CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

SRC liefert Gutachten für Gematik

SRC liefert Gutachten zum E‑Rezept für die gematik

Bei der Digita­li­sierung im Gesund­heits­wesen spielt die IT-Sicherheit eine besondere Rolle. Im Kontext der Einführung des durch die gematik verant­wor­teten elektro­ni­schen Rezeptes (E‑Rezept) wird die Sicherheit aller Kompo­nenten durch unabhängige und durch die gematik zugelassene Gutachter geprüft.
Die Einführung des E‑Rezeptes und der E‑Rezept-App hat am 1. Juli 2021 begonnen. Bis dahin musste die Daten­si­cherheit für Patienten, Ärzte und Apotheker sicher­ge­stellt sein. Um die Sicherheit dieser Anwen­dungen in der tagtäg­lichen Arbeit zu überprüfen, hat die gematik mit Zustimmung des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik mehrere Gutachten zur Prüfung der Anwen­dungen in Auftrag gegeben. Einige dieser Gutachten wurden durch die Gutachter der SRC erstellt. Das Ergebnis: Einer kontrol­lierten Inbetrieb­nahme in den Produk­ti­ons­be­trieb steht nichts im Wege. Die Anwen­dungen können in die Telema­tik­in­fra­struktur (TI) einge­gliedert werden.

Voraus­setzung für die nun folgende Testphase ist die Sicher­heits­be­gut­achtung, an der die Gutachter der SRC bei zwei Kompo­nenten beteiligt war. Mitar­beiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begut­achtet. Die gematik hat die Zusam­men­fassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.

In der gerade gestar­teten Testphase wird das E‑Rezept nun in der Modell­region Berlin-Brandenburg im Praxis­alltag erprobt. Hier sollen zunächst praktische Erkennt­nisse über das Zusam­men­spiel aller am E‑Rezept betei­ligter Kompo­nenten gesammelt werden. Die bundes­weite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.

Jeder gesetzlich Versi­cherte kann seine NFC-fähige elektro­nische Gesund­heits­karte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standard­mäßig von den gesetz­lichen Kranken­kassen an ihre Versi­cherten herausgegeben.

Ab 2022 wird das E‑Rezept für alle gesetzlich Versi­cherten verpflichtend, private Kranken­ver­si­che­rungen haben jedoch bereits ihr Interesse an der Teilnahme am E‑Rezept deutlich gemacht. Private Kranken­ver­si­che­rungen können bis auf weiteres freiwillig entscheiden, ob sie ihren Versi­cherten die eGK ausgeben.
„Die Einführung des E‑Rezept und der dazuge­hö­rigen App ist zweifellos ein Meilen­stein für die Digita­li­sierung des deutschen Gesund­heits­system. Bei SRC sind wir schon ein wenig stolz darauf mit unserer Arbeit einen Beitrag zum Absicherung dieser Lösung geleistet zu haben.“ sagt Randolf Skerka, Bereichs­leiter IS-Management bei SRC.
„Diese Begut­achtung war von reibungs­loser und inten­siver Abstimmung mit dem Herstellern RISE und IBM sowie der gematik geprägt. Nur so war es möglich die hohe Qualität in der Kürze der Zeit sicher­zu­stellen.“ sagt Dr. Jens Putzka stell­ver­tretend für alle betei­ligten Kollegen bei SRC.
LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.

KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden

KI-Sicherheit: Das richtige Maß zur Regulierung von KI

Gerade wegen ihrem enormen Potential, ihren vielfäl­tigen Anwen­dungs­be­reichen und ihrer Lernfä­higkeit müssen Systeme der Künst­lichen Intel­ligenz (KI) gleich­zeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.

Sprach­as­sis­tenten, Überset­zungen auf Knopf­druck, Predictive Maintenance oder Bewer­ber­ma­nagement-Systeme. Trotz der vielfäl­tigen Anwen­dungs­ge­biete steht Künst­liche Intel­ligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatz­ge­biete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbes­se­rungen aufgrund der Nutzung künst­licher Intel­ligenz, Wettbe­werbs­vor­teile zu erzielen.

Neben weiteren Abstim­mungen steht nun in Zukunft viel Detail­arbeit an; es sind die entspre­chenden Normen und Standards auszu­ar­beiten bzw. anzupasen und Verfahren zur Konfor­mi­täts­be­wertung zu entwi­ckeln. Dabei sollte der organi­sa­to­rische und technische Aufwand für die Hersteller in einem angemes­senen Rahmen gehalten werden, um die Entwick­lungen von KI-Systemen nicht zu behindern. Gleich­zeitig gilt es aber auch, das wirtschaft­liche und gesell­schaft­liche Vertrauen in diese vielver­spre­chende Techno­logie zu gewinnen.

Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontakt­auf­nahme.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 16. bis 19. November 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC seit 2016 schon viele Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 16. bis zum 19. November 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 15. November 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Web-Seite zum Lehrgang

Online-Anmeldung
IT-Sicherheitsgesetz-2.0-vom-Bundesrat-gebilligt

IT-Sicher­heits­gesetz 2.0 vom Bundesrat gebilligt

Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicher­heits­gesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundes­in­nen­mi­nister Horst Seehofer sprach diesbe­züglich von einem „guten Tag für die Cyber­si­cherheit in Deutschland“. Er kommen­tierte: „Die Digita­li­sierung durch­dringt alle Lebens­be­reiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutz­me­cha­nismen & Abwehr­stra­tegien müssen Schritt halten – dazu dient das IT-Sicher­heits­gesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegen­stand des Regie­rungs­ent­wurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben aller­dings Modifi­ka­tionen im Detail erfahren. So erscheint die weiterhin branchenweit anhal­tende Kritik am IT-Sicher­heits­gesetz 2.0 wenig verwunderlich.

Erwei­terte Befug­nisse für das BSI, Bestands­da­ten­aus­künfte und  sog. „Huawei-Klausel“

Ein zentraler Aspekt des neuen IT-Sicher­heits­ge­setzes sind die erwei­terten Befug­nisse für das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Verbes­se­rungen gibt es im Geset­zes­entwurf immerhin bei der Konkre­ti­sierung überge­ord­neter Schutz­ziele und der daran ausge­rich­teten Arbeit des BSI. Zudem soll der Umgang mit Schwach­stellen und Sicher­heits­lücken trans­pa­renter werden. Durch das neue Gesetz soll das BSI zum wesent­lichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schad­software werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.

Detektion von Sicherheitslücken

Das BSI wird befugt, Sicher­heits­lücken an den Schnitt­stellen von IT-Systemen zu öffent­lichen Telekom­mu­ni­ka­ti­ons­netzen mithilfe von Portscans zu detek­tieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schad­pro­grammen und Angriffs­me­thoden dienen.

Speicherung und Einholung von Bestands- und Protokolldaten

Insbe­sondere daten­schutz­kri­tisch kommt hinzu, dass bei der Online-Kommu­ni­kation zwischen Bürgern und Verwal­tungs­ein­rich­tungen des Bundes anfal­lende „Proto­koll­daten“ und perso­nen­be­zogene Nutzer­in­for­ma­tionen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespei­chert und ausge­wertet werden dürfen. Dazu zählen auch interne „Proto­kol­lie­rungs­daten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekom­mu­ni­ka­ti­ons­diensten Bestands­da­ten­aus­künfte einholen. Dies soll dem Schutz von Betrof­fenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.

Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern

Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Geset­zes­no­velle. Die Bundes­re­gierung soll damit den Einsatz „kriti­scher Kompo­nenten“ bei „voraus­sicht­lichen Beein­träch­ti­gungen der öffent­lichen Sicherheit und Ordnung“ unter­sagen können. Zu diesem Zweck kommt eine Zerti­fi­zie­rungs­pflicht und Hersteller müssen eine Garan­tie­er­klärung abgeben.

Das BSI twittert diesbe­züglich im Sinne eines „Selbst­ver­ständ­nisses“, dass Sicher­heits­lücken trans­parent kommu­ni­ziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Infor­ma­tionen zu Digital­themen versorgt werden und Kriti­schen Infra­struk­turen mit engma­schiger Beratung und Aufsicht zur Seite gestanden wird.

Stärkung des Verbrau­cher­schutzes und mehr Sicherheit für Unternehmen

Darüber hinaus enthält das neue IT-Sicher­heits­gesetz Regelungen zur Stärkung des Verbrau­cher­schutzes und zur Erhöhung der Sicherheit für Unter­nehmen. Dazu wird der Verbrau­cher­schutz in den Aufga­ben­ka­talog des BSI aufge­nommen. Des Weiteren soll ein einheit­liches IT-Sicher­heits­kenn­zeichen in Zukunft Verbrau­chern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicher­heits­stan­dards einhalten.

Im Sinne der Erhöhung der Unter­neh­mens­si­cherheit müssen Betreiber Kriti­scher Infra­struk­turen sowie künftig auch weitere Unter­nehmen im beson­deren öffent­lichen Interesse (z.B. Rüstungs­her­steller oder Unter­nehmen mit besonders großer volks­wirt­schaft­licher Bedeutung) bestimmte IT-Sicher­heits­maß­nahmen umsetzen und werden in den vertrau­ens­vollen Infor­ma­ti­ons­aus­tausch mit dem BSI einbezogen.

Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung (BSI-KritisV) veröffentlicht

Das IT-SiG 2.0 verweist nicht nur auf die Kritis­ver­ordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überra­schend, dass am 26. April 2021 das Bundes­in­nen­mi­nis­terium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissen­schaft veröf­fent­licht hat. Entspre­chende Stellung­nahmen sind bis zum 17. Mai 2021 einzureichen.

Der Referen­ten­entwurf enthält erheb­liche inhalt­liche Änderungen und Anpas­sungen sowie Neuein­fü­gungen in den einzelnen Anhängen zur Bestimmung der Anlagen­ka­te­gorien und konkreten Schwel­len­werte, insbe­sondere teilweise auch der einzelnen zahlen­mä­ßigen Bemes­sungs­kri­terien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kriti­schen Dienst­leistung notwendig sind, als Anlagen im Sinne der Verordnung identi­fi­ziert. Außerdem wird der Handel mit Wertpa­pieren und Derivaten als neue kritische Dienst­leistung aufgenommen.

Unter­stützung von SRC-Experten

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI veröf­fent­licht CC-Zerti­fikate von Konnek­toren im Gesundheitswesen

Im Rahmen der Telema­tik­in­fra­struktur der gematik koordi­niert und verschlüsselt ein Konnektor die Kommu­ni­kation zwischen Client­system, eGK, HBA/SMC und zentraler Telema­tik­in­fra­struktur. Er stellt damit das Binde­glied zwischen diesen Kompo­nenten auf der dezen­tralen Leistungs­er­brin­ger­seite und der zentralen Telema­tik­in­fra­struktur dar.

Ein Konnektor erfüllt Sicher­heits­an­for­de­rungen, die in entspre­chenden Schutz­pro­filen nieder­gelegt worden sind.

Der Konnektor in der Produkt­typ­version 3 umfasst folgende Komponenten:

  • den Netzkon­nektor,
  • den Anwen­dungs­kon­nektor inkl. einer Signaturanwendung,
  • die Fachmodule „Versi­cher­ten­stamm­da­ten­ma­nagement“ (VSDM), „Notfall­da­ten­ma­nagement“ (NFDM) und „Arneimitteltherapiesicherheit/elektr. Medika­ti­onsplan“ (AMTS/eMP).

SRC hat den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma Research Indus­trial Systems Engineering (RISE) Forschungs‑, Entwick­lungs- und Großpro­jekt­be­ratung GmbH erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.

Außerdem hat SRC den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma secunet Security Networks AG erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.

Für Fragen zu Common Criteria oder anderen Evalua­tionen sprechen Sie uns gerne an.

Zertifizierung von fiskaly Cloud Crypto Service Provider

Zerti­fi­zierung von fiskaly Cloud Crypto Service Provider

Die Abgaben­ordnung sieht u.a. eine Kombi­nation von techni­schen und organi­sa­to­ri­schen Maßnahmen vor, um Manipu­la­tionen digitaler Grund­auf­zeich­nungen wirksam zu verhindern. Kernstück der Abgaben­ordnung bildet eine zerti­fi­zierte Techni­schen Sicher­heits­ein­richtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grund­auf­zeich­nungen gegen nachträg­liche Manipu­la­tionen. Die Zerti­fi­zierung hat zum Ziel ein einheit­liches Mindest­niveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwen­diger Inter­ope­ra­bi­li­täts­an­for­de­rungen sicherzustellen.

Kassen­systeme führen digitale Grund­auf­zeich­nungen in o.g. Sinne durch. Daher sind in der Kassen­si­che­rungs­ver­ordnung des Bundes­mi­nis­terium der Finanzen Vorgaben für die Zerti­fi­zierung von TSEs präzi­siert, wlche vom vom BSI entspre­chend umgesetzt worden sind. Hierzu zählen detail­lierte Anfor­de­rungen an das Sicher­heits­modul, das Speicher­medium, die digitale Schnitt­stelle sowie die elektro­nische Aufbe­wahrung, die in Form von mehreren techni­schen Richt­linien und Schutz­profile veröf­fent­licht wurden.

Die zentrale Sicher­heits-Kompo­nente einer TSE ist ein sog. Crypto­graphic Service Provider, kurz: CSP). Hierbei handelt es sich um die Kompo­nentem, die die krypto­gra­phi­schen Signatur-Opera­tionen ausführt und wesent­liche Kompi­nenten wie krypto­gra­phische Schlüssel und weitere Parameter sicher verwaltet.

Das BSI hat den CSP Light von fiskaly aufgrund der Evalua­ti­ons­er­geb­nisse der SRC zerti­fi­ziert. Dieser CSP Light ist als Cloud Service imple­men­tiert, um eine Einbindung in Netzwerke zu ermöglichen.

CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzel­platz­sys­temem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.

PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­onn­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.