LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfka­talog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfka­talog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.

KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden

KI-Sicherheit: Das richtige Maß zur Regulierung von KI

Gerade wegen ihrem enormen Potential, ihren vielfäl­tigen Anwen­dungs­be­reichen und ihrer Lernfä­higkeit müssen Systeme der Künst­lichen Intel­ligenz (KI) gleich­zeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.

Sprach­as­sis­tenten, Überset­zungen auf Knopf­druck, Predictive Maintenance oder Bewer­ber­ma­nagement-Systeme. Trotz der vielfäl­tigen Anwen­dungs­ge­biete steht Künst­liche Intel­ligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatz­ge­biete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbes­se­rungen aufgrund der Nutzung künst­licher Intel­ligenz, Wettbe­werbs­vor­teile zu erzielen.

Neben weiteren Abstim­mungen steht nun in Zukunft viel Detail­arbeit an; es sind die entspre­chenden Normen und Standards auszu­ar­beiten bzw. anzupasen und Verfahren zur Konfor­mi­täts­be­wertung zu entwi­ckeln. Dabei sollte der organi­sa­to­rische und technische Aufwand für die Hersteller in einem angemes­senen Rahmen gehalten werden, um die Entwick­lungen von KI-Systemen nicht zu behindern. Gleich­zeitig gilt es aber auch, das wirtschaft­liche und gesell­schaft­liche Vertrauen in diese vielver­spre­chende Techno­logie zu gewinnen.

Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontakt­auf­nahme.

BSZ

IT-Sicher­heits­gesetz 2.0 vom Bundesrat gebilligt

Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicher­heits­gesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundes­in­nen­mi­nister Horst Seehofer sprach diesbe­züglich von einem „guten Tag für die Cyber­si­cherheit in Deutschland“. Er kommen­tierte: „Die Digita­li­sierung durch­dringt alle Lebens­be­reiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutz­me­cha­nismen & Abwehr­stra­tegien müssen Schritt halten – dazu dient das IT-Sicher­heits­gesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegen­stand des Regie­rungs­ent­wurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben aller­dings Modifi­ka­tionen im Detail erfahren. So erscheint die weiterhin branchenweit anhal­tende Kritik am IT-Sicher­heits­gesetz 2.0 wenig verwunderlich.

Erwei­terte Befug­nisse für das BSI, Bestands­da­ten­aus­künfte und  sog. „Huawei-Klausel“

Ein zentraler Aspekt des neuen IT-Sicher­heits­ge­setzes sind die erwei­terten Befug­nisse für das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Verbes­se­rungen gibt es im Geset­zes­entwurf immerhin bei der Konkre­ti­sierung überge­ord­neter Schutz­ziele und der daran ausge­rich­teten Arbeit des BSI. Zudem soll der Umgang mit Schwach­stellen und Sicher­heits­lücken trans­pa­renter werden. Durch das neue Gesetz soll das BSI zum wesent­lichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schad­software werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.

Detektion von Sicherheitslücken

Das BSI wird befugt, Sicher­heits­lücken an den Schnitt­stellen von IT-Systemen zu öffent­lichen Telekom­mu­ni­ka­ti­ons­netzen mithilfe von Portscans zu detek­tieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schad­pro­grammen und Angriffs­me­thoden dienen.

Speicherung und Einholung von Bestands- und Protokolldaten

Insbe­sondere daten­schutz­kri­tisch kommt hinzu, dass bei der Online-Kommu­ni­kation zwischen Bürgern und Verwal­tungs­ein­rich­tungen des Bundes anfal­lende „Proto­koll­daten“ und perso­nen­be­zogene Nutzer­in­for­ma­tionen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespei­chert und ausge­wertet werden dürfen. Dazu zählen auch interne „Proto­kol­lie­rungs­daten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekom­mu­ni­ka­ti­ons­diensten Bestands­da­ten­aus­künfte einholen. Dies soll dem Schutz von Betrof­fenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.

Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern

Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Geset­zes­no­velle. Die Bundes­re­gierung soll damit den Einsatz „kriti­scher Kompo­nenten“ bei „voraus­sicht­lichen Beein­träch­ti­gungen der öffent­lichen Sicherheit und Ordnung“ unter­sagen können. Zu diesem Zweck kommt eine Zerti­fi­zie­rungs­pflicht und Hersteller müssen eine Garan­tie­er­klärung abgeben.

Das BSI twittert diesbe­züglich im Sinne eines „Selbst­ver­ständ­nisses“, dass Sicher­heits­lücken trans­parent kommu­ni­ziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Infor­ma­tionen zu Digital­themen versorgt werden und Kriti­schen Infra­struk­turen mit engma­schiger Beratung und Aufsicht zur Seite gestanden wird.

Stärkung des Verbrau­cher­schutzes und mehr Sicherheit für Unternehmen

Darüber hinaus enthält das neue IT-Sicher­heits­gesetz Regelungen zur Stärkung des Verbrau­cher­schutzes und zur Erhöhung der Sicherheit für Unter­nehmen. Dazu wird der Verbrau­cher­schutz in den Aufga­ben­ka­talog des BSI aufge­nommen. Des Weiteren soll ein einheit­liches IT-Sicher­heits­kenn­zeichen in Zukunft Verbrau­chern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicher­heits­stan­dards einhalten.

Im Sinne der Erhöhung der Unter­neh­mens­si­cherheit müssen Betreiber Kriti­scher Infra­struk­turen sowie künftig auch weitere Unter­nehmen im beson­deren öffent­lichen Interesse (z.B. Rüstungs­her­steller oder Unter­nehmen mit besonders großer volks­wirt­schaft­licher Bedeutung) bestimmte IT-Sicher­heits­maß­nahmen umsetzen und werden in den vertrau­ens­vollen Infor­ma­ti­ons­aus­tausch mit dem BSI einbezogen.

Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung (BSI-KritisV) veröffentlicht

Das IT-SiG 2.0 verweist nicht nur auf die Kritis­ver­ordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überra­schend, dass am 26. April 2021 das Bundes­in­nen­mi­nis­terium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissen­schaft veröf­fent­licht hat. Entspre­chende Stellung­nahmen sind bis zum 17. Mai 2021 einzureichen.

Der Referen­ten­entwurf enthält erheb­liche inhalt­liche Änderungen und Anpas­sungen sowie Neuein­fü­gungen in den einzelnen Anhängen zur Bestimmung der Anlagen­ka­te­gorien und konkreten Schwel­len­werte, insbe­sondere teilweise auch der einzelnen zahlen­mä­ßigen Bemes­sungs­kri­terien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kriti­schen Dienst­leistung notwendig sind, als Anlagen im Sinne der Verordnung identi­fi­ziert. Außerdem wird der Handel mit Wertpa­pieren und Derivaten als neue kritische Dienst­leistung aufgenommen.

Unter­stützung von SRC-Experten

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI veröf­fent­licht CC-Zerti­fikate von Konnek­toren im Gesundheitswesen

Im Rahmen der Telema­tik­in­fra­struktur der gematik koordi­niert und verschlüsselt ein Konnektor die Kommu­ni­kation zwischen Client­system, eGK, HBA/SMC und zentraler Telema­tik­in­fra­struktur. Er stellt damit das Binde­glied zwischen diesen Kompo­nenten auf der dezen­tralen Leistungs­er­brin­ger­seite und der zentralen Telema­tik­in­fra­struktur dar.

Ein Konnektor erfüllt Sicher­heits­an­for­de­rungen, die in entspre­chenden Schutz­pro­filen nieder­gelegt worden sind.

Der Konnektor in der Produkt­typ­version 3 umfasst folgende Komponenten:

  • den Netzkon­nektor,
  • den Anwen­dungs­kon­nektor inkl. einer Signaturanwendung,
  • die Fachmodule „Versi­cher­ten­stamm­da­ten­ma­nagement“ (VSDM), „Notfall­da­ten­ma­nagement“ (NFDM) und „Arneimitteltherapiesicherheit/elektr. Medika­ti­onsplan“ (AMTS/eMP).

