DLT für IT-Dienstleiter im Bankenumfeld

SRC-Experte Botermann | DLT für IT-Dienst­leiter im Bankenumfeld

Kryptowerte auf der Basis von Block­chains bewegen viele Staaten, Unter­nehmen und die Welt der Banken und deren IT-Dienstleister.

Als Distri­buted Ledger Techno­logie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassen­bücher“. Der wichtigste Unter­schied: Trans­ak­tionen werden dezentral legiti­miert und bei den Teilnehmern gespei­chert. Als disruptive Techno­logie macht DLT zahlreiche Vermitt­lungs- und Clearing­punkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrau­ens­würdige Transaktionen.

Genau darin liegt aber auch die Perspektive für zukünftige Geschäfts­mo­delle, sind es doch gerade die Banken, die tradi­tionell über Expertise bei der sicheren Verwahrung vertrau­licher Infor­ma­tionen verfügen. Der entschei­dende technische Vertrau­ens­anker jeder Trans­aktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrau­ens­würdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäfts­mo­delle der Banken erweisen.

Zusam­men­ge­fasst: DLT Anwen­dungen bieten IT-Dienst­leistern im Banken­umfeld gute Chancen, die eigenen Geschäfts­mo­delle anzupassen und sich auch für die Zukunft zu positio­nieren. Als geeig­neter Einstiegs­punkt sind Dienst­leis­tungen im Rahmen des Krypto­ver­wahr­ge­schäfts zu sehen, die künftig erweitert und ergänzt werden können.

Wie können Geschäfts­mo­delle im Banken­umfeld an diese Entwick­lungen angepasst werden? Welche Chancen bietet das Krypto­ver­wahr­ge­schäft? Welche techni­schen und regula­to­ri­schen Voraus­set­zungen müssen erfüllt sein?

In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschie­nenen Beiträgen DLT für IT-Dienst­leiter im Banken­umfeld, Krypto­ver­wahr­ge­schäft: Start­punkt für die Geschäfts­fel­der­wei­terung und Krypto­ver­wahr­ge­schäft als Geschäfts­fel­der­wei­terung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Heraus­for­de­rungen, Chancen und Stolper­steine des Krypto­ver­wahr­ge­schäfts mit der Distri­buted Ledger Techno­logie (DLT).

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Inten­siv­se­minar | Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker am 15. November 2021

Inten­siv­se­minar (online)
Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker

Gerade die Banken-IT ist gefordert, sensible Infor­ma­tionen und Daten mit einem hohen Maß an Sicherheit zu schützen und gleich­zeitig für Berech­tigte verfügbar zu machen. Dazu müssen sich Infor­ma­ti­ons­si­cher­heits­be­auf­tragte, Daten­schutz­be­auf­tragte, IT-Verant­wort­liche und weitere Mitar­beiter der Bank eng abstimmen. Trotz unter­schied­licher fachlicher Hinter­gründe muss eine gemeinsame „Sprache“ gefunden werden. Dazu ist es von Vorteil, wenn man sich die Begriffswelt der IT im Kontext ihrer Prozesse und Zusam­men­hänge verge­gen­wär­tigen kann. Nur so gelingt der inter­dis­zi­plinäre Austausch mit den IT-Experten über IT-Sicher­heits­maß­nahmen und deren Auswir­kungen im Unter­nehmen und seine vielfäl­tigen internen und externen Kommunikationsstrukturen.

Das Inten­siv­se­minar „Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker“ vermittelt das erfor­der­liche Wissen über Infor­ma­ti­ons­technik und Sicher­heits­maß­nahmen. Die Zielgruppe sind Nicht-Infor­ma­ti­ke­rInnen in Kreditinstituten.

