen. Hier schlägt die DK eine Orientierung an den bestehenden Standards vor. Alle Beteiligten sollten mindestens die Anforderungen aus
Offen bleibt auch, ob für die digitale Währung gleichfalls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.
Aus Sicht der DK sind die Rechtssicherheit, einheitliche Vorgaben für ein tokenbasiertes Giralgeld und ein angemessener Regulierungsstandard die Grundvoraussetzungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.
Handlungsoptionen für Zahlungsinstitute
Die Diskussion zum digitalen Euro muss im Zusammenhang mit der generellen Bedeutungszunahme von Kryptowährungen gesehen werden. Längst haben viele Unternehmen erkannt, dass die Distributed Ledger-Technologie dabei helfen kann, komplexe Lieferbeziehungen effizient zu digitalisieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Technologie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Kryptowährungen genutzt werden. Für Zahlungsinstitute ergibt sich mit dem generell wachsenden Interesse an Kryptowährungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Kryptowährungen anzubieten. Darüber hinaus können sich möglicherweise auch Chancen für Institute ergeben, die ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
BSI veröffentlicht Studienergebnisse zur Sicherheit von Medizin- und Pflegeprodukten
/in Gesundheitswesen, News /von Jochen SchumacherDer Gedanke an unsichere Medizin- und Pflegeprodukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesundheitswesen vertraut man doch als Betroffener auf die bestmögliche Hilfe. Doch gerade bei der fortschreitenden Digitalisierung und Vernetzung im Gesundheitswesen tauchen zunehmend Schwachstellen in vernetzten Medizin‑, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „ManiMed – Manipulation von Medizinprodukten“ und „eCare – Digitalisierung in der Pflege“ initiiert, um die IT-Sicherheit ausgewählter Produkte bewerten zu können.
Die nunmehr veröffentlichten Studien des BSI ermöglichen es Herstellern, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizinprodukten darüber informiert, welche IT-Sicherheitseigenschaften kritisch sein könnten. Verbesserte IT-Sicherheitseigenschaften stärken das Vertrauen der Patientinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizinprodukte. In der Studie wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
An der Erstellung der eCare-Studie hat SRC maßgeblich mitgewirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
Die Ergebnisse der Studie finden Sie auf der Webseite des BSI zum Download.
Zusammenfassend lässt sich das IT-Sicherheitsniveau der untersuchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergebnisse lassen belastbar vermuten, dass keines der untersuchten Produkte samt seiner Schnittstellen, Apps etc. einer professionellen Sicherheitsevaluierung, einem unabhängigen Penetrationstest oder ähnlichem unterzogen worden ist.
IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet
/in KritisVO, News /von Jochen SchumacherAm Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergangenen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicherheitsgesetz 2.0 verabschiedet. Bundesinnenminister Horst Seehofer bezeichnet es als „Durchbruch für Deutschlands Sicherheit“. Branchenverbände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhaltlichen Ausgestaltung als auch bei der sehr kurzen Kommentierungsfrist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Gesetzesanpassungen wider.
Diskussionsstart im November
Überraschend wurde im November die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Nach langem Stillstand kam wieder Bewegung in die Diskussion um kritische Infrastrukturen, deren Betreiber sowie der Rolle des BSI. Die Kommentierungen der Fachexperten, die auf inhaltliche Verbesserung wesentlicher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unverhältnismäßige Sanktionsmaß, Übergangsfristen, die Zertifizierung und Meldung des Einsatzes sog. Kritischer Komponenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.
Mehr Befugnisse für das BSI
Klar ist, dass die Befugnisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neugeschaffender Stellen ablesen, sondern auch im Bestreben, schnellstmöglich eine Cybereingriffstruppe zu schaffen.
Evaluierung des IT-Sig 1.0
Weiterhin steht die gesetzlich festgelegte Evaluierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritisverordnung – und damit insbesondere auch die Schwellwerte, ab denen ein Betreiber als Kritische Infrastruktur betrachtet wird – alle zwei Jahre evaluiert werden.
Inhaltliche Änderungen
Folgenden Punkte sind aus Sicht der SRC-Experten die wesentlichen Änderungen im neuen IT-SIG:
Daneben wurden über den gesamten Gesetzentwurf verteilt, begriffliche Anpassungen und Konkretisierungen vorgenommen. Am 16.12.2020 hat das Bundeskabinett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinettsfassung steht zum Download zur Verfügung.
