Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicherheitsgesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundesinnenminister Horst Seehofer sprach diesbezüglich von einem „guten Tag für die Cybersicherheit in Deutschland“. Er kommentierte: „Die Digitalisierung durchdringt alle Lebensbereiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutzmechanismen & Abwehrstrategien müssen Schritt halten – dazu dient das IT-Sicherheitsgesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben allerdings Modifikationen im Detail erfahren. So erscheint die weiterhin branchenweit anhaltende Kritik am IT-Sicherheitsgesetz 2.0 wenig verwunderlich.
Erweiterte Befugnisse für das BSI, Bestandsdatenauskünfte und sog. „Huawei-Klausel“
Ein zentraler Aspekt des neuen IT-Sicherheitsgesetzes sind die erweiterten Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbesserungen gibt es im Gesetzesentwurf immerhin bei der Konkretisierung übergeordneter Schutzziele und der daran ausgerichteten Arbeit des BSI. Zudem soll der Umgang mit Schwachstellen und Sicherheitslücken transparenter werden. Durch das neue Gesetz soll das BSI zum wesentlichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schadsoftware werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.
Detektion von Sicherheitslücken
Das BSI wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schadprogrammen und Angriffsmethoden dienen.
Speicherung und Einholung von Bestands- und Protokolldaten
Insbesondere datenschutzkritisch kommt hinzu, dass bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallende „Protokolldaten“ und personenbezogene Nutzerinformationen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespeichert und ausgewertet werden dürfen. Dazu zählen auch interne „Protokollierungsdaten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einholen. Dies soll dem Schutz von Betroffenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.
Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern
Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Gesetzesnovelle. Die Bundesregierung soll damit den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen können. Zu diesem Zweck kommt eine Zertifizierungspflicht und Hersteller müssen eine Garantieerklärung abgeben.
Das BSI twittert diesbezüglich im Sinne eines „Selbstverständnisses“, dass Sicherheitslücken transparent kommuniziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Informationen zu Digitalthemen versorgt werden und Kritischen Infrastrukturen mit engmaschiger Beratung und Aufsicht zur Seite gestanden wird.
Stärkung des Verbraucherschutzes und mehr Sicherheit für Unternehmen
Darüber hinaus enthält das neue IT-Sicherheitsgesetz Regelungen zur Stärkung des Verbraucherschutzes und zur Erhöhung der Sicherheit für Unternehmen. Dazu wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Des Weiteren soll ein einheitliches IT-Sicherheitskennzeichen in Zukunft Verbrauchern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Im Sinne der Erhöhung der Unternehmenssicherheit müssen Betreiber Kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht
Das IT-SiG 2.0 verweist nicht nur auf die Kritisverordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überraschend, dass am 26. April 2021 das Bundesinnenministerium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissenschaft veröffentlicht hat. Entsprechende Stellungnahmen sind bis zum 17. Mai 2021 einzureichen.
Der Referentenentwurf enthält erhebliche inhaltliche Änderungen und Anpassungen sowie Neueinfügungen in den einzelnen Anhängen zur Bestimmung der Anlagenkategorien und konkreten Schwellenwerte, insbesondere teilweise auch der einzelnen zahlenmäßigen Bemessungskriterien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung identifiziert. Außerdem wird der Handel mit Wertpapieren und Derivaten als neue kritische Dienstleistung aufgenommen.
Unterstützung von SRC-Experten
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
SRC-Experte Botermann | DLT für IT-Dienstleiter im Bankenumfeld
/in Banken Compliance, News /von Jochen SchumacherKryptowerte auf der Basis von Blockchains bewegen viele Staaten, Unternehmen und die Welt der Banken und deren IT-Dienstleister.
Als Distributed Ledger Technologie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassenbücher“. Der wichtigste Unterschied: Transaktionen werden dezentral legitimiert und bei den Teilnehmern gespeichert. Als disruptive Technologie macht DLT zahlreiche Vermittlungs- und Clearingpunkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrauenswürdige Transaktionen.
Genau darin liegt aber auch die Perspektive für zukünftige Geschäftsmodelle, sind es doch gerade die Banken, die traditionell über Expertise bei der sicheren Verwahrung vertraulicher Informationen verfügen. Der entscheidende technische Vertrauensanker jeder Transaktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrauenswürdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäftsmodelle der Banken erweisen.