Der Referent Florian Schumann ist IT-Leiter bei der SRC Security Research & Consulting GmbH. In dieser Position verant­wortet er die konti­nu­ier­liche Weiter­ent­wicklung der IT. Außerdem ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Modul 1: IT-Begriffe und ‑Grund­lagen

  • Netzwerke
  • Kommu­ni­ka­ti­ons­medien und ‑proto­kolle
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Netzen
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Rechenzentren
  • Backup & Restore
  • Virtua­li­sierung
  • Konzepte der Benutzerverwaltung

Modul 2: Verschlüsselung

  • symme­trische und asymme­trische Verfahren
  • Key Management
  • Signatur
  • Authen­ti­kation (z. B. Multi-Faktor-Authen­ti­sierung gemäß PSD2) und Integritätssicherung
Darüber hinaus erhalten die Teilnehmer einen Überblick über neue Techno­logien und Trends z.B. Big Data, Cloud, Künst­liche Intel­ligenz, Beson­der­heiten im mobilen Arbeiten / Homeoffice. Das Inensiv­se­minar bietet ausrei­chend Raum, um die bevor­ste­henden Heraus­for­de­rungen für die Sicherheit zu reflektieren.

Inten­siv­se­minar (online)

Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker
am Montag, 15. November 2021, 10:00 bis 17:00 Uhr

Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

SRC liefert Gutachten für Gematik

SRC liefert Gutachten zum E‑Rezept für die gematik

Bei der Digita­li­sierung im Gesund­heits­wesen spielt die IT-Sicherheit eine besondere Rolle. Im Kontext der Einführung des durch die gematik verant­wor­teten elektro­ni­schen Rezeptes (E‑Rezept) wird die Sicherheit aller Kompo­nenten durch unabhängige und durch die gematik zugelassene Gutachter geprüft.
Die Einführung des E‑Rezeptes und der E‑Rezept-App hat am 1. Juli 2021 begonnen. Bis dahin musste die Daten­si­cherheit für Patienten, Ärzte und Apotheker sicher­ge­stellt sein. Um die Sicherheit dieser Anwen­dungen in der tagtäg­lichen Arbeit zu überprüfen, hat die gematik mit Zustimmung des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik mehrere Gutachten zur Prüfung der Anwen­dungen in Auftrag gegeben. Einige dieser Gutachten wurden durch die Gutachter der SRC erstellt. Das Ergebnis: Einer kontrol­lierten Inbetrieb­nahme in den Produk­ti­ons­be­trieb steht nichts im Wege. Die Anwen­dungen können in die Telema­tik­in­fra­struktur (TI) einge­gliedert werden.

Voraus­setzung für die nun folgende Testphase ist die Sicher­heits­be­gut­achtung, an der die Gutachter der SRC bei zwei Kompo­nenten beteiligt war. Mitar­beiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begut­achtet. Die gematik hat die Zusam­men­fassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.

In der gerade gestar­teten Testphase wird das E‑Rezept nun in der Modell­region Berlin-Brandenburg im Praxis­alltag erprobt. Hier sollen zunächst praktische Erkennt­nisse über das Zusam­men­spiel aller am E‑Rezept betei­ligter Kompo­nenten gesammelt werden. Die bundes­weite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.

Jeder gesetzlich Versi­cherte kann seine NFC-fähige elektro­nische Gesund­heits­karte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standard­mäßig von den gesetz­lichen Kranken­kassen an ihre Versi­cherten herausgegeben.

