ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 4. bis 7. Mai 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits sieben Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 4. bis zum 7. Mai 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Ansgar Tessmer und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 3. Mai 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet

IT –Sicher­heits­gesetz 2.0 vom Kabinett verabschiedet

Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergan­genen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicher­heits­gesetz 2.0 verab­schiedet. Bundes­in­nen­mi­nister Horst Seehofer bezeichnet es als „Durch­bruch für Deutsch­lands Sicherheit“. Branchen­ver­bände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhalt­lichen Ausge­staltung als auch bei der sehr kurzen Kommen­tie­rungs­frist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Geset­zes­an­pas­sungen wider.

Diskus­si­ons­start im November

Überra­schend wurde im November die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Nach langem Still­stand kam wieder Bewegung in die Diskussion um kritische Infra­struk­turen, deren Betreiber sowie der Rolle des BSI. Die Kommen­tie­rungen der Fachex­perten, die auf inhalt­liche Verbes­serung wesent­licher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unver­hält­nis­mäßige Sankti­onsmaß, Übergangs­fristen, die Zerti­fi­zierung und Meldung des Einsatzes sog. Kriti­scher Kompo­nenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.

Mehr Befug­nisse für das BSI

Klar ist, dass die Befug­nisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neuge­schaf­fender Stellen ablesen, sondern auch im Bestreben, schnellst­möglich eine Cyber­ein­griffs­truppe zu schaffen.

Evalu­ierung des IT-Sig 1.0

Weiterhin steht die gesetzlich festge­legte Evalu­ierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritis­ver­ordnung – und damit insbe­sondere auch die Schwell­werte, ab denen ein Betreiber als Kritische Infra­struktur betrachtet wird – alle zwei Jahre evaluiert werden.

Inhalt­liche Änderungen

Folgenden Punkte sind aus Sicht der SRC-Experten die wesent­lichen Änderungen im neuen IT-SIG:

  • Regelungen zum Einsatzes kriti­scher Komponenten
  • Konkre­ti­sierung der Kennzahlen und Schwell­werte für die größten Unter­nehmen in Deutschland, Einfügen einer Rechts­ver­ordnung zur Offen­legung von Schnitt­stellen und zur Einhaltung etablierter techni­scher Standards.
  • Bußgeld­vor­schriften und Santionierung
  • Änderung der Vorgaben zur Speicherung von Protokolldaten
  • Anglei­chung der Bestands­da­ten­aus­kunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestands­da­ten­aus­kunft II“)
  • Eingrenzung der Durch­führung von Detek­ti­ons­maß­nahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
  • Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorla­ge­pflicht von Betrei­ber­do­ku­menten, soweit die Regis­trie­rungs­pflicht nicht erfüllt wurde.
  • Regelungen zur IT-Sicherheit von Unter­nehmen in beson­derem öffent­lichen Interesse: Vom BSI bereit­ge­stellte Formulare zur Selbst­er­klärung sind nicht mehr verbindlich, mit der Vorlage der Selbst­er­klärung besteht eine Regis­trie­rungs­pflicht beim BSI.
  • Zeitliche Einschränkung der Betre­tens­be­fugnis des BSI zur Prüfung der Voraus­set­zungen der EU VO 2019/881 (EU Cyber­se­curity Act).

Daneben wurden über den gesamten Gesetz­entwurf verteilt, begriff­liche Anpas­sungen und Konkre­ti­sie­rungen vorge­nommen. Am 16.12.2020 hat das Bundes­ka­binett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinetts­fassung steht zum Download zur Verfügung.

