Am 12. Januar 2021 endete die öffentliche Befragung der Europäischen Zentralbank (EZB) zum Digitalen Euro. Basierende auf eingegangen Stellungnahmen wird im Sommer 2021 eine grundsätzliche Weichenstellung zur Weiterführung dieses Großprojektes erwartet. In diesem Zusammenhang werden auch die Entwicklungen der privatwirtschaftlichen Kryptowährungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivitäten anderer Zentralbanken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.
Stellungnahme der Deutschen Kreditwirtschaft
Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme zum Digitalen Euro die Aktivitäten der EZB begrüßt und Unterstützung bei der Ausgestaltung und Projektierung zugesagt.
„Für die Deutsche Kreditwirtschaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausgestaltung das Potential, die Wettbewerbsfähigkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäischen Bankensystems grundlegend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschaftskreislauf und leisten einen unverzichtbaren Beitrag bei der effizienten Versorgung von Unternehmen und Verbrauchern mit Finanzmitteln. Schon deswegen ist es wichtig, die Kreditwirtschaft frühzeitig in die Überlegungen einer digitalen Währung einzubinden“
Karl-Peter Schackmann-Fallis, Geschäftsführendes Vorstandsmitglied des Deutschen Sparkassen- und Giroverbandes (DSGV)
Überwiegend positiver Tenor
Der Tenor der Stellungnahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokenisierungslösungen, z. B. durch Distributed-Ledger-Technologie (DLT), ermöglicht die Umsetzung innovativer Zahlungsverkehrslösungen. Denkbar sind in diesem Zusammenhang die Nutzung von Smart Contracts und Micropayments, Angebot wie „Blockchain as a Service“, „Smart Contracts as a Service“ oder Paymentangebote im Internet-of-Things (IoT).
Klärungsbedarf
Kritisch wird gesehen, dass das bewährte zweistufige Bankensystem mit Zentralbank und Geschäftsbanken in Frage gestellt werden könnte. Diese Konstellation ist aus Sicht der DK essentiell wichtig für die Geldmarktstabilität, die Versorgung der Unternehmen und Privatpersonen mit Krediten sowie die Akzeptanz und das Vertrauen in die herausgegebenen Zahlungsmittel. Das etablierte Bankensystem wird als entscheidender Baustein für ein kontinuierliches Wirtschaftswachstum angesehen.
Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Implikationen sich daraus ergeben könnten. Zu diesem Verordnungsvorschlag der EZB gibt es ebenfalls eine Stellungnahme der DK.
Weiterer Klärungsbedarf besteht bzgl. einiger Regulierungsfragen. Hier schlägt die DK eine Orientierung an den bestehenden Standards vor. Alle Beteiligten sollten mindestens die Anforderungen aus
Offen bleibt auch, ob für die digitale Währung gleichfalls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.
Aus Sicht der DK sind die Rechtssicherheit, einheitliche Vorgaben für ein tokenbasiertes Giralgeld und ein angemessener Regulierungsstandard die Grundvoraussetzungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.
Handlungsoptionen für Zahlungsinstitute
Die Diskussion zum digitalen Euro muss im Zusammenhang mit der generellen Bedeutungszunahme von Kryptowährungen gesehen werden. Längst haben viele Unternehmen erkannt, dass die Distributed Ledger-Technologie dabei helfen kann, komplexe Lieferbeziehungen effizient zu digitalisieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Technologie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Kryptowährungen genutzt werden. Für Zahlungsinstitute ergibt sich mit dem generell wachsenden Interesse an Kryptowährungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Kryptowährungen anzubieten. Darüber hinaus können sich möglicherweise auch Chancen für Institute ergeben, die ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
SRC lädt zum Webinar „Sicherheit mobiler Anwendungen“ ein
/in News, Software Security /von Jochen SchumacherFür den 10. Juni 2021 lädt SRC zu dem kostenfreien Webinar „Sicherheit mobiler Anwendungen“ ein. In der vierstündigen Veranstaltung dreht sich alles um potenzielle Ziele, Angriffsstrategien und die Abwehr von Attacken auf Anwendungen auf mobilen Endgeräten.