Ab 2022 wird das E‑Rezept für alle gesetzlich Versi­cherten verpflichtend, private Kranken­ver­si­che­rungen haben jedoch bereits ihr Interesse an der Teilnahme am E‑Rezept deutlich gemacht. Private Kranken­ver­si­che­rungen können bis auf weiteres freiwillig entscheiden, ob sie ihren Versi­cherten die eGK ausgeben.
„Die Einführung des E‑Rezept und der dazuge­hö­rigen App ist zweifellos ein Meilen­stein für die Digita­li­sierung des deutschen Gesund­heits­system. Bei SRC sind wir schon ein wenig stolz darauf mit unserer Arbeit einen Beitrag zum Absicherung dieser Lösung geleistet zu haben.“ sagt Randolf Skerka, Bereichs­leiter IS-Management bei SRC.
„Diese Begut­achtung war von reibungs­loser und inten­siver Abstimmung mit dem Herstellern RISE und IBM sowie der gematik geprägt. Nur so war es möglich die hohe Qualität in der Kürze der Zeit sicher­zu­stellen.“ sagt Dr. Jens Putzka stell­ver­tretend für alle betei­ligten Kollegen bei SRC.
LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.

KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden

KI-Sicherheit: Das richtige Maß zur Regulierung von KI

Gerade wegen ihrem enormen Potential, ihren vielfäl­tigen Anwen­dungs­be­reichen und ihrer Lernfä­higkeit müssen Systeme der Künst­lichen Intel­ligenz (KI) gleich­zeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.

Sprach­as­sis­tenten, Überset­zungen auf Knopf­druck, Predictive Maintenance oder Bewer­ber­ma­nagement-Systeme. Trotz der vielfäl­tigen Anwen­dungs­ge­biete steht Künst­liche Intel­ligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatz­ge­biete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbes­se­rungen aufgrund der Nutzung künst­licher Intel­ligenz, Wettbe­werbs­vor­teile zu erzielen.

Neben weiteren Abstim­mungen steht nun in Zukunft viel Detail­arbeit an; es sind die entspre­chenden Normen und Standards auszu­ar­beiten bzw. anzupasen und Verfahren zur Konfor­mi­täts­be­wertung zu entwi­ckeln. Dabei sollte der organi­sa­to­rische und technische Aufwand für die Hersteller in einem angemes­senen Rahmen gehalten werden, um die Entwick­lungen von KI-Systemen nicht zu behindern. Gleich­zeitig gilt es aber auch, das wirtschaft­liche und gesell­schaft­liche Vertrauen in diese vielver­spre­chende Techno­logie zu gewinnen.

Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontakt­auf­nahme.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 16. bis 19. November 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC seit 2016 schon viele Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 16. bis zum 19. November 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 15. November 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Web-Seite zum Lehrgang

Online-Anmeldung
IT-Sicherheitsgesetz-2.0-vom-Bundesrat-gebilligt

IT-Sicher­heits­gesetz 2.0 vom Bundesrat gebilligt

Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicher­heits­gesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundes­in­nen­mi­nister Horst Seehofer sprach diesbe­züglich von einem „guten Tag für die Cyber­si­cherheit in Deutschland“. Er kommen­tierte: „Die Digita­li­sierung durch­dringt alle Lebens­be­reiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutz­me­cha­nismen & Abwehr­stra­tegien müssen Schritt halten – dazu dient das IT-Sicher­heits­gesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegen­stand des Regie­rungs­ent­wurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben aller­dings Modifi­ka­tionen im Detail erfahren. So erscheint die weiterhin branchenweit anhal­tende Kritik am IT-Sicher­heits­gesetz 2.0 wenig verwunderlich.

Erwei­terte Befug­nisse für das BSI, Bestands­da­ten­aus­künfte und  sog. „Huawei-Klausel“

Ein zentraler Aspekt des neuen IT-Sicher­heits­ge­setzes sind die erwei­terten Befug­nisse für das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Verbes­se­rungen gibt es im Geset­zes­entwurf immerhin bei der Konkre­ti­sierung überge­ord­neter Schutz­ziele und der daran ausge­rich­teten Arbeit des BSI. Zudem soll der Umgang mit Schwach­stellen und Sicher­heits­lücken trans­pa­renter werden. Durch das neue Gesetz soll das BSI zum wesent­lichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schad­software werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.