Weitere Regelung zur IT-Sicherheit

Der am 09.12.2020 ebenso vorge­legte Referen­ten­entwurf zum Telekom­mu­ni­ka­ti­ons­mo­der­ni­sie­rungs­gesetz (Gesetz zur Umsetzung der Richt­linie (EU) 2018/1972 des Europäi­schen Parla­ments und des Rates vom 11. Dezember 2018 über den europäi­schen Kodex für die elektro­nische Kommu­ni­kation (Neufassung) und zur Moder­ni­sierung des Telekom­mu­ni­ka­ti­ons­rechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

gi-Geldinstitute bericht über EPEC

gi-Geldin­stitute berichtet über EPEC und den Wandel im Zahlungs­verkehr in Europa

gi-Geldin­stitute, die Fachzeit­schrift für IT, Organi­sation und Kommu­ni­kation in Kredit­in­sti­tuten berichtet über EPEC, das European Payment Expert Consortium für den Zahlungs­verkehr und seine Beratungsdienstleistungen.

Mit Blick auf Entwick­lungen und Standards im Zahlungs­verkehr Europas haben drei europäische Experten für die Standar­di­sierung von Zahlungen das European Payment Expert Consortium (EPEC) gegründet. Das sind neben der deutschen SRC Security Research & Consulting GmbH, die franzö­si­schen Unter­nehmen ELITT und FrenchSys. SRC berichtete in dem Beitrag Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium.

Das EPEC-Konsortium vereint das bei diversen Standar­di­sie­rungen erworbene Know-how dreier europäi­scher Experten. EPEC bietet Beratungs­dienst­leis­tungen für europäische Zahlungs­dienst­leister an. Dabei werden sowohl die harmo­ni­sierten europäi­schen Standards, als auch lokale Beson­der­heiten berück­sichtigt. Das Angebot deckt unter anderem die Verwendung von Zahlungs­stan­dards, Imple­men­tie­rungs­richt­linien, sowie Funktions- und Sicher­heits­spe­zi­fi­ka­tionen für europa­weite Lösungen für Karten‑, Mobil- und Inter­net­zah­lungen ab.

Der gi-Geldin­stitute berichtet über EPEC. Der Titel Der Zahlungs­verkehr befindet sich im Wandel. Der Beitrag beschreibt Umfeld und bevor­ste­hende Heraus­for­de­rungen der EPEC.

IT-Sicherheitsgesetz 2.0

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

„Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

20 Jahre SRC

20 Jahre SRC

Vor 20 Jahren, am 27. November 2000 fand die Gründungs­ver­sammlung der Gesell­schafter der SRC statt. Das ist eine lange Zeit, aber in der Rückschau betrachtet kommt es den handelnden Personen nicht so vor. Diese Wahrnehmung ist natürlich subjektiv, aber ein entschei­dender Faktor hierfür wird sicherlich die rasante Entwicklung im Bereich der Infor­ma­ti­ons­technik sein.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

Anschaulich lässt sich die Arbeit der SRC an solchen Dingen erläutern, die viele Menschen im täglichen Leben erleben. Dies sind allem voran das kontaktlose Bezahlen mit Karte und Handy, der sichere Zugriff auf Bankkonten durch Dritte, die elektro­nische Patien­tenakte, die sichere Kommu­ni­kation im Zusam­menhang mit dem Galileo-System und in der Bundeswehr oder auch ganz „profane“ Dinge wie Flaschen­pfandau­to­maten oder manipu­la­ti­ons­si­chere Regis­trier­kassen – alles Themen der Digita­li­sierung, mit denen Tag für Tag Millionen Menschen in der ein oder anderen Art in Berührung kommen. Die Entwicklung ist damit nicht zu Ende, mit Open Finance, IoT und der verstärkten Nutzung von KI-Methoden stehen noch viele spannende Themen an.

Keine dieser Lösungen wurde von SRC selbst herge­stellt oder wird von SRC betrieben, aber wir haben bei allen einen ganz entschei­denden Beitrag geleistet: Wir sorgen für Vertrauen in diese digitale Lösungen – für Zuver­läs­sigkeit, Sicherheit und Zukunfts­si­cherheit. Wir schaffen „ein gutes Gefühl“ im Umgang mit der Digitalisierung:

  • Standards für neue Techno­logien schaffen Investitionssicherheit,
  • Zuver­lässige Funktio­na­lität neuer Lösungen durch Testen
  • Technische Sicherheit neuer Lösungen durch Sicher­heits­kon­zepte und –prüfungen.