Durch die flexiblen Einsatzmöglichkeiten von mobilen Anwendungen, speichern und verarbeiten Smartphones eine große Menge sensitiver Daten. Damit werden sie zu einem immer attraktiveren Ziel für Angreifer. Schadsoftware wie Banking-Trojaner und Ransomware werden bereits gezielt gegen mobile Anwendungen eingesetzt. Damit einhergehend steigt auch der Bedarf an Sicherheit von mobilen Anwendungen, um die Daten ihrer Benutzer wirkungsvoll zu schützen.
SRC Security Research & Consulting GmbH bietet ein halbtägiges Webinar zum Thema Sicherheit von mobilen Anwendungen an. Das Ziel des Webinars ist es das Vorgehen von Angreifern bei der Analyse von mobilen Anwendungen zu verstehen, Risiken erkennen zu können und die Anwendungen bereits während der Entwicklung entsprechend zu härten.
Lutz Weimann, SRC-Experte für Mobile Sicherheit, ist Informatiker mit Schwerpunkt komplexe Softwaresysteme. In seinem Wirken hat er sich intensiv mit Fuzzing, Software- und Netzwerksicherheit und Penetrationstests beschäftigt.Lutz Weimann gibt Softwarearchitekten und Entwicklern einen Einblick in das Vorgehensmodell von Angreifern. Wie werden mobile Anwendungen analysiert? Wie werden Risiken erkannt und abgeschätzt? Wie können Anwendungen bereits während der Entwicklung gehärtet werden?
Melden Sie sich an zum Webinar // Sicherheit mobiler Anwendungen an! Die Plätze sind begrenzt.
IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig
/in Gesundheitswesen, News /von Jochen SchumacherOffene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesinstitut für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit in der Informationstechnik dar – aktuell gibt es lediglich Empfehlungen aber keine verbindlichen Richtlinien.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und die gematik sind die zuständigen Stellen für IT-Sicherheit von Medizinprodukten in Deutschland. Es muss sichergestellt werden, dass Unberechtigte die IT in medizinischen Geräten und Systemen nicht gegen den Patienten nutzen können und Komponenten und System nur Berechtigten offen stehen. Hier können auf IT-Sicherheit spezialisierte Unternehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicherheitsstandards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überregulierung kann Schaden bringen.
Unter dem Titel „IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.
Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.
BSI veröffentlicht CC-Zertifikate von Konnektoren im Gesundheitswesen
/in News /von Jochen SchumacherIm Rahmen der Telematikinfrastruktur der gematik koordiniert und verschlüsselt ein Konnektor die Kommunikation zwischen Clientsystem, eGK, HBA/SMC und zentraler Telematikinfrastruktur. Er stellt damit das Bindeglied zwischen diesen Komponenten auf der dezentralen Leistungserbringerseite und der zentralen Telematikinfrastruktur dar.
Ein Konnektor erfüllt Sicherheitsanforderungen, die in entsprechenden Schutzprofilen niedergelegt worden sind.
Der Konnektor in der Produkttypversion 3 umfasst folgende Komponenten:
SRC hat den Netz- und Anwendungskonnektor in der Produkttypversion 3 der Firma Research Industrial Systems Engineering (RISE) Forschungs‑, Entwicklungs- und Großprojektberatung GmbH erfolgreich evaluiert. Die Zertifikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.
Außerdem hat SRC den Netz- und Anwendungskonnektor in der Produkttypversion 3 der Firma secunet Security Networks AG erfolgreich evaluiert. Die Zertifikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.
Für Fragen zu Common Criteria oder anderen Evaluationen sprechen Sie uns gerne an.
Zertifizierung von fiskaly Cloud Crypto Service Provider
/in News /von Jochen SchumacherDie Abgabenordnung sieht u.a. eine Kombination von technischen und organisatorischen Maßnahmen vor, um Manipulationen digitaler Grundaufzeichnungen wirksam zu verhindern. Kernstück der Abgabenordnung bildet eine zertifizierte Technischen Sicherheitseinrichtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grundaufzeichnungen gegen nachträgliche Manipulationen. Die Zertifizierung hat zum Ziel ein einheitliches Mindestniveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwendiger Interoperabilitätsanforderungen sicherzustellen.