SRC hat den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma Research Indus­trial Systems Engineering (RISE) Forschungs‑, Entwick­lungs- und Großpro­jekt­be­ratung GmbH erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.

Außerdem hat SRC den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma secunet Security Networks AG erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.

Für Fragen zu Common Criteria oder anderen Evalua­tionen sprechen Sie uns gerne an.

Zertifizierung von fiskaly Cloud Crypto Service Provider

Zerti­fi­zierung von fiskaly Cloud Crypto Service Provider

Die Abgaben­ordnung sieht u.a. eine Kombi­nation von techni­schen und organi­sa­to­ri­schen Maßnahmen vor, um Manipu­la­tionen digitaler Grund­auf­zeich­nungen wirksam zu verhindern. Kernstück der Abgaben­ordnung bildet eine zerti­fi­zierte Techni­schen Sicher­heits­ein­richtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grund­auf­zeich­nungen gegen nachträg­liche Manipu­la­tionen. Die Zerti­fi­zierung hat zum Ziel ein einheit­liches Mindest­niveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwen­diger Inter­ope­ra­bi­li­täts­an­for­de­rungen sicherzustellen.

Kassen­systeme führen digitale Grund­auf­zeich­nungen in o.g. Sinne durch. Daher sind in der Kassen­si­che­rungs­ver­ordnung des Bundes­mi­nis­terium der Finanzen Vorgaben für die Zerti­fi­zierung von TSEs präzi­siert, wlche vom vom BSI entspre­chend umgesetzt worden sind. Hierzu zählen detail­lierte Anfor­de­rungen an das Sicher­heits­modul, das Speicher­medium, die digitale Schnitt­stelle sowie die elektro­nische Aufbe­wahrung, die in Form von mehreren techni­schen Richt­linien und Schutz­profile veröf­fent­licht wurden.

Die zentrale Sicher­heits-Kompo­nente einer TSE ist ein sog. Crypto­graphic Service Provider, kurz: CSP). Hierbei handelt es sich um die Kompo­nentem, die die krypto­gra­phi­schen Signatur-Opera­tionen ausführt und wesent­liche Kompi­nenten wie krypto­gra­phische Schlüssel und weitere Parameter sicher verwaltet.

Das BSI hat den CSP Light von fiskaly aufgrund der Evalua­ti­ons­er­geb­nisse der SRC zerti­fi­ziert. Dieser CSP Light ist als Cloud Service imple­men­tiert, um eine Einbindung in Netzwerke zu ermöglichen.

CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzel­platz­sys­temem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.

PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­on­n­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.

Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen

Wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen

„Die Bedeutung von Krypto­wäh­rungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulie­rungs­fragen nutzen, um sich eine gute Ausgangs­po­sition auf dem Markt der Dienst­leis­tungen für Krypto­wäh­rungen wie beispiels­weise Schlüs­sel­ver­wahrung zu verschaffen. Durch ihre bereits bestehenden Kompe­tenzen im Umgang mit krypto­gra­phi­schen Verfahren, z. B. in der Autori­sierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der techni­schen Voraus­set­zungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschie­nenen Artikel die Chancen für Banken und Finanz­dienst­leister hinsichtlich der Entwicklung von Kryptowährungen.

Gibt es Abhän­gig­keiten zum Digitalen Euro?

Das zuneh­mende Interesse an Krypto­wäh­rungen ist – neben dem in den letzten Tagen zu beobach­tenden rasanten Anstieg des Euro Gegen­wertes zu einem Bitcoin – auch in Zusam­menhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kredit­wirt­schaft (DK) – wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Dabei sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen angestrebt werden, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann.

Neue Chancen bei der Digita­li­sierung der Geschäftsprozesse

Institute stehen vor der Heraus­for­derung, ihre Sicht­barkeit in diesem neuen Markt­segment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren zu können. Mittel­fristig kann das generell wachsenden Interesse an Krypto­wäh­rungen auch Chancen für Institute ergeben, die z. B. ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Weitere Literatur

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­experten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Kryptowährung EZB Digitaler Euro

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Paymen­t­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.