Tagung der Deutschen Physikalischen Gesellschaft

SRC bei Tagung der Deutschen Physi­ka­li­schen Gesell­schaft

Die Tagung der Deutschen Physi­ka­li­schen Gesell­schaft e.V. (DPG) wurde vom 2. bis zum 5. April 2019 in Regensburg abgehalten. Diese Plattform nutzten verschiedene Unter­nehmen, um den Teilneh­menden ihre Arbeits­ge­biete und Karrie­re­mög­lich­keiten vorzu­stellen.

SRC wurde durch Dr. Benjamin Botermann und Jochen Schumacher vertreten. Die beide gaben den vielen inter­es­sierten Studie­renden aus dem In- und Ausland bereit­willig Auskunft über die vielfäl­tigen Karrie­re­mög­lich­keiten bei SRC. Der Vortrag „Vom Labor zur sicheren Trans­aktion – Vom Physiker zum SRC-Experten“ von Benjamin Botermann ermög­lichte detail­liertere Einblicke in einzelne Themen­felder. Mit gespanntem Interesse folgten die angehenden Physi­ke­rinnen und Physiker den vielfäl­tigen Karrie­re­mög­lich­keiten in der Infor­ma­ti­ons­si­cherheit. Das Interesse der Studie­renden schlug sich dann in den zahlreichen Gesprächen nieder, die nachfolgend am Infostand von SRC geführt wurden.

Tagung der Deutschen Physikalischen Gesellschaft

Bargeld­loser Zahlungs­verkehr ist für viele ein unbekanntes Terrain, obwohl es jeder beinahe täglich nutzt“, stellte Jochen Schumacher fest. Umso mehr an Bedeutung gewinnt die Möglichkeit für Studie­rende, sich im Rahmen der Tagung der Deutschen Physi­ka­li­schen Gesell­schaft über die spannenden Themen­felder einer Infor­ma­ti­ons­si­cher­heits­firma und ihrer komplexen Tätig­keits­ge­biete infor­mieren zu können.

Unsere Themen & Lösungen finden Sie auf unserer Website. Sie inter­es­sieren sich für eine Karriere bei SRC? Hier gelangen Sie zu unseren aktuellen Stellen­an­ge­boten.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ – 19. September 2019

In Koope­ration mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ aus. Die Veran­staltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (kurz BAIT) hat die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) auch die neue Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten definiert. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxis­nahen Workshops. Die Workshops dienen dem inhal­tichen Austausch und der Diskussion unter den Teilneh­menden. Dabei werden die Inhalte und der Ablauf von den Teilneh­menden zu Beginn selbst entwi­ckelt und im weiteren Verlauf gestaltet. Feste Redner oder vorde­fi­nierte Abläufe sind in einem BarCamp nicht zu finden. Statt­dessen setzt dieses Prinzip auf den (moderierten) Erfah­rungs­aus­tausch.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“

Das BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“gibt Infor­ma­ti­ons­si­cher­heits­be­auf­tragten sowie allen Verant­wort­lichen im Infor­ma­tions- und IT-Sicher­heits­ma­nagement von Kredit­in­sti­tuten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienst­leis­ter­steuerung oder Risiko­ma­nagement auszu­tau­schen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für indivi­duelle Gespräche genutzt werden. Am Ende der Veran­staltung sorgt ein  „Get-together“ für einen vertie­fenden Austausch unter den Teilneh­menden.

Referenten der SRC

Gleich vier Experten aus verschie­denen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilneh­menden teilen.

Sandro Amendola, stell­ver­tre­tender Prüfstel­len­leiter bei der SRC, verant­wortet das Thema „IT-Compliance in der Kredit­wirt­schaft“. Darüber hinaus entwi­ckelt er, unter anderem im Auftrag der Deutschen Kredit­wirt­schaft, Sicher­heits­kon­zepte und Sicher­heits­an­for­de­rungen für Zahlungs­ver­kehrs­ver­fahren.