Zusammengefasst: DLT Anwendungen bieten IT-Dienstleistern im Bankenumfeld gute Chancen, die eigenen Geschäftsmodelle anzupassen und sich auch für die Zukunft zu positionieren. Als geeigneter Einstiegspunkt sind Dienstleistungen im Rahmen des Kryptoverwahrgeschäfts zu sehen, die künftig erweitert und ergänzt werden können.
Wie können Geschäftsmodelle im Bankenumfeld an diese Entwicklungen angepasst werden? Welche Chancen bietet das Kryptoverwahrgeschäft? Welche technischen und regulatorischen Voraussetzungen müssen erfüllt sein?
In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschienenen Beiträgen DLT für IT-Dienstleiter im Bankenumfeld, Kryptoverwahrgeschäft: Startpunkt für die Geschäftsfelderweiterung und Kryptoverwahrgeschäft als Geschäftsfelderweiterung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Herausforderungen, Chancen und Stolpersteine des Kryptoverwahrgeschäfts mit der Distributed Ledger Technologie (DLT).
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
Intensivseminar | Basiswissen IT-Grundlagen und ‑Sicherheitsmaßnahmen für Nicht-Informatiker am 15. November 2021
/in News /von Jochen SchumacherIntensivseminar (online)
Basiswissen IT-Grundlagen und ‑Sicherheitsmaßnahmen für Nicht-Informatiker
Gerade die Banken-IT ist gefordert, sensible Informationen und Daten mit einem hohen Maß an Sicherheit zu schützen und gleichzeitig für Berechtigte verfügbar zu machen. Dazu müssen sich Informationssicherheitsbeauftragte, Datenschutzbeauftragte, IT-Verantwortliche und weitere Mitarbeiter der Bank eng abstimmen. Trotz unterschiedlicher fachlicher Hintergründe muss eine gemeinsame „Sprache“ gefunden werden. Dazu ist es von Vorteil, wenn man sich die Begriffswelt der IT im Kontext ihrer Prozesse und Zusammenhänge vergegenwärtigen kann. Nur so gelingt der interdisziplinäre Austausch mit den IT-Experten über IT-Sicherheitsmaßnahmen und deren Auswirkungen im Unternehmen und seine vielfältigen internen und externen Kommunikationsstrukturen.
Das Intensivseminar „Basiswissen IT-Grundlagen und ‑Sicherheitsmaßnahmen für Nicht-Informatiker“ vermittelt das erforderliche Wissen über Informationstechnik und Sicherheitsmaßnahmen. Die Zielgruppe sind Nicht-InformatikerInnen in Kreditinstituten.
Der Referent Florian Schumann ist IT-Leiter bei der SRC Security Research & Consulting GmbH. In dieser Position verantwortet er die kontinuierliche Weiterentwicklung der IT. Außerdem ist er Berater für Informationssicherheit und qualifizierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.
Modul 1: IT-Begriffe und ‑Grundlagen
Modul 2: Verschlüsselung
Intensivseminar (online)
Basiswissen IT-Grundlagen und ‑Sicherheitsmaßnahmen für Nicht-Informatiker
am Montag, 15. November 2021, 10:00 bis 17:00 Uhr
Startschuss für den Digitalen Euro
/in Banken Compliance, News /von Jochen SchumacherNach langer und intensiver Diskussion auf europäischer Ebene erfolgte am 14. Juli 2021 der Startschuss für den Digitalen Euro. Zunächst werden im Rahmen einer zweijährigen Untersuchungsphase Kernfragen zu den Auswirkungen auf die Finanzstabilität und die Geldpolitik sowie zu rechtlichen Rahmenbedingung und einer möglichen technischen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürfnissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlverfahren zu dienen.
Eine finale Entscheidung über die Ausgestaltung des Digitalen Euros wird dann nach der Untersuchungsphase Mitte 2023 erwartet.
