Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicherheitsgesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundesinnenminister Horst Seehofer sprach diesbezüglich von einem „guten Tag für die Cybersicherheit in Deutschland“. Er kommentierte: „Die Digitalisierung durchdringt alle Lebensbereiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutzmechanismen & Abwehrstrategien müssen Schritt halten – dazu dient das IT-Sicherheitsgesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben allerdings Modifikationen im Detail erfahren. So erscheint die weiterhin branchenweit anhaltende Kritik am IT-Sicherheitsgesetz 2.0 wenig verwunderlich.
Erweiterte Befugnisse für das BSI, Bestandsdatenauskünfte und sog. „Huawei-Klausel“
Ein zentraler Aspekt des neuen IT-Sicherheitsgesetzes sind die erweiterten Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbesserungen gibt es im Gesetzesentwurf immerhin bei der Konkretisierung übergeordneter Schutzziele und der daran ausgerichteten Arbeit des BSI. Zudem soll der Umgang mit Schwachstellen und Sicherheitslücken transparenter werden. Durch das neue Gesetz soll das BSI zum wesentlichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schadsoftware werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.
Detektion von Sicherheitslücken
Das BSI wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schadprogrammen und Angriffsmethoden dienen.
Speicherung und Einholung von Bestands- und Protokolldaten
Insbesondere datenschutzkritisch kommt hinzu, dass bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallende „Protokolldaten“ und personenbezogene Nutzerinformationen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespeichert und ausgewertet werden dürfen. Dazu zählen auch interne „Protokollierungsdaten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einholen. Dies soll dem Schutz von Betroffenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.
Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern
Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Gesetzesnovelle. Die Bundesregierung soll damit den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen können. Zu diesem Zweck kommt eine Zertifizierungspflicht und Hersteller müssen eine Garantieerklärung abgeben.
Das BSI twittert diesbezüglich im Sinne eines „Selbstverständnisses“, dass Sicherheitslücken transparent kommuniziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Informationen zu Digitalthemen versorgt werden und Kritischen Infrastrukturen mit engmaschiger Beratung und Aufsicht zur Seite gestanden wird.
Stärkung des Verbraucherschutzes und mehr Sicherheit für Unternehmen
Darüber hinaus enthält das neue IT-Sicherheitsgesetz Regelungen zur Stärkung des Verbraucherschutzes und zur Erhöhung der Sicherheit für Unternehmen. Dazu wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Des Weiteren soll ein einheitliches IT-Sicherheitskennzeichen in Zukunft Verbrauchern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Im Sinne der Erhöhung der Unternehmenssicherheit müssen Betreiber Kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht
Das IT-SiG 2.0 verweist nicht nur auf die Kritisverordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überraschend, dass am 26. April 2021 das Bundesinnenministerium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissenschaft veröffentlicht hat. Entsprechende Stellungnahmen sind bis zum 17. Mai 2021 einzureichen.
Der Referentenentwurf enthält erhebliche inhaltliche Änderungen und Anpassungen sowie Neueinfügungen in den einzelnen Anhängen zur Bestimmung der Anlagenkategorien und konkreten Schwellenwerte, insbesondere teilweise auch der einzelnen zahlenmäßigen Bemessungskriterien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung identifiziert. Außerdem wird der Handel mit Wertpapieren und Derivaten als neue kritische Dienstleistung aufgenommen.
Unterstützung von SRC-Experten
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
Lancom 1900EF VPN Router erhält erste Beschleunigte Sicherheitszertifizierung (BSZ)
Das BSI hat der LANCOM Systems GmbH das erste Zertifikat nach dem neuen BSI-Schema „Beschleunigte Sicherheitszertifizierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicherheitseigenschaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.
LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evaluierungen oder Penetrationstests prüfen und bestätigen bzw. zertifizieren lassen. Mit der Pilotevaluierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zertifizierungsstandard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markteinführung des Produktes das erforderliche Sicherheitsniveau zu gewährleisten.
Die Beschleunigte Sicherheitszertifizierung (BSZ) erlaubt Herstellern in einem festgelegten Zeitraum ihre Produkte evaluieren und vom BSI zertifizieren zu lassen. Dabei muss die Evaluierung von einer vom BSI anerkannten Prüfstelle durchgeführt werden. Bei der BSZ ist der Gesamtaufwand der Evaluierung, im Vergleich zu z.B. Common Criteria Evaluierungen von Anfang an vorgegeben (Fixed Time). So können Hersteller den zu erwartenden Aufwand gut einschätzen.