Detektion von Sicherheitslücken

Das BSI wird befugt, Sicher­heits­lücken an den Schnitt­stellen von IT-Systemen zu öffent­lichen Telekom­mu­ni­ka­ti­ons­netzen mithilfe von Portscans zu detek­tieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schad­pro­grammen und Angriffs­me­thoden dienen.

Speicherung und Einholung von Bestands- und Protokolldaten

Insbe­sondere daten­schutz­kri­tisch kommt hinzu, dass bei der Online-Kommu­ni­kation zwischen Bürgern und Verwal­tungs­ein­rich­tungen des Bundes anfal­lende „Proto­koll­daten“ und perso­nen­be­zogene Nutzer­in­for­ma­tionen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespei­chert und ausge­wertet werden dürfen. Dazu zählen auch interne „Proto­kol­lie­rungs­daten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekom­mu­ni­ka­ti­ons­diensten Bestands­da­ten­aus­künfte einholen. Dies soll dem Schutz von Betrof­fenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.

Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern

Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Geset­zes­no­velle. Die Bundes­re­gierung soll damit den Einsatz „kriti­scher Kompo­nenten“ bei „voraus­sicht­lichen Beein­träch­ti­gungen der öffent­lichen Sicherheit und Ordnung“ unter­sagen können. Zu diesem Zweck kommt eine Zerti­fi­zie­rungs­pflicht und Hersteller müssen eine Garan­tie­er­klärung abgeben.

Das BSI twittert diesbe­züglich im Sinne eines „Selbst­ver­ständ­nisses“, dass Sicher­heits­lücken trans­parent kommu­ni­ziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Infor­ma­tionen zu Digital­themen versorgt werden und Kriti­schen Infra­struk­turen mit engma­schiger Beratung und Aufsicht zur Seite gestanden wird.

Stärkung des Verbrau­cher­schutzes und mehr Sicherheit für Unternehmen

Darüber hinaus enthält das neue IT-Sicher­heits­gesetz Regelungen zur Stärkung des Verbrau­cher­schutzes und zur Erhöhung der Sicherheit für Unter­nehmen. Dazu wird der Verbrau­cher­schutz in den Aufga­ben­ka­talog des BSI aufge­nommen. Des Weiteren soll ein einheit­liches IT-Sicher­heits­kenn­zeichen in Zukunft Verbrau­chern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicher­heits­stan­dards einhalten.

Im Sinne der Erhöhung der Unter­neh­mens­si­cherheit müssen Betreiber Kriti­scher Infra­struk­turen sowie künftig auch weitere Unter­nehmen im beson­deren öffent­lichen Interesse (z.B. Rüstungs­her­steller oder Unter­nehmen mit besonders großer volks­wirt­schaft­licher Bedeutung) bestimmte IT-Sicher­heits­maß­nahmen umsetzen und werden in den vertrau­ens­vollen Infor­ma­ti­ons­aus­tausch mit dem BSI einbezogen.

Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung (BSI-KritisV) veröffentlicht

Das IT-SiG 2.0 verweist nicht nur auf die Kritis­ver­ordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überra­schend, dass am 26. April 2021 das Bundes­in­nen­mi­nis­terium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissen­schaft veröf­fent­licht hat. Entspre­chende Stellung­nahmen sind bis zum 17. Mai 2021 einzureichen.

Der Referen­ten­entwurf enthält erheb­liche inhalt­liche Änderungen und Anpas­sungen sowie Neuein­fü­gungen in den einzelnen Anhängen zur Bestimmung der Anlagen­ka­te­gorien und konkreten Schwel­len­werte, insbe­sondere teilweise auch der einzelnen zahlen­mä­ßigen Bemes­sungs­kri­terien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kriti­schen Dienst­leistung notwendig sind, als Anlagen im Sinne der Verordnung identi­fi­ziert. Außerdem wird der Handel mit Wertpa­pieren und Derivaten als neue kritische Dienst­leistung aufgenommen.

Unter­stützung von SRC-Experten

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.