„Wir werden mit dem Europäischen Parlament und anderen europäischen Entscheidungsträgern in einen Dialog treten und sie regelmäßig über unsere Ergebnisse informieren. Privatpersonen, Händler und der Zahlungsverkehrssektor werden ebenfalls einbezogen“, sagte Fabio Panetta (Mitglied des EZB-Direktoriums und Vorsitzender der Taskforce zum Digitalen Euro)
Ergebnisse der praktischen Erprobung
Vorbereitende Grundlage für die richtungsweisende Entscheidung waren die Ergebnisse einer praktischen Erprobungsphase über neun Monate, die u. a. technische Aspekte der Distributed-Ledger-Technologie (kurz DLT), Datenschutz, Geldwäschebekämpfung sowie die Nutzung vorhandener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) untersuchten. Auch energetische Aspekte möglicher Architekturkonzepte wurden mit dem Ziel untersucht, den Energieverbrauch deutlich unter den derzeitigen Anforderungen bekannter Kryptowährungen, z. B. Bitcoin, zu limitieren.
Datenschutz steht im Fokus
Der Verbraucherschutz sowie Datenschutzaspekte sind neben der technischen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentralbankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anonymität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwäschebekämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.
Einschätzung der Deutschen Kreditwirtschaft
Die „Deutsche Kreditwirtschaft“ hebt in einer Stellungnahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souveränität der Eurozone hervor. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum Digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.
Werden Kryptowährungen mehr als Spekulationsobjekte?
Etablierte Kryptowährungen wie Bitcoin und Co. gewinnen zwar als Spekulationsobjekte in den Vermögensverwaltungen an Bedeutung, doch sind sie derzeit im Zahlungsverkehr eher bedeutungslos. Trotzdem hat die anhaltende Diskussion über private Kryptowährungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister
/in Banken Compliance, News /von Jochen SchumacherIm Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.
Banken und Finanzdienstleister verfügen traditionell neben den technischen Kompetenzen zur Abwicklung vertrauenswürdiger Geschäftstransaktionen auch über die nötige Expertise zur Umsetzung der regulatorischen Anforderungen. Dies kann gut als Einstieg in den Markt der Dienstleistungen rund um Kryptowährungen genutzt werden, denn gerade das rasch wachsende Interesse an Kryptowährungen eröffnet den Kreditinstituten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister“ erläutert Dagmar Schoppe, Bereichsleiterin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.
SRC liefert Gutachten zum E‑Rezept für die gematik
/in Gesundheitswesen, News /von Jochen SchumacherVoraussetzung für die nun folgende Testphase ist die Sicherheitsbegutachtung, an der die Gutachter der SRC bei zwei Komponenten beteiligt war. Mitarbeiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begutachtet. Die gematik hat die Zusammenfassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.
In der gerade gestarteten Testphase wird das E‑Rezept nun in der Modellregion Berlin-Brandenburg im Praxisalltag erprobt. Hier sollen zunächst praktische Erkenntnisse über das Zusammenspiel aller am E‑Rezept beteiligter Komponenten gesammelt werden. Die bundesweite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.
Jeder gesetzlich Versicherte kann seine NFC-fähige elektronische Gesundheitskarte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standardmäßig von den gesetzlichen Krankenkassen an ihre Versicherten herausgegeben.
Lancom 1900EF VPN Router erhält erste Beschleunigte Sicherheitszertifizierung (BSZ)
/in Beschleunigte Sicherheitszertifizierung, News /von Jochen SchumacherDas BSI hat der LANCOM Systems GmbH das erste Zertifikat nach dem neuen BSI-Schema „Beschleunigte Sicherheitszertifizierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicherheitseigenschaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.
LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evaluierungen oder Penetrationstests prüfen und bestätigen bzw. zertifizieren lassen. Mit der Pilotevaluierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zertifizierungsstandard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markteinführung des Produktes das erforderliche Sicherheitsniveau zu gewährleisten.
Die Beschleunigte Sicherheitszertifizierung (BSZ) erlaubt Herstellern in einem festgelegten Zeitraum ihre Produkte evaluieren und vom BSI zertifizieren zu lassen. Dabei muss die Evaluierung von einer vom BSI anerkannten Prüfstelle durchgeführt werden. Bei der BSZ ist der Gesamtaufwand der Evaluierung, im Vergleich zu z.B. Common Criteria Evaluierungen von Anfang an vorgegeben (Fixed Time). So können Hersteller den zu erwartenden Aufwand gut einschätzen.