Jochen Schumacher ist bei SRC für den Bereich Kommu­ni­kation verant­wortlich. Er konzen­triert sich auf das Produkt­ma­nagement, die technische und redak­tio­nelle Betreuung des Webauf­tritts sowie die Planung, Durch­führung und Moderation von Veran­stal­tungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infra­struk­turen.

Dr. Deniz Ulucay ist bei SRC als Berater für Infor­ma­ti­ons­si­cherheit tätig. Seine Schwer­punkte liegen im Aufbau von ISMSen, insbe­sondere bei Betreibern von kriti­schen Infra­struk­turen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicher­heits­kon­zepten verant­wortlich.

Anmeldung & Ablauf

Weitere Infor­ma­tionen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. Hier können Sie sich für die Veran­staltung direkt online anmelden und die für Sie wichtigen und inter­es­santen Themen einbringen und so Ablauf und Ergebnis des BarCamps „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ mitbe­stimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).

Informationssicherheitsbeauftragte für Kreditinstitute

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 19. bis 22. November 2019

BAIT-Compliance: Einsatz eines Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB)

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) in ihrer Richt­linie die neu einzu­rich­tende Funktion  “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte für Kredit­in­stitute” (ISB). Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung.

6. Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute”

In Koope­ration mit dem Bank-Verlag hat SRC bereits fünf Zerti­fi­kats­lehr­gänge zu “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 19. bis 22. November 2019 haben Sie erneut die Möglichkeit, sich in den Räumen der Bank-Verlag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Schulung durch erfahrene Experten

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay. Die Experten infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 18. November 2019 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

 

Aspects of Common Criteria Certifications

Aspects of Common Criteria Certi­fi­ca­tions – Gastvortrag an der TU Wien

Aspects of Common Criteria Certi­fi­ca­tions - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Techni­schen Univer­sität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infra­st­ruc­tures am Institute of Infor­mation Systems Engineering statt.

Common Criteria in der Wissen­schaft

Mit Hilfe der Common Criteria for Infor­mation Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allge­meinen Kriterien bezüglich ihrer Sicherheit bewerten. Als inter­na­tional anerkannter Standard steht Common Criteria im Interesse der wissen­schaft­lichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) anerkannte Prüfstelle.  SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zerti­fi­zierung vor.

Gastvortrag für die Studie­renden

Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certi­fi­ca­tions (Aspekte der Common Criteria Zerti­fi­zie­rungen). Der Vortrag infor­miert die Studie­renden über die grund­sätz­liche Heran­ge­hens­weise bei Produkt­zer­ti­fi­zie­rungen nach Common Criteria. Beleuchtet werden Infra­struk­turen in der Europäi­schen Union, bei denen auf eine Common Criteria Zerti­fi­zierung gesetzt wird. Auch die formale Seite mit den zustän­digen Zerti­fi­zie­rungs- und Anerken­nungs­stellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags.  Dabei finden Zerti­fi­zie­rungen nach Techni­schen Richt­linien des BSI, der ISO27001 bzw. den Krite­ri­en­werken der Payment Card Industry (PCI) Berück­sich­tigung.

NextGenPSD2-Zertifizierung

NextGenPSD2-Zerti­fi­zierung | SRC startet Audits für XS2A

Sind Sie bereit für eine Zerti­fi­zierung Ihrer NextGenPSD2-Imple­men­tierung?

Die überar­beitete Zahlungs­ver­kehrs­diens­te­richt­linie (PSD2) verpflichtet Banken, autori­sierten Dritt­an­bietern den Zugang zu Kunden­daten zu ermög­lichen. Diese Dritt­an­bieter (TPP) sollen über eine Program­mier­schnitt­stelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungs­in­iti­ie­rungs- und Konto­in­for­ma­ti­ons­dienste anzubieten. Die NextGenPSD2-Zerti­fi­zierung fördert die Imple­men­tierung auf eines einheit­lichen Standards.

Die meisten Banken und API-Anbieter in Europa imple­men­tieren die XS2A-Schnitt­stelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmo­ni­sierte Lösung zur Imple­men­tierung der PSD2 Vorgaben für die XS2A-Schnitt­stelle.