Kassensysteme führen digitale Grundaufzeichnungen in o.g. Sinne durch. Daher sind in der Kassensicherungsverordnung des Bundesministerium der Finanzen Vorgaben für die Zertifizierung von TSEs präzisiert, wlche vom vom BSI entsprechend umgesetzt worden sind. Hierzu zählen detaillierte Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung, die in Form von mehreren technischen Richtlinien und Schutzprofile veröffentlicht wurden.
Die zentrale Sicherheits-Komponente einer TSE ist ein sog. Cryptographic Service Provider, kurz: CSP). Hierbei handelt es sich um die Komponentem, die die kryptographischen Signatur-Operationen ausführt und wesentliche Kompinenten wie kryptographische Schlüssel und weitere Parameter sicher verwaltet.
Das BSI hat den CSP Light von fiskaly aufgrund der Evaluationsergebnisse der SRC zertifiziert. Dieser CSP Light ist als Cloud Service implementiert, um eine Einbindung in Netzwerke zu ermöglichen.
CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzelplatzsystemem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.
PCI DSS v4.0‑Veröffentlichung verzögert sich
/in News, PCI, PCI DSS /von Jochen SchumacherSeit 2019 ist die Veröffentlichung einer neuen, grundlegend überarbeiteten Version des Zahlungsverkehrsstandards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.
Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durchlaufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgeltenden Dokumente, insbesondere
im Juni 2021 einer RFC-Phase zu unterziehen. Damit wird sich aber auch die Veröffentlichung des PCI DSS v4.0 weiter verzögern.
Statt des angekündigten Veröffentlichungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröffentlicht wird, ist noch nicht genauer festgelegt.
Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzögerung der Veröffentlichung verschieben sich ebenso die geplanten Übergangsfristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.
Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen
/in Banken Compliance, News /von Jochen Schumacher„Die Bedeutung von Kryptowährungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulierungsfragen nutzen, um sich eine gute Ausgangsposition auf dem Markt der Dienstleistungen für Kryptowährungen wie beispielsweise Schlüsselverwahrung zu verschaffen. Durch ihre bereits bestehenden Kompetenzen im Umgang mit kryptographischen Verfahren, z. B. in der Autorisierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der technischen Voraussetzungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschienenen Artikel die Chancen für Banken und Finanzdienstleister hinsichtlich der Entwicklung von Kryptowährungen.
Gibt es Abhängigkeiten zum Digitalen Euro?
Das zunehmende Interesse an Kryptowährungen ist – neben dem in den letzten Tagen zu beobachtenden rasanten Anstieg des Euro Gegenwertes zu einem Bitcoin – auch in Zusammenhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kreditwirtschaft (DK) – wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Dabei sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen angestrebt werden, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann.
Neue Chancen bei der Digitalisierung der Geschäftsprozesse
Institute stehen vor der Herausforderung, ihre Sichtbarkeit in diesem neuen Marktsegment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienstleistern reagieren zu können. Mittelfristig kann das generell wachsenden Interesse an Kryptowährungen auch Chancen für Institute ergeben, die z. B. ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
Weitere Literatur
SRC ist Mitglied im Bundesverband IT Sicherheit (TeleTrusT)
/in Allgemein, News /von Jochen SchumacherSRC hat sich zu Beginn des Jahres dem Bundesverband IT Sicherheit (TeleTrusT) angeschlossen.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst.
Aufgrund der permanent ändernden Anforderungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regelmäßig über neue Notwendigkeiten, Techniken, Prozesse und Regularien informieren und austauschen müssen.
TeleTrusT bietet hierfür insbesondere gute Voraussetzungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissenschaft hergestellt ist.
SRC wird sich mit ihrer breit gefächerten Expertise in die verschiedenen Arbeitsgruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.