Weitere Regelung zur IT-Sicherheit
Der am 09.12.2020 ebenso vorgelegte Referentenentwurf zum Telekommunikationsmodernisierungsgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
gi-Geldinstitute berichtet über EPEC und den Wandel im Zahlungsverkehr in Europa
/in News, sichere elektronische Transaktionen /von Jochen Schumachergi-Geldinstitute, die Fachzeitschrift für IT, Organisation und Kommunikation in Kreditinstituten berichtet über EPEC, das European Payment Expert Consortium für den Zahlungsverkehr und seine Beratungsdienstleistungen.
Mit Blick auf Entwicklungen und Standards im Zahlungsverkehr Europas haben drei europäische Experten für die Standardisierung von Zahlungen das European Payment Expert Consortium (EPEC) gegründet. Das sind neben der deutschen SRC Security Research & Consulting GmbH, die französischen Unternehmen ELITT und FrenchSys. SRC berichtete in dem Beitrag Frenchsys, Elitt und SRC gründen das EPayStandards Konsortium.
Das EPEC-Konsortium vereint das bei diversen Standardisierungen erworbene Know-how dreier europäischer Experten. EPEC bietet Beratungsdienstleistungen für europäische Zahlungsdienstleister an. Dabei werden sowohl die harmonisierten europäischen Standards, als auch lokale Besonderheiten berücksichtigt. Das Angebot deckt unter anderem die Verwendung von Zahlungsstandards, Implementierungsrichtlinien, sowie Funktions- und Sicherheitsspezifikationen für europaweite Lösungen für Karten‑, Mobil- und Internetzahlungen ab.
Der gi-Geldinstitute berichtet über EPEC. Der Titel Der Zahlungsverkehr befindet sich im Wandel. Der Beitrag beschreibt Umfeld und bevorstehende Herausforderungen der EPEC.
Kommt das IT-Sicherheitsgesetz 2.0?
/in KritisVO, News /von Jochen SchumacherNach einem längeren Stillstand ist nun wieder Bewegung in die Diskussion um das IT-Sicherheitsgesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referentenentwurf durch das Bundesministeriums des Innern, für Bau und Heimat (BMI) veröffentlicht.
Aktueller Status der Novellierung
Die Novellierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die rechtlichen Anforderungen beim Einsatz von technischen Produkten aus Drittländern durch Betreiber von kritischen Infrastrukturen. Der nun vorliegende dritte Referentenentwurf ist nun bereit, in die Ressortabstimmung zu gehen. Eine Verabschiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.
Welche Schwerpunkte setzt der Gesetzesentwurf?
Schwerpunkte des neuen Referentenentwurfs sind die Bedrohungen für die Cybersicherheit. Daneben werden auch die Befugnisse des BSI erweitert werden und neue Aufgabenfelder, z.B. als nationale Cybersicherheitszertifizierungsbehörde mit der Umsetzung von aktiven Detektionsmaßnahmen.
Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kritischen Komponenten enthalten:
„Der Einsatz einer kritischen Komponente (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben“.
Kritische Komponenten sind insbesondere solche IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Für TK-Netzbetreiber oder TK-Diensteerbringer werden diese Komponenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entsprechenden BSI-Katalog konkretisiert.
Es dürfen nur kritische Komponenten eingesetzt werden, deren Hersteller eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Garantieerklärung). Das BMI legt die Mindestanforderungen für die Garantieerklärung unter Berücksichtigung überwiegender öffentlicher Interessen, insbesondere sicherheitspolitischer Belange, fest. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können.
Hier entsteht eine neue Anzeigepflicht für die Betreiber der Komponenten. Bisher mussten die Hersteller beim BSI eine Zertifizierung dieser Komponenten beantragen. Diese neue Listung von kritischen Komponenten enthält hochsensible Angriffsziele. Erfolgreiche Angriffe durch Hacker oder Geheimdienste können den kritischen Infrastrukturen in der Bundesrepublik nachhaltig schaden.
Auch die Diskussion um Anforderungen an die eingesetzten IT-Produkte, Identifizierungs- und Authentisierungsverfahren und deren Bewertung hinsichtlich der Informationssicherheit wird aufgenommen und konkretisiert. Diese Vorgaben münden in die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Hinzugekommen sind Anforderungen an Verbraucherschutz und Verbraucherinformation.
Fazit
Es bleibt abzuwarten, ob dieser Zeitplan eingehalten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbesserung, weil Konkretisierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evaluierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte stattfinden sollen, immer noch aussteht.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).