Tatsächlich ist es so, dass dieses „gute Gefühl“, das Vertrauen, so etwas wie der Schmier­stoff der Digita­li­sierung ist. Denn mit der Digita­li­sierung und Techni­sierung des Alltags geht für viele Menschen einher, dass Prozesse nicht mehr überschaubar sind und der Wahrheits­gehalt von Infor­ma­tionen manchmal unklar ist. Vertrauen ermög­licht es, diese Komple­xität zu reduzieren und eröffnet häufig erst die Akzeptanz der mit der Digita­li­sierung angestrebten neuen Möglich­keiten des Erlebens und Handelns.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

In den 20 Jahren seit Bestehen der SRC haben wir mehr als 20.000 Projekte durch­ge­führt. Jedes Jahr wurden es mehr und auch SRC ist Jahr für Jahr gewachsen – nicht nur bezüglich der Anzahl der Mitar­beiter, sondern ganz besonders bei der Erwei­terung der Expertise, teilweise auf Gebieten, die es zum Zeitpunkt der Gründung der SRC noch nicht gab.

Die gegen­wärtige Pandemie-Situation erlaubt es nicht, das 20jährige Bestehen angemessen feiern zu können, was wir gerne gemeinsam mit unseren Kunden gemacht hätten. Wir denken darüber nach, dies zu einem geeig­neten Zeitpunkt nachzu­holen. Aber auch ohne Party würden wir uns freuen, wenn Sie uns als unsere Kunden auch weiterhin Ihr Vertrauen schenken.

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

IT-Compliance durch die Einführung eines ISMS

Compliance-Anfor­de­rungen steigen

„Die Abhän­gigkeit der Kern- und Wertschöp­fungs­pro­zesse von der IT-Infra­struktur und den dort betrie­benen IT-Systemen steigt bei Kredit­in­sti­tuten stetig an. Fast in gleichem Maße steigen damit auch die zugehö­rigen Compliance-Anfor­de­rungen“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „Security Insider“ erschie­nenen Artikel die verschie­denen regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, die das Tages­ge­schäft von Kredit­in­sti­tuten bestimmen und wie die IT-Compliance durch die Einführung eines ISMS verbessert wird.

Wertschöp­fungs­pro­zesse sind bedroht

Der Schutz dieser Wertschöp­fungs­pro­zesse durch Einhaltung der regula­to­ri­schen und gesetz­lichen Anfor­de­rungen, z. B. aus BAIT, MaRisk oder dem IT-Sicher­heits­gesetz, ist ein sehr aktuelles Thema. Schließlich ist die Gefahr von Hacker­an­griffen eine reale und aktuelle Gefahr. Auch deshalb ist IT-Sicherheit einer der zentralen Prüfungs­schwer­punkte der BaFin. In diese Richtung zielt auch das TIBER-EU-Programm, das die Resilienz der Finanzwelt gegen Cyber­an­griffe stärken soll.

Ganzheit­liches Infor­ma­ti­ons­si­cher­heits­ma­nagement-System schafft Sicherheit

Für einen ganzheit­lichen Ansatz zum Schutz der Unter­neh­mens­werte müssen die verschie­denen organis­to­ri­schen und techni­schen Aspekte zu einem ganzheit­lichen Konzept vereinigt werden. Das führt zur Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems, z. B. auf der Basis von ISO 27001.

Die Experten des SRC-Bereichs Banken-Compliance beraten Sie gerne zu regula­to­ri­schen und gesetz­lichen Anfor­de­rungen und deren Umsetzung, z. B. durch die Einführung eines Infor­ma­ti­ons­si­cher­heits­ma­nagement-Systems (ISMS) oder bei der Durch­führung von TIBER-Tests. SRC ist Mitglieder der Cyber-Alliance.