Die korrekte Imple­men­tierung der XS2A-Schnitt­stelle befreit das Institut von der Imple­men­tierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Imple­men­tation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfall­ka­talog, Compliance Best Practices und Testtool-Anfor­de­rungen. Das imple­men­tie­rende Institut bewertet seine Arbeit selbst. Damit ist die Imple­men­tierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigen­be­wertung gegenüber der Aufsichts­be­hörde (NCA) als ausrei­chend betrachtet wird.

Warum Sie eine NextGenPSD2-Zerti­fi­zierung durch­führen sollten?

Die Eigen­be­wertung der NextGenPSD2-Imple­men­tierung bietet bereits ein hohes Maß an Qualität. Unter­schied­liche Inter­pre­ta­tionen der Spezi­fi­kation können jedoch zu Inter­ope­ra­bi­li­täts­pro­blemen führen. Zwischen Banken und Dritt­an­bietern existiert derzeit kein dokumen­tiertes Verständnis über die genaue Imple­men­tierung der XS2A-Schnitt­stelle. Damit steigt die Wahrschein­lichkeit, dass die zuständige Aufsichts­be­hörde der Banken die Freistellung von der Imple­men­tierung einer Fallback-Schnitt­stel­len­lösung verweigert.

Aus dem Engagement bei Spezi­fi­kation und Imple­men­tierung der XS2A-Schnitt­stelle im Rahmen von NISP verfügt SRC über eine umfang­reiche und detail­lierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zerti­fi­zierung erarbeitet.

Wie läuft der Prozess zur NextGenPSD2-Zerti­fi­zierung ab?

Voraus­setzung für die NextGenPSD2-Zerti­fi­zierung sind der Testfall­ka­talog, das Imple­men­tie­rungs­profil und die Testspe­zi­fi­kation des imple­men­tie­renden Instituts. Diese Voraus­set­zungen nutzt SRC, um ein vollstän­diges Funktions‑, Sicher­heits- und Belas­tungs­audit der NextGenPSD2-Imple­men­tierung durch­zu­führen.

Audit-Validierung

In der Validierung wird die Imple­men­tierung gegen die Anfor­de­rungen der Dokumen­tation geprüft.

Funktio­naler Teil

Im Funkti­onsteil werden die Testspe­zi­fi­ka­tionen ausge­führt und die Ergeb­nisse überprüft.

Nicht-funktio­naler Teil

Im nicht-funktio­nalen Teil wird die Verfüg­barkeit der Imple­men­tierung (Stresstest) an relevanten Punkten ermittelt und bewertet.

Security Test

Im Security Test werden Methoden des Penetra­ti­ons­testens genutzt. Es wird überprüft, ob die Imple­men­tierung der XS2A-Schnitt­stelle Kunden­daten und Trans­ak­tionen ausrei­chenden Schutz vor Betrugs­ver­suchen bietet.

Die Zerti­fi­zierung wird in einem abschlie­ßenden Bericht dokumen­tiert. Wenn alle Anfor­de­rungen mindestens ausrei­chend erfüllt sind, erhält das Institut ein SRC-Zerti­fikat. Mit diesem Zerti­fikat kann die Konfor­mität der imple­men­tierten XS2A-Schnitt­stelle gegenüber Dritten und der Aufsichts­be­hörde nachge­wiesen werden. Auf Basis der ersten Zerti­fi­zierung können zukünftig ggf. Regres­si­ons­audits durch­ge­führt werden.

SRC-Beratungs­leis­tungen zur Entwick­lungs­op­ti­mierung oder zur Erstellung der Testspe­zi­fi­kation können zur Vorbe­reitung der NextGenPSD-Zerti­fi­zierung genutzt werden.

Warum SRC?

