PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­onn­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.

Wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen

„Die Bedeutung von Krypto­wäh­rungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulie­rungs­fragen nutzen, um sich eine gute Ausgangs­po­sition auf dem Markt der Dienst­leis­tungen für Krypto­wäh­rungen wie beispiels­weise Schlüs­sel­ver­wahrung zu verschaffen. Durch ihre bereits bestehenden Kompe­tenzen im Umgang mit krypto­gra­phi­schen Verfahren, z. B. in der Autori­sierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der techni­schen Voraus­set­zungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschie­nenen Artikel die Chancen für Banken und Finanz­dienst­leister hinsichtlich der Entwicklung von Kryptowährungen.

Gibt es Abhän­gig­keiten zum Digitalen Euro?

Das zuneh­mende Interesse an Krypto­wäh­rungen ist – neben dem in den letzten Tagen zu beobach­tenden rasanten Anstieg des Euro Gegen­wertes zu einem Bitcoin – auch in Zusam­menhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kredit­wirt­schaft (DK) – wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Dabei sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen angestrebt werden, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann.

Neue Chancen bei der Digita­li­sierung der Geschäftsprozesse

Institute stehen vor der Heraus­for­derung, ihre Sicht­barkeit in diesem neuen Markt­segment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren zu können. Mittel­fristig kann das generell wachsenden Interesse an Krypto­wäh­rungen auch Chancen für Institute ergeben, die z. B. ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

SRC ist Mitglied im Bundes­verband IT Sicherheit (TeleTrusT)

SRC hat sich zu Beginn des Jahres dem Bundes­verband IT Sicherheit (TeleTrusT) angeschlossen.

Der Bundes­verband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompe­tenz­netzwerk, das in- und auslän­dische Mitglieder aus Industrie, Verwaltung, Beratung und Wissen­schaft sowie thema­tisch verwandte Partner­or­ga­ni­sa­tionen umfasst.

Aufgrund der permanent ändernden Anfor­de­rungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regel­mäßig über neue Notwendig­keiten, Techniken, Prozesse und Regularien infor­mieren und austau­schen müssen.

TeleTrusT bietet hierfür insbe­sondere gute Voraus­set­zungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissen­schaft herge­stellt ist.

SRC wird sich mit ihrer breit gefächerten Expertise in die verschie­denen Arbeits­gruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­ex­perten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 4. bis 7. Mai 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits sieben Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 4. bis zum 7. Mai 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Ansgar Tessmer und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 3. Mai 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Payment­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

BSI veröf­fent­licht Studi­en­ergeb­nisse zur Sicherheit von Medizin- und Pflegeprodukten

Der Gedanke an unsichere Medizin- und Pflege­pro­dukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesund­heits­wesen vertraut man doch als Betrof­fener auf die bestmög­liche Hilfe. Doch gerade bei der fortschrei­tenden Digita­li­sierung und Vernetzung im Gesund­heits­wesen tauchen zunehmend Schwach­stellen in vernetzten Medizin‑, IoT- und Alten­pfle­ge­pro­dukten auf. Werden solche Schwach­stellen entdeckt oder sogar ausge­nutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat daher die Projekte „ManiMed – Manipu­lation von Medizin­pro­dukten“ und „eCare – Digita­li­sierung in der Pflege“ initiiert, um die IT-Sicherheit ausge­wählter Produkte bewerten zu können.

Die nunmehr veröf­fent­lichten Studien des BSI ermög­lichen es Herstellern, die IT-Sicher­heits­ei­gen­schaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizin­pro­dukten darüber infor­miert, welche IT-Sicher­heits­ei­gen­schaften kritisch sein könnten. Verbes­serte IT-Sicher­heits­ei­gen­schaften stärken das Vertrauen der Patien­tinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizin­pro­dukte. In der Studie wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.

An der Erstellung der eCare-Studie hat SRC maßgeblich mitge­wirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Kranken­pflege Anwendung finden. Hierzu zählen beispiels­weise Geräte zur Vital­da­ten­messung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.
Die Ergeb­nisse der Studie finden Sie auf der Webseite des BSI zum Download.

Zusam­men­fassend lässt sich das IT-Sicher­heits­niveau der unter­suchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergeb­nisse lassen belastbar vermuten, dass keines der unter­suchten Produkte samt seiner Schnitt­stellen, Apps etc. einer profes­sio­nellen Sicher­heits­eva­lu­ierung, einem unabhän­gigen Penetra­ti­onstest oder ähnlichem unter­zogen worden ist.

IT –Sicher­heits­gesetz 2.0 vom Kabinett verabschiedet

Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergan­genen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicher­heits­gesetz 2.0 verab­schiedet. Bundes­in­nen­mi­nister Horst Seehofer bezeichnet es als „Durch­bruch für Deutsch­lands Sicherheit“. Branchen­ver­bände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhalt­lichen Ausge­staltung als auch bei der sehr kurzen Kommen­tie­rungs­frist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Geset­zes­an­pas­sungen wider.