NextGenPSD2-Zertifizierung

Neue BSI Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG

Seit über fünf Jahren ist das IT-Sicher­heits­gesetz (IT-Sig) im Zusam­men­spiel mit der KRITIS-Verordnung im Einsatz. Das Hauptziel ist die Regulierung der KRITIS-Betreiber nach BSI-Gesetz. Das des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) begleitet Gesetz und Verordnung mit der sogenannten BSI Orien­tie­rungs­hilfe zu Nachweisen.

IT-Sig 2.0 – Kommt es oder kommt es nicht?

Um das Thema „IT-Sicher­heits­gesetz 2.0“ ist es leider in letzter Zeit sehr still geworden. Somit ist auch kurzfristig mit keiner Novel­lierung der KRITIS-Verordnung zu rechnen. Dem vorlie­genden Referen­ten­entwurf zum IT-Sig 2.0 sind aber die aktuellen Überle­gungen zu entnehmen. So ist bspw. die Aufnahme der Entsorgung zu den bishe­rigen Sektoren angedacht. Zudem ist eine Erwei­terung des Adres­sa­ten­kreises über die KRITIS-Betreiber hinaus auf Unter­nehmen im beson­deren öffent­lichen Interesse (u.a. aufgrund volks­wirt­schaft­licher Bedeutung) angedacht. Für diese stehen die Erstellung von Sicher­heits­kon­zepten, die Pflicht zur Meldung von Störungen, die Regis­trierung und Führung einer Melde­stelle sowie die Vertrau­ens­wür­digkeit der Beschäf­tigten im Raum. Besonders markant ist die geplante Verschärfung des Bußgeld­rahmens von bisher maximal EUR 100.000 auf max. EUR 20.000.000 (bzw. 4% des gesamten weltweit erzielten jährlichen Unter­neh­mens­um­satzes des voran­ge­gan­genen Geschäftsjahrs).

Neue Orien­tie­rungs­hilfe zu Nachweisen

Während das IT-Sig 2.0 noch auf sich warten lässt, hat in der zweiten August­hälfte das BSI seine neue „Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ veröf­fent­licht. Die Versi­ons­nummer 1.1 lässt es bereits vermuten: zu den Änderungen gehören viele Konkre­ti­sie­rungen und Klarstel­lungen der Sachver­halte und Anfor­de­rungen. Darüber hinaus gibt es weitere signi­fi­kante Änderungen. So vereint das neue Formular P die Infor­ma­tionen der bisher verwen­deten Formulare PD (Prüfdurch­führung), PE (Prüfergeb­nisse) und PS (prüfende Stelle). Neben der schrift­lichen Einrei­chung ist jetzt auch eine digitale/maschinenlesbare Kopie erfor­derlich. Die Liste der Sicher­heits­mängel und der Umset­zungsplan sind ab sofort in einem Dokument zusam­men­ge­fasst, während vorhandene Prüfergeb­nisse (maximal zwölf Monate alt) explizit auf Aktua­lität und Bestand geprüft werden müssen. Eine deutliche Neuerung ist die begründete Bewertung der Reife­grade der Manage­ment­systeme für Infor­ma­ti­ons­si­cherheit (ISMS) und Business Conti­nuity (BCMS). Sehr auffällig ist auch der starke Fokus auf dem Aspekt der Nachvoll­zieh­barkeit. Dieser wird an diversen Stellen sichtbar:

  • Detail­lierte Beschreibung des Geltungs­be­reichs (mit seinen Schnitt­stellen, Abhän­gig­keiten und durch Dritte betriebene Teile der kriti­schen Dienst­leistung) sowie
  • der Anlage (inklusive zugehö­riger Teile der kriti­schen Dienst­leistung und aller wesent­lichen Merkmale) als auch
  • Bereit­stellung eines verständ­lichen Netzstrukturplan.
  • Zudem muss eine Mängel­liste auch ohne weitere Dokumente verständlich sein.