Als Mither­aus­geber des NextGenPSD2 Frame­works und des NISP Testing Frame­works verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbun­denen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testum­ge­bungen mit vielen lizen­zierten Auditoren für mehrere Funktions- und Sicher­heits­be­wer­tungen nach formalen Zerti­fi­zie­rungs­schemata. Infol­ge­dessen ist SRC in der Lage, mit überschau­barem Aufwand ein quali­tativ hochwer­tiges Audit durch­zu­führen.

Sie sind an einer NextGenPSD2 Zerti­fi­zierung inter­es­siert? Dann schreiben Sie an info@src-gmbh.de.

CDCVM

CDCVM | SRC als Sicher­heits­gut­achter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezah­lenden zweifelsfrei sicher­ge­stellt sein. Dazu fordern etablierte karten­ba­sierte Bezahl­ver­fahren den Bezah­lenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smart­phones imple­men­tierte Bezahl­systeme verlagern diese Prüfung vom Terminal des Händlers auf das Smart­phone des Bezah­lenden. Dabei kommen zunehmend biome­trische Verfahren, wie die Prüfung des Finger­ab­drucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Techno­logie.

Die Verei­nigung der inter­na­tio­nalen Zahlungs­systeme EMVCo treibt die Umsetzung von Standards für weltweite Inter­ope­ra­bi­lität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verifi­cation Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­rungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richt­linien für Funktions- und Leistungs­ver­halten von biome­tri­schen Authen­ti­fi­zie­rungs­ver­fahren im Zahlungs­verkehr fest. So wird eine einheit­liche Benut­zer­er­fahrung und globale Inter­ope­ra­bi­lität gefördert.

Mit der langjäh­rigen Akkre­di­tierung bei EMVCo, MasterCard und VISA greift SRC auf einen umfang­reichen Erfah­rungs­schatz bei der Sicher­heits­be­gut­achtung von Bezahl­lö­sungen zurück. SRC unter­stützt selbst­ver­ständlich auch den neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen. Lösungs­an­bietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begut­achtung ihrer mobilen Software-Imple­men­tie­rungen zu nutzen und eine erfolg­reiche Zerti­fi­zierung bei EMVCo zu durch­laufen.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 7. bis 10. Mai 2019

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits vier Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Möglichkeit sich in den Räumen der Bank-Verlag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 6. Mai 2019 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

Associate QSA

Associate QSA – die Ausbildung zum QSA

SRC bietet Mentoring-Programm für zukünftige Sicherheitsgutachter/innen

 

Die QSA-Zulassung – der bisherige, unstruk­tu­rierte Weg zum hochqua­li­fi­zierten Sicher­heits­gut­achter

Um Umgebungen, in denen Daten von Zahlkarten entge­gen­ge­nommen und/oder weiter verar­beitet werden, auf die Einhaltung des Sicher­heits­stan­dards PCI DSS prüfen zu können, ist eine umfang­reiche Erfahrung notwendig. Für die Erfüllung der entspre­chenden Vorbe­din­gungen für die Zulassung als PCI DSS-Gutachter (Qualified Security Assessor, QSA) – umfas­sende Berufs­er­fahrung, PCI DSS-spezi­fische Schulung und Prüfung sowie mindestens zwei weitere Akkre­di­tie­rungen im Bereich Infor­ma­ti­ons­si­cherheit und IT-Auditierung – gab es bisher keinen standar­di­sierten Weg.

Associate QSA – der begleitete Weg zum QSA

Mit dem neuen Associate QSA-Programm des Payment Card Industry Security Standards Council (PCI SSC) ist jetzt ein Weg definiert, über den neue Talente mit einem Grundmaß an Berufs­er­fahrung den Weg zur QSA-Zulassung beschreiten können.

Associate QSA werden dabei durch einen erfah­renen QSA als Mentor begleitet. Die Entwicklung und zuneh­mende Audit-Erfahrung des Associate QSA werden regel­mäßig reflek­tiert und dokumen­tiert. So wird kontrol­liert und sicher­ge­stellt, dass die Mitar­bei­terin oder der Mitar­beiter bis zum Erlangen der QSA-Akkre­di­tierung umfas­sende Erfahrung in allen relevanten Bereichen bekommt.