Beim Design der Angriffsszenarien gesteht die BSZ den Evaluatoren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detailliert dargelegt werden. Dieser Gestaltungsspielraum fordert ein überdurchschnittliches Maß an Sachkunde, Sorgfalt und Kreativität sowohl von der Institution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschließende Bewertung im Prüfbericht schöpfen aus einem breiten Know-how an z.B. Kryptographie, Penetrationstests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verantwortlichen bei SRC müssen diese gegenüber der kritischen Betrachtung des BSI verteidigen.
„Besonders in dem Feld der IoT-Geräte wird die Beschleunigte Sicherheitszertifizierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäftsführer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Professionalität auf allen Seiten, mit der dieses Pilotverfahren letztlich zu einem erfolgreichen Abschluss gebracht wurde.
Ralf Koenzen, Gründer und Geschäftsführer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orientierung und spürbare Erleichterung.“
Als langjähriger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unterschiedlichsten Zulassungsschemata durchgeführt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleunigte Sicherheitszertifizierung.
Gern begleiten wir auch Ihre Beschleunigte Sicherheitszertifizierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.
KI-Sicherheit: Das richtige Maß zur Regulierung von KI
Gerade wegen ihrem enormen Potential, ihren vielfältigen Anwendungsbereichen und ihrer Lernfähigkeit müssen Systeme der Künstlichen Intelligenz (KI) gleichzeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.
Sprachassistenten, Übersetzungen auf Knopfdruck, Predictive Maintenance oder Bewerbermanagement-Systeme. Trotz der vielfältigen Anwendungsgebiete steht Künstliche Intelligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatzgebiete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbesserungen aufgrund der Nutzung künstlicher Intelligenz, Wettbewerbsvorteile zu erzielen.
Neben weiteren Abstimmungen steht nun in Zukunft viel Detailarbeit an; es sind die entsprechenden Normen und Standards auszuarbeiten bzw. anzupasen und Verfahren zur Konformitätsbewertung zu entwickeln. Dabei sollte der organisatorische und technische Aufwand für die Hersteller in einem angemessenen Rahmen gehalten werden, um die Entwicklungen von KI-Systemen nicht zu behindern. Gleichzeitig gilt es aber auch, das wirtschaftliche und gesellschaftliche Vertrauen in diese vielversprechende Technologie zu gewinnen.
Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.
Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.
IT-Sicherheitsgesetz 2.0 vom Bundesrat gebilligt
Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicherheitsgesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundesinnenminister Horst Seehofer sprach diesbezüglich von einem „guten Tag für die Cybersicherheit in Deutschland“. Er kommentierte: „Die Digitalisierung durchdringt alle Lebensbereiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutzmechanismen & Abwehrstrategien müssen Schritt halten – dazu dient das IT-Sicherheitsgesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben allerdings Modifikationen im Detail erfahren. So erscheint die weiterhin branchenweit anhaltende Kritik am IT-Sicherheitsgesetz 2.0 wenig verwunderlich.
Erweiterte Befugnisse für das BSI, Bestandsdatenauskünfte und sog. „Huawei-Klausel“
Ein zentraler Aspekt des neuen IT-Sicherheitsgesetzes sind die erweiterten Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbesserungen gibt es im Gesetzesentwurf immerhin bei der Konkretisierung übergeordneter Schutzziele und der daran ausgerichteten Arbeit des BSI. Zudem soll der Umgang mit Schwachstellen und Sicherheitslücken transparenter werden. Durch das neue Gesetz soll das BSI zum wesentlichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schadsoftware werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.
Detektion von Sicherheitslücken
Das BSI wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schadprogrammen und Angriffsmethoden dienen.
Speicherung und Einholung von Bestands- und Protokolldaten
Insbesondere datenschutzkritisch kommt hinzu, dass bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallende „Protokolldaten“ und personenbezogene Nutzerinformationen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespeichert und ausgewertet werden dürfen. Dazu zählen auch interne „Protokollierungsdaten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einholen. Dies soll dem Schutz von Betroffenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.
Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern
Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Gesetzesnovelle. Die Bundesregierung soll damit den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen können. Zu diesem Zweck kommt eine Zertifizierungspflicht und Hersteller müssen eine Garantieerklärung abgeben.
Das BSI twittert diesbezüglich im Sinne eines „Selbstverständnisses“, dass Sicherheitslücken transparent kommuniziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Informationen zu Digitalthemen versorgt werden und Kritischen Infrastrukturen mit engmaschiger Beratung und Aufsicht zur Seite gestanden wird.