Auch ohne IT-Sig 2.0 erfordert die neue Orien­tie­rungs­hilfe des BSI Beachtung. SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der erwei­terten Anforderungen.

Novellierung der BAIT 2021

Novel­lierung der BAIT 2021– Die neuen Anfor­de­rungen an Kreditinstitute

Die Novel­lierung der BAIT für 2021 bedeutet neue Anfor­de­rungen für Kredit­in­stitute. Dagegen steht die BaFin vor der Heraus­for­derung, die Guide­lines on security measures for opera­tional and security risks under the PSD2 und die Guide­lines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novel­lierung der BAIT (Bankauf­sicht­liche Anfor­de­rungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Insti­tuten und Verbänden disku­tiert und kommentiert.

BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt

Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittel­punkt. Die dort formu­lierten Anfor­de­rungen sind nur mit einem Security Infor­mation and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC). Operativ sind regel­mäßige Überprü­fungen gefordert. Dazu gehören:

  • interne Abwei­chungs­ana­lysen
  • Schwach­stel­len­scans
  • Penetra­ti­ons­tests
  • die Simulation von Angriffen („Red Teaming“)

Die neuen Anfor­de­rungen der BAIT 2021 münden im Aufbau einer profes­sio­nellen Cyber-Security-Infra­struktur. Das bedeutet umfang­reiche und von einander unabhängige interne Informationssicherheitsstrukturen.

Die Geschäfts­leitung übernimmt die Gesamtverantwortung

Es fällt auf, dass schon der Entwurf nicht nur auf die Verant­wort­lichkeit der Geschäfts­leitung verweist. Der Geschäfts­leitung wird sogar die explizite Anerkenntnis der Gesamt­ver­ant­wortung für die Infor­ma­ti­ons­si­cherheit abver­langt. Dazu gehören auch die regel­mäßige Infor­mation über deren Belange und die Entscheidung zum angemes­senen Umgang mit Sicherheitsrisiken.

Anfor­de­rungen an das IT-Notfall­ma­nagement werden konsolidiert

Weitere Änderungen erwarten wir im Bereich IT-Notfall­ma­nagement. Die Anfor­de­rungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konso­li­diert. So entstehen einheit­liche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzi­sierung der Vorgaben hinsichtlich der Notfall­planung und –vorsorge, BCM, Desaster Recovery sowie die Backupstra­tegien. Auch das Outsourcing an Dienst­leister wird aus unserer Sicht Gegen­stand der Neufassung sein.

Kredit­in­stitute stehen vor großen Herausforderungen

Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwar­tenden Änderungen die betrof­fenen Institute vor große Heraus­for­de­rungen stellen. Das betrifft insbe­sondere das erfor­der­liche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

„PCI-Konfor­mität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschie­nenen Artikel die verschie­denen PCI-Sicherheitsstandards.

Angesichts der in Pandemie-Zeiten steigenden Anzahl an Karten­zah­lungen ist der Schutz von Zahlkar­ten­daten ein sehr aktuelles Thema.

Alle PCI Standards zielen auf den Schutz von Zahlkar­ten­daten der inter­na­tio­nalen Zahlungs­systeme ab. Allein beim bekann­testen Standard, dem PCI DSS, gibt es rund 250 Einzel­an­for­de­rungen. Werden diese bereits beim Aufbau von Netzwerken und Struk­turen berück­sichtigt, spart man sich häufig aufwändige und teure Nachrüs­tungen. Aber auch die dauer­hafte Aufrecht­erhaltung der PCI DSS-Konfor­mität stellt Firmen vor Herausforderungen.

SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Inten­tionen der PCI-Standards richtig zu verstehen und zu berück­sich­tigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konfor­mität auf verständ­lichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schüt­zens­werten Zahlkar­ten­daten der Kunden.