SRC bildet aus

Das SRC-Team ist dafür bekannt, Prüfstan­dards nicht nur als abzuar­bei­tende Check­listen anzusehen, sondern ihre Anwendung auf komplexe Umgebungen begründet herzu­leiten und den Kunden bei der Umsetzung und Inter­pre­tation möglichst praxisnah zu unter­stützen. Hierfür ist eine umfas­sende Fachkunde und Erfahrung in Kombi­nation mit einem ständigen Austausch mit anderen Experten notwendig.

SRC begrüßt daher die Definition eines schritt­weisen Vorgehens zur Ausbildung und Begleitung von Associate QSA, welches zum Aufbau einer entspre­chenden Quali­fi­kation beiträgt. SRC hat sich somit als Associate QSA-Firma regis­trieren lassen und bereits die erste Mitar­bei­terin als Associate QSA zugelassen. So soll auch in Zukunft die Qualität der Audits in den sich ständig verän­dernden Zahlungs­ver­kehrs-Umgebungen gewähr­leistet werden.

 

Konfomitätsbewertungsstelle

SRC erhält Akkre­di­tierung für Konfor­mi­täts­be­wer­tungs­stelle (KBS) nach ISO 17065

Im vergan­genen Monat hat die Deutsche Akkre­di­tie­rungs­stelle (DAkkS) der SRC Security Research & Consulting GmbH die Akkre­di­tierung für ihre Konfo­mi­täts­be­wer­tungs­stelle (KBS) nach ISO 17065 erteilt.

Diese Akkre­di­tierung gilt für die Konfor­mi­täts­be­wertung von (quali­fi­zierten) Vertrau­ens­diens­te­an­bietern, die Vertrau­ens­dienste gemäß den Anfor­de­rungen der Verordnung (EU) Nr. 910/2014 (eIDAS) quali­fi­zieren lassen möchten.

Die eIDAS-Verordnung enthält verbind­liche europaweit geltende Regelungen in den Bereichen „Elektro­nische Identi­fi­zierung“ und „Elektro­nische Vertrau­ens­dienste“. Mit der Verordnung werden einheit­liche Rahmen­be­din­gungen für die grenz­über­schrei­tende Nutzung elektro­ni­scher Identi­fi­zie­rungs­mittel und Vertrau­ens­dienste geschaffen.

Als EU-Verordnung ist diese unmit­telbar geltendes Recht in allen 28 EU-Mitglied­staaten sowie im Europäi­schen Wirtschaftsraum.

Bürostühle an einem Roundtable in einem Konferenzraum

Chancen & Risiken im Smart Metering

Beitrag von SRC zum Experten Round­table zu der Sicher­heits­per­spektive für Smart Metering

Am 22. August 2018 nahmen Dr. Deniz Ulucay und Dr. Jens Oberender, Senior Consultant bei SRC, am Experten Round­table in Köln teil. Sie wurde ausge­richtet vom eco – Verband der Inter­net­wirt­schaft und beschäf­tigte sich mit dem Thema  „Smart Energie: Nicht ohne mein „Smart Meter?“.

Zusam­men­ge­kommen waren Vertreter von Unter­nehmen, die mit der Umsetzung der Energie-Verordnung betraut sind. Liefe­ranten für Smart Meter Gateways waren ebenso vertreten wie Netzbe­treiber und Startups, etwa aus dem Bereich der Visua­li­sierung. In diesem Zusam­menhang leistete Dr. Oberender einen Impuls­beitrag. Ausgehend von den Erfah­rungen der Prüfstelle bei der Evaluation von Security Modules und Smart Meter Gateways, schildert der Senior Consultant Chancen und Risiken im Smart Metering. Mit einem risiko­ba­sierten Ansatz schil­derte er die voran­ge­gan­genen Aktivi­täten der Standar­di­sierer und zu nutzende Unter­neh­mens­chancen, aber auch deren Risiken.

Der vollständige Beitrag kann hier als PDF herun­ter­ge­laden werden. Für weitere Fragen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.