Stärkung des Verbraucherschutzes und mehr Sicherheit für Unternehmen
Darüber hinaus enthält das neue IT-Sicherheitsgesetz Regelungen zur Stärkung des Verbraucherschutzes und zur Erhöhung der Sicherheit für Unternehmen. Dazu wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Des Weiteren soll ein einheitliches IT-Sicherheitskennzeichen in Zukunft Verbrauchern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Im Sinne der Erhöhung der Unternehmenssicherheit müssen Betreiber Kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht
Das IT-SiG 2.0 verweist nicht nur auf die Kritisverordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überraschend, dass am 26. April 2021 das Bundesinnenministerium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissenschaft veröffentlicht hat. Entsprechende Stellungnahmen sind bis zum 17. Mai 2021 einzureichen.
Der Referentenentwurf enthält erhebliche inhaltliche Änderungen und Anpassungen sowie Neueinfügungen in den einzelnen Anhängen zur Bestimmung der Anlagenkategorien und konkreten Schwellenwerte, insbesondere teilweise auch der einzelnen zahlenmäßigen Bemessungskriterien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung identifiziert. Außerdem wird der Handel mit Wertpapieren und Derivaten als neue kritische Dienstleistung aufgenommen.
Unterstützung von SRC-Experten
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig
Offene Schnittstellen, veraltete Technik und unterschiedliche Interessenlagen: IT-Sicherheit im Gesundheitswesen ist ein komplexes Thema, schließlich geht es um die Bedürfnisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundesinstitut für Arzneimittel und Medizintechnik und dem Bundesamt für Sicherheit in der Informationstechnik dar – aktuell gibt es lediglich Empfehlungen aber keine verbindlichen Richtlinien.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und die gematik sind die zuständigen Stellen für IT-Sicherheit von Medizinprodukten in Deutschland. Es muss sichergestellt werden, dass Unberechtigte die IT in medizinischen Geräten und Systemen nicht gegen den Patienten nutzen können und Komponenten und System nur Berechtigten offen stehen. Hier können auf IT-Sicherheit spezialisierte Unternehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicherheitsstandards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überregulierung kann Schaden bringen.
Unter dem Titel „IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichsleiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.
Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.
BSI veröffentlicht CC-Zertifikate von Konnektoren im Gesundheitswesen
Im Rahmen der Telematikinfrastruktur der gematik koordiniert und verschlüsselt ein Konnektor die Kommunikation zwischen Clientsystem, eGK, HBA/SMC und zentraler Telematikinfrastruktur. Er stellt damit das Bindeglied zwischen diesen Komponenten auf der dezentralen Leistungserbringerseite und der zentralen Telematikinfrastruktur dar.
Ein Konnektor erfüllt Sicherheitsanforderungen, die in entsprechenden Schutzprofilen niedergelegt worden sind.
Der Konnektor in der Produkttypversion 3 umfasst folgende Komponenten:
SRC hat den Netz- und Anwendungskonnektor in der Produkttypversion 3 der Firma Research Industrial Systems Engineering (RISE) Forschungs‑, Entwicklungs- und Großprojektberatung GmbH erfolgreich evaluiert. Die Zertifikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.
Außerdem hat SRC den Netz- und Anwendungskonnektor in der Produkttypversion 3 der Firma secunet Security Networks AG erfolgreich evaluiert. Die Zertifikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.
Für Fragen zu Common Criteria oder anderen Evaluationen sprechen Sie uns gerne an.
Zertifizierung von fiskaly Cloud Crypto Service Provider
Die Abgabenordnung sieht u.a. eine Kombination von technischen und organisatorischen Maßnahmen vor, um Manipulationen digitaler Grundaufzeichnungen wirksam zu verhindern. Kernstück der Abgabenordnung bildet eine zertifizierte Technischen Sicherheitseinrichtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grundaufzeichnungen gegen nachträgliche Manipulationen. Die Zertifizierung hat zum Ziel ein einheitliches Mindestniveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwendiger Interoperabilitätsanforderungen sicherzustellen.
Kassensysteme führen digitale Grundaufzeichnungen in o.g. Sinne durch. Daher sind in der Kassensicherungsverordnung des Bundesministerium der Finanzen Vorgaben für die Zertifizierung von TSEs präzisiert, wlche vom vom BSI entsprechend umgesetzt worden sind. Hierzu zählen detaillierte Anforderungen an das Sicherheitsmodul, das Speichermedium, die digitale Schnittstelle sowie die elektronische Aufbewahrung, die in Form von mehreren technischen Richtlinien und Schutzprofile veröffentlicht wurden.
Die zentrale Sicherheits-Komponente einer TSE ist ein sog. Cryptographic Service Provider, kurz: CSP). Hierbei handelt es sich um die Komponentem, die die kryptographischen Signatur-Operationen ausführt und wesentliche Kompinenten wie kryptographische Schlüssel und weitere Parameter sicher verwaltet.