Operational Resilience – Anforderungen an die Cyber-Widerstandsfähigkeit von Instituten
/in Banken Compliance, News /von Jochen SchumacherAktuelle Schwerpunktthemen: Operational Resilience und Cybersicherheit
Angriffe auf das Finanzsystem können schwerwiegende Folgen haben – nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit. Auch Experten der Bundesbank, Sicherheitsexperten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Widerstandsfähigkeit gegen ebensolche als größte Gefahr, die sich aus der zunehmenden Digitalisierung im Finanzsektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetzliche und regulatorische Rahmenbedingungen geschaffen, um im gesamten Finanzsektor europaweit einheitliche Standrads zu schaffen und die „Operational Resilience“ zu erhöhen.
Sowohl für die EZB als auch für die BaFin stand das Jahr 2020 unter dem Schwerpunkt „Operational Resilience“ und „Cybersicherheit“. Zudem wurde auf europäischer Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröffentlichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Operational Resilience Act) ihre Anforderungen an Betriebsstabilität und Cybersicherheit.
Für die Verantwortlichen stellt sich die Frage, wie diese verschiedenen Aktivitäten zusammenspielen und – noch viel relevanter – wie effizient diese zur Zielerreichung beitragen.
Novellierung MaRisk und BAIT – Operative IT-Sicherheit
Auf nationaler Ebene veröffentlichte die BaFin im Oktober letzten Jahres mit der Novellierung von MaRisk und BAIT ihre Ansätze zur Adressierung von operativen IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erweiterung der BAIT-Anforderungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formulierten konkreten Anforderungen stellen kleinere und mittlere Institute wahrscheinlich vor große Herausforderungen, da sie auf den Betrieb eines Security Information and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Operations Centers (SOC) sowie regelmäßige interne Abweichungsanalysen, Schwachstellenscans, Penetrationstests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer professionellen Cyber-Security-Abteilung sowie unabhängiger interner Informationssicherheitsstrukturen. Dies wird die betroffenen Institute schon allein aufgrund des erforderlichen Know-hows und der begrenzten Ressourcen auf dem Arbeitsmarkt vor große Herausforderungen stellen. Als weiterer Schwerpunkt wird das Notfallmanagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.
Das TIBER-Programm von EZB und Bundesbank
Bereits im Jahr 2018 haben die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetrationstests angestrebt. Die deutliche Zurückhaltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwändigen Projektumfang, die nicht unwesentlichen Risiken und zuletzt auch durch die „Freiwilligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte anderweitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.
Digital Operational Resilience Act (DORA) der EU
Die Veröffentlichung des Digital Finance Package enthält mit dem EU regulatory framework on digital operational resilience einen umfassenden Legislativvorschlag zur europaweiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebsstabilität, die allerdings dem grenzüberschreitenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmentierung auch die Gefahr der Inkonsistenzen und ist zudem mit zusätzlichen hohen Aufwänden für europaweit agierende Institute verbunden.
Hier ist es also sehr wünschenswert, mit DORA einheitliche Regelungen, insbesondere zum Risikomanagement, Testen, Auslagerung Notfall- und Incident-Management, anzustreben. Neben der Verbesserung und Optimierung der Widerstandsfähigkeit der eingesetzten IT-Systemen wird hier sicherlich auch ein signifikant verminderter Verwaltungsaufwand auf Seiten der Institute zu beobachten sein.
Gemeinsam die Cyber-Widerstandsfähigkeit erhöhen
Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswirkungen auf gesetzlicher und regulatorischer Ebene aus. Gemeinsam analysieren wir Ihren Handlungsbedarf und unterstützen Sie bei der Umsetzung. Wir bewerten die Novellierung MaRisk und BAIT für Ihr Institut, unterstützen bei der Vorbereitung, Durchführung und Analyse von TIBER-Tests und analysieren die geplanten Anforderungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten zurückgreifen.
Kryptowährungen – Wie und wann kommt ein Digitaler Euro?
/in Banken Compliance, News /von Jochen SchumacherAm 12. Januar 2021 endete die öffentliche Befragung der Europäischen Zentralbank (EZB) zum Digitalen Euro. Basierende auf eingegangen Stellungnahmen wird im Sommer 2021 eine grundsätzliche Weichenstellung zur Weiterführung dieses Großprojektes erwartet. In diesem Zusammenhang werden auch die Entwicklungen der privatwirtschaftlichen Kryptowährungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivitäten anderer Zentralbanken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.