Beim Design der Angriffsszenarien gesteht die BSZ den Evaluatoren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detailliert dargelegt werden. Dieser Gestaltungsspielraum fordert ein überdurchschnittliches Maß an Sachkunde, Sorgfalt und Kreativität sowohl von der Institution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschließende Bewertung im Prüfbericht schöpfen aus einem breiten Know-how an z.B. Kryptographie, Penetrationstests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verantwortlichen bei SRC müssen diese gegenüber der kritischen Betrachtung des BSI verteidigen.
„Besonders in dem Feld der IoT-Geräte wird die Beschleunigte Sicherheitszertifizierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäftsführer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Professionalität auf allen Seiten, mit der dieses Pilotverfahren letztlich zu einem erfolgreichen Abschluss gebracht wurde.
Ralf Koenzen, Gründer und Geschäftsführer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orientierung und spürbare Erleichterung.“
Als langjähriger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unterschiedlichsten Zulassungsschemata durchgeführt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleunigte Sicherheitszertifizierung.
Gern begleiten wir auch Ihre Beschleunigte Sicherheitszertifizierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.
KI-Sicherheit: Das richtige Maß zur Regulierung von KI
/in ISMS, News /von Jochen SchumacherGerade wegen ihrem enormen Potential, ihren vielfältigen Anwendungsbereichen und ihrer Lernfähigkeit müssen Systeme der Künstlichen Intelligenz (KI) gleichzeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.
Sprachassistenten, Übersetzungen auf Knopfdruck, Predictive Maintenance oder Bewerbermanagement-Systeme. Trotz der vielfältigen Anwendungsgebiete steht Künstliche Intelligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatzgebiete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbesserungen aufgrund der Nutzung künstlicher Intelligenz, Wettbewerbsvorteile zu erzielen.
Neben weiteren Abstimmungen steht nun in Zukunft viel Detailarbeit an; es sind die entsprechenden Normen und Standards auszuarbeiten bzw. anzupasen und Verfahren zur Konformitätsbewertung zu entwickeln. Dabei sollte der organisatorische und technische Aufwand für die Hersteller in einem angemessenen Rahmen gehalten werden, um die Entwicklungen von KI-Systemen nicht zu behindern. Gleichzeitig gilt es aber auch, das wirtschaftliche und gesellschaftliche Vertrauen in diese vielversprechende Technologie zu gewinnen.
Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.
Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.
Zertifikatslehrgang „Informationssicherheitsbeauftragte (ISB) für Kreditinstitute” – 16. bis 19. November 2021
/in Banken Compliance, News /von Jochen SchumacherMit dem KWG und der MaRisk verpflichtet der Gesetzgeber Kreditinstitute zur Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich.
Die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) formulieren konkrete Erwartungen. Unter anderem fordert die Bundesanstalt für Finanzdienstleistungsaufsicht in ihrer Richtlinie die neu einzurichtende Funktion des “Informationssicherheitsbeauftragten”. Dieser steuert den Informationssicherheitsprozess und berichtet direkt an die Geschäftsleitung.
In Kooperation mit dem Bank-Verlag hat SRC seit 2016 schon viele Zertifikatslehrgänge zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” erfolgreich durchgeführt. Nach der großen Resonanz und der anhaltenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertägigen Zertifikatslehrgang möglich gemacht hat.
Vom 16. bis zum 19. November 2021 haben Sie erneut die Möglichkeit sich zum “Informationssicherheitsbeauftragten (ISB) für Kreditinstitute” fortbilden zu lassen.
Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Dr. Deniz Ulucay und informieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grundschutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anforderungen. Zudem wird auf die Themen IT-Risiken und ‑Notfallvorsorge sowie Business Continuity Management eingegangen.
Nach bestandener Abschlussprüfung erhalten Sie das Zertifikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.
Optional haben Sie die Möglichkeit sich am 15. November 2021 das für den Lehrgang erforderliche IT-Grundlagenwissen in einem eintägigen Intensivseminar im Vorfeld der Veranstaltung anzueignen. Hier geht es um Grundlagen, Begriffe, Verschlüsselungs- und IT-Sicherheitstechniken in der Informationstechnik.