Das BSI hat den CSP Light von fiskaly aufgrund der Evaluationsergebnisse der SRC zertifiziert. Dieser CSP Light ist als Cloud Service implementiert, um eine Einbindung in Netzwerke zu ermöglichen.
CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzelplatzsystemem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.
PCI DSS v4.0‑Veröffentlichung verzögert sich
Seit 2019 ist die Veröffentlichung einer neuen, grundlegend überarbeiteten Version des Zahlungsverkehrsstandards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.
Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durchlaufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgeltenden Dokumente, insbesondere
im Juni 2021 einer RFC-Phase zu unterziehen. Damit wird sich aber auch die Veröffentlichung des PCI DSS v4.0 weiter verzögern.
Statt des angekündigten Veröffentlichungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröffentlicht wird, ist noch nicht genauer festgelegt.
Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzögerung der Veröffentlichung verschieben sich ebenso die geplanten Übergangsfristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.
Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen
„Die Bedeutung von Kryptowährungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulierungsfragen nutzen, um sich eine gute Ausgangsposition auf dem Markt der Dienstleistungen für Kryptowährungen wie beispielsweise Schlüsselverwahrung zu verschaffen. Durch ihre bereits bestehenden Kompetenzen im Umgang mit kryptographischen Verfahren, z. B. in der Autorisierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der technischen Voraussetzungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschienenen Artikel die Chancen für Banken und Finanzdienstleister hinsichtlich der Entwicklung von Kryptowährungen.
Gibt es Abhängigkeiten zum Digitalen Euro?
Das zunehmende Interesse an Kryptowährungen ist – neben dem in den letzten Tagen zu beobachtenden rasanten Anstieg des Euro Gegenwertes zu einem Bitcoin – auch in Zusammenhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kreditwirtschaft (DK) – wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Dabei sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen angestrebt werden, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann.
Neue Chancen bei der Digitalisierung der Geschäftsprozesse
Institute stehen vor der Herausforderung, ihre Sichtbarkeit in diesem neuen Marktsegment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienstleistern reagieren zu können. Mittelfristig kann das generell wachsenden Interesse an Kryptowährungen auch Chancen für Institute ergeben, die z. B. ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
Weitere Literatur
Operational Resilience – Anforderungen an die Cyber-Widerstandsfähigkeit von Instituten
Aktuelle Schwerpunktthemen: Operational Resilience und Cybersicherheit
Angriffe auf das Finanzsystem können schwerwiegende Folgen haben – nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit. Auch Experten der Bundesbank, Sicherheitsexperten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Widerstandsfähigkeit gegen ebensolche als größte Gefahr, die sich aus der zunehmenden Digitalisierung im Finanzsektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetzliche und regulatorische Rahmenbedingungen geschaffen, um im gesamten Finanzsektor europaweit einheitliche Standrads zu schaffen und die „Operational Resilience“ zu erhöhen.
Sowohl für die EZB als auch für die BaFin stand das Jahr 2020 unter dem Schwerpunkt „Operational Resilience“ und „Cybersicherheit“. Zudem wurde auf europäischer Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröffentlichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Operational Resilience Act) ihre Anforderungen an Betriebsstabilität und Cybersicherheit.
Für die Verantwortlichen stellt sich die Frage, wie diese verschiedenen Aktivitäten zusammenspielen und – noch viel relevanter – wie effizient diese zur Zielerreichung beitragen.
Novellierung MaRisk und BAIT – Operative IT-Sicherheit
Auf nationaler Ebene veröffentlichte die BaFin im Oktober letzten Jahres mit der Novellierung von MaRisk und BAIT ihre Ansätze zur Adressierung von operativen IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erweiterung der BAIT-Anforderungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formulierten konkreten Anforderungen stellen kleinere und mittlere Institute wahrscheinlich vor große Herausforderungen, da sie auf den Betrieb eines Security Information and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Operations Centers (SOC) sowie regelmäßige interne Abweichungsanalysen, Schwachstellenscans, Penetrationstests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer professionellen Cyber-Security-Abteilung sowie unabhängiger interner Informationssicherheitsstrukturen. Dies wird die betroffenen Institute schon allein aufgrund des erforderlichen Know-hows und der begrenzten Ressourcen auf dem Arbeitsmarkt vor große Herausforderungen stellen. Als weiterer Schwerpunkt wird das Notfallmanagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.
Das TIBER-Programm von EZB und Bundesbank
Bereits im Jahr 2018 haben die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetrationstests angestrebt. Die deutliche Zurückhaltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwändigen Projektumfang, die nicht unwesentlichen Risiken und zuletzt auch durch die „Freiwilligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte anderweitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.