Diskus­si­ons­start im November

Überra­schend wurde im November die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Nach langem Still­stand kam wieder Bewegung in die Diskussion um kritische Infra­struk­turen, deren Betreiber sowie der Rolle des BSI. Die Kommen­tie­rungen der Fachex­perten, die auf inhalt­liche Verbes­serung wesent­licher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unver­hält­nis­mäßige Sankti­onsmaß, Übergangs­fristen, die Zerti­fi­zierung und Meldung des Einsatzes sog. Kriti­scher Kompo­nenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.

Mehr Befug­nisse für das BSI

Klar ist, dass die Befug­nisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neuge­schaf­fender Stellen ablesen, sondern auch im Bestreben, schnellst­möglich eine Cyber­ein­griffs­truppe zu schaffen.

Evalu­ierung des IT-Sig 1.0

Weiterhin steht die gesetzlich festge­legte Evalu­ierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritis­ver­ordnung – und damit insbe­sondere auch die Schwell­werte, ab denen ein Betreiber als Kritische Infra­struktur betrachtet wird – alle zwei Jahre evaluiert werden.

Inhalt­liche Änderungen

Folgenden Punkte sind aus Sicht der SRC-Experten die wesent­lichen Änderungen im neuen IT-SIG:

  • Regelungen zum Einsatzes kriti­scher Komponenten
  • Konkre­ti­sierung der Kennzahlen und Schwell­werte für die größten Unter­nehmen in Deutschland, Einfügen einer Rechts­ver­ordnung zur Offen­legung von Schnitt­stellen und zur Einhaltung etablierter techni­scher Standards.
  • Bußgeld­vor­schriften und Santionierung
  • Änderung der Vorgaben zur Speicherung von Protokolldaten
  • Anglei­chung der Bestands­da­ten­aus­kunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestands­da­ten­aus­kunft II“)
  • Eingrenzung der Durch­führung von Detek­ti­ons­maß­nahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
  • Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorla­ge­pflicht von Betrei­ber­do­ku­menten, soweit die Regis­trie­rungs­pflicht nicht erfüllt wurde.
  • Regelungen zur IT-Sicherheit von Unter­nehmen in beson­derem öffent­lichen Interesse: Vom BSI bereit­ge­stellte Formulare zur Selbst­er­klärung sind nicht mehr verbindlich, mit der Vorlage der Selbst­er­klärung besteht eine Regis­trie­rungs­pflicht beim BSI.
  • Zeitliche Einschränkung der Betre­tens­be­fugnis des BSI zur Prüfung der Voraus­set­zungen der EU VO 2019/881 (EU Cyber­se­curity Act).

Daneben wurden über den gesamten Gesetz­entwurf verteilt, begriff­liche Anpas­sungen und Konkre­ti­sie­rungen vorge­nommen. Am 16.12.2020 hat das Bundes­ka­binett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinetts­fassung steht zum Download zur Verfügung.

Weitere Regelung zur IT-Sicherheit

Der am 09.12.2020 ebenso vorge­legte Referen­ten­entwurf zum Telekom­mu­ni­ka­ti­ons­mo­der­ni­sie­rungs­gesetz (Gesetz zur Umsetzung der Richt­linie (EU) 2018/1972 des Europäi­schen Parla­ments und des Rates vom 11. Dezember 2018 über den europäi­schen Kodex für die elektro­nische Kommu­ni­kation (Neufassung) und zur Moder­ni­sierung des Telekom­mu­ni­ka­ti­ons­rechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

gi-Geldin­stitute berichtet über EPEC und den Wandel im Zahlungs­verkehr in Europa

gi-Geldin­stitute, die Fachzeit­schrift für IT, Organi­sation und Kommu­ni­kation in Kredit­in­sti­tuten berichtet über EPEC, das European Payment Expert Consortium für den Zahlungs­verkehr und seine Beratungsdienstleistungen.

Mit Blick auf Entwick­lungen und Standards im Zahlungs­verkehr Europas haben drei europäische Experten für die Standar­di­sierung von Zahlungen das European Payment Expert Consortium (EPEC) gegründet. Das sind neben der deutschen SRC Security Research & Consulting GmbH, die franzö­si­schen Unter­nehmen ELITT und FrenchSys. SRC berichtete in dem Beitrag Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium.

Das EPEC-Konsortium vereint das bei diversen Standar­di­sie­rungen erworbene Know-how dreier europäi­scher Experten. EPEC bietet Beratungs­dienst­leis­tungen für europäische Zahlungs­dienst­leister an. Dabei werden sowohl die harmo­ni­sierten europäi­schen Standards, als auch lokale Beson­der­heiten berück­sichtigt. Das Angebot deckt unter anderem die Verwendung von Zahlungs­stan­dards, Imple­men­tie­rungs­richt­linien, sowie Funktions- und Sicher­heits­spe­zi­fi­ka­tionen für europa­weite Lösungen für Karten‑, Mobil- und Inter­net­zah­lungen ab.

Der gi-Geldin­stitute berichtet über EPEC. Der Titel Der Zahlungs­verkehr befindet sich im Wandel. Der Beitrag beschreibt Umfeld und bevor­ste­hende Heraus­for­de­rungen der EPEC.

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

„Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).