IT-Sicherheitsgesetz 2.0 vom Bundesrat gebilligt
/in KritisVO, News /von Jochen SchumacherAm Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicherheitsgesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundesinnenminister Horst Seehofer sprach diesbezüglich von einem „guten Tag für die Cybersicherheit in Deutschland“. Er kommentierte: „Die Digitalisierung durchdringt alle Lebensbereiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutzmechanismen & Abwehrstrategien müssen Schritt halten – dazu dient das IT-Sicherheitsgesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben allerdings Modifikationen im Detail erfahren. So erscheint die weiterhin branchenweit anhaltende Kritik am IT-Sicherheitsgesetz 2.0 wenig verwunderlich.
Erweiterte Befugnisse für das BSI, Bestandsdatenauskünfte und sog. „Huawei-Klausel“
Ein zentraler Aspekt des neuen IT-Sicherheitsgesetzes sind die erweiterten Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbesserungen gibt es im Gesetzesentwurf immerhin bei der Konkretisierung übergeordneter Schutzziele und der daran ausgerichteten Arbeit des BSI. Zudem soll der Umgang mit Schwachstellen und Sicherheitslücken transparenter werden. Durch das neue Gesetz soll das BSI zum wesentlichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schadsoftware werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.
Detektion von Sicherheitslücken
Das BSI wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schadprogrammen und Angriffsmethoden dienen.
Speicherung und Einholung von Bestands- und Protokolldaten
Insbesondere datenschutzkritisch kommt hinzu, dass bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallende „Protokolldaten“ und personenbezogene Nutzerinformationen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespeichert und ausgewertet werden dürfen. Dazu zählen auch interne „Protokollierungsdaten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einholen. Dies soll dem Schutz von Betroffenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.
Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern
Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Gesetzesnovelle. Die Bundesregierung soll damit den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen können. Zu diesem Zweck kommt eine Zertifizierungspflicht und Hersteller müssen eine Garantieerklärung abgeben.
Das BSI twittert diesbezüglich im Sinne eines „Selbstverständnisses“, dass Sicherheitslücken transparent kommuniziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Informationen zu Digitalthemen versorgt werden und Kritischen Infrastrukturen mit engmaschiger Beratung und Aufsicht zur Seite gestanden wird.
Stärkung des Verbraucherschutzes und mehr Sicherheit für Unternehmen
Darüber hinaus enthält das neue IT-Sicherheitsgesetz Regelungen zur Stärkung des Verbraucherschutzes und zur Erhöhung der Sicherheit für Unternehmen. Dazu wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Des Weiteren soll ein einheitliches IT-Sicherheitskennzeichen in Zukunft Verbrauchern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Im Sinne der Erhöhung der Unternehmenssicherheit müssen Betreiber Kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht
Das IT-SiG 2.0 verweist nicht nur auf die Kritisverordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überraschend, dass am 26. April 2021 das Bundesinnenministerium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissenschaft veröffentlicht hat. Entsprechende Stellungnahmen sind bis zum 17. Mai 2021 einzureichen.
Der Referentenentwurf enthält erhebliche inhaltliche Änderungen und Anpassungen sowie Neueinfügungen in den einzelnen Anhängen zur Bestimmung der Anlagenkategorien und konkreten Schwellenwerte, insbesondere teilweise auch der einzelnen zahlenmäßigen Bemessungskriterien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung identifiziert. Außerdem wird der Handel mit Wertpapieren und Derivaten als neue kritische Dienstleistung aufgenommen.
Unterstützung von SRC-Experten
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig
/in Gesundheitswesen, News /von Jochen SchumacherOffene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesinstitut für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit in der Informationstechnik dar – aktuell gibt es lediglich Empfehlungen aber keine verbindlichen Richtlinien.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und die gematik sind die zuständigen Stellen für IT-Sicherheit von Medizinprodukten in Deutschland. Es muss sichergestellt werden, dass Unberechtigte die IT in medizinischen Geräten und Systemen nicht gegen den Patienten nutzen können und Komponenten und System nur Berechtigten offen stehen. Hier können auf IT-Sicherheit spezialisierte Unternehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicherheitsstandards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überregulierung kann Schaden bringen.
Unter dem Titel „IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.
Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.