Digital Operational Resilience Act (DORA) der EU
Die Veröffentlichung des Digital Finance Package enthält mit dem EU regulatory framework on digital operational resilience einen umfassenden Legislativvorschlag zur europaweiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebsstabilität, die allerdings dem grenzüberschreitenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmentierung auch die Gefahr der Inkonsistenzen und ist zudem mit zusätzlichen hohen Aufwänden für europaweit agierende Institute verbunden.
Hier ist es also sehr wünschenswert, mit DORA einheitliche Regelungen, insbesondere zum Risikomanagement, Testen, Auslagerung Notfall- und Incident-Management, anzustreben. Neben der Verbesserung und Optimierung der Widerstandsfähigkeit der eingesetzten IT-Systemen wird hier sicherlich auch ein signifikant verminderter Verwaltungsaufwand auf Seiten der Institute zu beobachten sein.
Gemeinsam die Cyber-Widerstandsfähigkeit erhöhen
Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswirkungen auf gesetzlicher und regulatorischer Ebene aus. Gemeinsam analysieren wir Ihren Handlungsbedarf und unterstützen Sie bei der Umsetzung. Wir bewerten die Novellierung MaRisk und BAIT für Ihr Institut, unterstützen bei der Vorbereitung, Durchführung und Analyse von TIBER-Tests und analysieren die geplanten Anforderungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten zurückgreifen.
Kryptowährungen – Wie und wann kommt ein Digitaler Euro?
Am 12. Januar 2021 endete die öffentliche Befragung der Europäischen Zentralbank (EZB) zum Digitalen Euro. Basierende auf eingegangen Stellungnahmen wird im Sommer 2021 eine grundsätzliche Weichenstellung zur Weiterführung dieses Großprojektes erwartet. In diesem Zusammenhang werden auch die Entwicklungen der privatwirtschaftlichen Kryptowährungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivitäten anderer Zentralbanken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.
Stellungnahme der Deutschen Kreditwirtschaft
Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme zum Digitalen Euro die Aktivitäten der EZB begrüßt und Unterstützung bei der Ausgestaltung und Projektierung zugesagt.
Überwiegend positiver Tenor
Der Tenor der Stellungnahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokenisierungslösungen, z. B. durch Distributed-Ledger-Technologie (DLT), ermöglicht die Umsetzung innovativer Zahlungsverkehrslösungen. Denkbar sind in diesem Zusammenhang die Nutzung von Smart Contracts und Micropayments, Angebot wie „Blockchain as a Service“, „Smart Contracts as a Service“ oder Paymentangebote im Internet-of-Things (IoT).
Klärungsbedarf
Kritisch wird gesehen, dass das bewährte zweistufige Bankensystem mit Zentralbank und Geschäftsbanken in Frage gestellt werden könnte. Diese Konstellation ist aus Sicht der DK essentiell wichtig für die Geldmarktstabilität, die Versorgung der Unternehmen und Privatpersonen mit Krediten sowie die Akzeptanz und das Vertrauen in die herausgegebenen Zahlungsmittel. Das etablierte Bankensystem wird als entscheidender Baustein für ein kontinuierliches Wirtschaftswachstum angesehen.
Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Implikationen sich daraus ergeben könnten. Zu diesem Verordnungsvorschlag der EZB gibt es ebenfalls eine Stellungnahme der DK.
Weiterer Klärungsbedarf besteht bzgl. einiger Regulierungsfragen. Hier schlägt die DK eine Orientierung an den bestehenden Standards vor. Alle Beteiligten sollten mindestens die Anforderungen aus
Offen bleibt auch, ob für die digitale Währung gleichfalls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.
Aus Sicht der DK sind die Rechtssicherheit, einheitliche Vorgaben für ein tokenbasiertes Giralgeld und ein angemessener Regulierungsstandard die Grundvoraussetzungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.
Handlungsoptionen für Zahlungsinstitute
Die Diskussion zum digitalen Euro muss im Zusammenhang mit der generellen Bedeutungszunahme von Kryptowährungen gesehen werden. Längst haben viele Unternehmen erkannt, dass die Distributed Ledger-Technologie dabei helfen kann, komplexe Lieferbeziehungen effizient zu digitalisieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Technologie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Kryptowährungen genutzt werden. Für Zahlungsinstitute ergibt sich mit dem generell wachsenden Interesse an Kryptowährungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Kryptowährungen anzubieten. Darüber hinaus können sich möglicherweise auch Chancen für Institute ergeben, die ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.