Stellungnahme der Deutschen Kreditwirtschaft
Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme zum Digitalen Euro die Aktivitäten der EZB begrüßt und Unterstützung bei der Ausgestaltung und Projektierung zugesagt.
Überwiegend positiver Tenor
Der Tenor der Stellungnahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokenisierungslösungen, z. B. durch Distributed-Ledger-Technologie (DLT), ermöglicht die Umsetzung innovativer Zahlungsverkehrslösungen. Denkbar sind in diesem Zusammenhang die Nutzung von Smart Contracts und Micropayments, Angebot wie „Blockchain as a Service“, „Smart Contracts as a Service“ oder Paymentangebote im Internet-of-Things (IoT).
Klärungsbedarf
Kritisch wird gesehen, dass das bewährte zweistufige Bankensystem mit Zentralbank und Geschäftsbanken in Frage gestellt werden könnte. Diese Konstellation ist aus Sicht der DK essentiell wichtig für die Geldmarktstabilität, die Versorgung der Unternehmen und Privatpersonen mit Krediten sowie die Akzeptanz und das Vertrauen in die herausgegebenen Zahlungsmittel. Das etablierte Bankensystem wird als entscheidender Baustein für ein kontinuierliches Wirtschaftswachstum angesehen.
Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Implikationen sich daraus ergeben könnten. Zu diesem Verordnungsvorschlag der EZB gibt es ebenfalls eine Stellungnahme der DK.
Weiterer Klärungsbedarf besteht bzgl. einiger Regulierungsfragen. Hier schlägt die DK eine Orientierung an den bestehenden Standards vor. Alle Beteiligten sollten mindestens die Anforderungen aus
Offen bleibt auch, ob für die digitale Währung gleichfalls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.
Aus Sicht der DK sind die Rechtssicherheit, einheitliche Vorgaben für ein tokenbasiertes Giralgeld und ein angemessener Regulierungsstandard die Grundvoraussetzungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.
Handlungsoptionen für Zahlungsinstitute
Die Diskussion zum digitalen Euro muss im Zusammenhang mit der generellen Bedeutungszunahme von Kryptowährungen gesehen werden. Längst haben viele Unternehmen erkannt, dass die Distributed Ledger-Technologie dabei helfen kann, komplexe Lieferbeziehungen effizient zu digitalisieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Technologie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Kryptowährungen genutzt werden. Für Zahlungsinstitute ergibt sich mit dem generell wachsenden Interesse an Kryptowährungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Kryptowährungen anzubieten. Darüber hinaus können sich möglicherweise auch Chancen für Institute ergeben, die ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
BSI veröffentlicht Studienergebnisse zur Sicherheit von Medizin- und Pflegeprodukten
/in Gesundheitswesen, News /von Jochen SchumacherDer Gedanke an unsichere Medizin- und Pflegeprodukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesundheitswesen vertraut man doch als Betroffener auf die bestmögliche Hilfe. Doch gerade bei der fortschreitenden Digitalisierung und Vernetzung im Gesundheitswesen tauchen zunehmend Schwachstellen in vernetzten Medizin‑, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „ManiMed – Manipulation von Medizinprodukten“ und „eCare – Digitalisierung in der Pflege“ initiiert, um die IT-Sicherheit ausgewählter Produkte bewerten zu können.
Die nunmehr veröffentlichten Studien des BSI ermöglichen es Herstellern, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizinprodukten darüber informiert, welche IT-Sicherheitseigenschaften kritisch sein könnten. Verbesserte IT-Sicherheitseigenschaften stärken das Vertrauen der Patientinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizinprodukte. In der Studie wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
An der Erstellung der eCare-Studie hat SRC maßgeblich mitgewirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
Die Ergebnisse der Studie finden Sie auf der Webseite des BSI zum Download.
Zusammenfassend lässt sich das IT-Sicherheitsniveau der untersuchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergebnisse lassen belastbar vermuten, dass keines der untersuchten Produkte samt seiner Schnittstellen, Apps etc. einer professionellen Sicherheitsevaluierung, einem unabhängigen Penetrationstest oder ähnlichem unterzogen worden ist.