Nach einem längeren Stillstand ist nun wieder Bewegung in die Diskussion um das IT-Sicherheitsgesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referentenentwurf durch das Bundesministeriums des Innern, für Bau und Heimat (BMI) veröffentlicht.
Aktueller Status der Novellierung
Die Novellierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die rechtlichen Anforderungen beim Einsatz von technischen Produkten aus Drittländern durch Betreiber von kritischen Infrastrukturen. Der nun vorliegende dritte Referentenentwurf ist nun bereit, in die Ressortabstimmung zu gehen. Eine Verabschiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.
Welche Schwerpunkte setzt der Gesetzesentwurf?
Schwerpunkte des neuen Referentenentwurfs sind die Bedrohungen für die Cybersicherheit. Daneben werden auch die Befugnisse des BSI erweitert werden und neue Aufgabenfelder, z.B. als nationale Cybersicherheitszertifizierungsbehörde mit der Umsetzung von aktiven Detektionsmaßnahmen.
Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kritischen Komponenten enthalten:
„Der Einsatz einer kritischen Komponente (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben“.
Kritische Komponenten sind insbesondere solche IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Für TK-Netzbetreiber oder TK-Diensteerbringer werden diese Komponenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entsprechenden BSI-Katalog konkretisiert.
Es dürfen nur kritische Komponenten eingesetzt werden, deren Hersteller eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Garantieerklärung). Das BMI legt die Mindestanforderungen für die Garantieerklärung unter Berücksichtigung überwiegender öffentlicher Interessen, insbesondere sicherheitspolitischer Belange, fest. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können.
Hier entsteht eine neue Anzeigepflicht für die Betreiber der Komponenten. Bisher mussten die Hersteller beim BSI eine Zertifizierung dieser Komponenten beantragen. Diese neue Listung von kritischen Komponenten enthält hochsensible Angriffsziele. Erfolgreiche Angriffe durch Hacker oder Geheimdienste können den kritischen Infrastrukturen in der Bundesrepublik nachhaltig schaden.
Auch die Diskussion um Anforderungen an die eingesetzten IT-Produkte, Identifizierungs- und Authentisierungsverfahren und deren Bewertung hinsichtlich der Informationssicherheit wird aufgenommen und konkretisiert. Diese Vorgaben münden in die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Hinzugekommen sind Anforderungen an Verbraucherschutz und Verbraucherinformation.
Fazit
Es bleibt abzuwarten, ob dieser Zeitplan eingehalten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbesserung, weil Konkretisierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evaluierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte stattfinden sollen, immer noch aussteht.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
Die Bedeutung von Penetrationstests für die Sicherheit von Unternehmen16. April 2024 - 8:48
SRC und die DAkkS-Akkreditierung nach ISO/IEC EN 17025: Ein wichtiger Schritt in Richtung EUCC 31. Januar 2024 - 12:23
SRC ist dem Bundesverband IT Sicherheit (TeleTrusT) angeschlossen4. Januar 2024 - 11:22
Kryptowährungen – Wie und wann kommt ein Digitaler Euro?
Am 12. Januar 2021 endete die öffentliche Befragung der Europäischen Zentralbank (EZB) zum Digitalen Euro. Basierende auf eingegangen Stellungnahmen wird im Sommer 2021 eine grundsätzliche Weichenstellung zur Weiterführung dieses Großprojektes erwartet. In diesem Zusammenhang werden auch die Entwicklungen der privatwirtschaftlichen Kryptowährungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivitäten anderer Zentralbanken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.
Stellungnahme der Deutschen Kreditwirtschaft
Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme zum Digitalen Euro die Aktivitäten der EZB begrüßt und Unterstützung bei der Ausgestaltung und Projektierung zugesagt.
Überwiegend positiver Tenor
Der Tenor der Stellungnahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunftsweisendes Zahlungsmittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Strukturen stimmig ergänzt. Angestrebt werden sollten größtmögliche Synergien mit den bestehenden Zahlungsverkehrslösungen, damit der Zugang zum digitalen Zentralbankgeld für die Endverbraucher gesichert werden kann. Es besteht Einigkeit dahingehend, dass die Digitalisierung den Zahlungsverkehr verändert und zur Gewährleistung der Finanzstabilität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erforderlich ist. Zur Umsetzung der angestrebten Aktivitäten sind hohe Investitionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokenisierungslösungen, z. B. durch Distributed-Ledger-Technologie (DLT), ermöglicht die Umsetzung innovativer Zahlungsverkehrslösungen. Denkbar sind in diesem Zusammenhang die Nutzung von Smart Contracts und Micropayments, Angebot wie „Blockchain as a Service“, „Smart Contracts as a Service“ oder Paymentangebote im Internet-of-Things (IoT).
Klärungsbedarf
Kritisch wird gesehen, dass das bewährte zweistufige Bankensystem mit Zentralbank und Geschäftsbanken in Frage gestellt werden könnte. Diese Konstellation ist aus Sicht der DK essentiell wichtig für die Geldmarktstabilität, die Versorgung der Unternehmen und Privatpersonen mit Krediten sowie die Akzeptanz und das Vertrauen in die herausgegebenen Zahlungsmittel. Das etablierte Bankensystem wird als entscheidender Baustein für ein kontinuierliches Wirtschaftswachstum angesehen.
Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Implikationen sich daraus ergeben könnten. Zu diesem Verordnungsvorschlag der EZB gibt es ebenfalls eine Stellungnahme der DK.
Weiterer Klärungsbedarf besteht bzgl. einiger Regulierungsfragen. Hier schlägt die DK eine Orientierung an den bestehenden Standards vor. Alle Beteiligten sollten mindestens die Anforderungen aus
Offen bleibt auch, ob für die digitale Währung gleichfalls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.
Aus Sicht der DK sind die Rechtssicherheit, einheitliche Vorgaben für ein tokenbasiertes Giralgeld und ein angemessener Regulierungsstandard die Grundvoraussetzungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.
Handlungsoptionen für Zahlungsinstitute
Die Diskussion zum digitalen Euro muss im Zusammenhang mit der generellen Bedeutungszunahme von Kryptowährungen gesehen werden. Längst haben viele Unternehmen erkannt, dass die Distributed Ledger-Technologie dabei helfen kann, komplexe Lieferbeziehungen effizient zu digitalisieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Technologie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Kryptowährungen genutzt werden. Für Zahlungsinstitute ergibt sich mit dem generell wachsenden Interesse an Kryptowährungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Kryptowährungen anzubieten. Darüber hinaus können sich möglicherweise auch Chancen für Institute ergeben, die ihren Firmenkunden selbst emittierte Kryptowährungen anbieten, um diese bei der Digitalisierung ihrer Geschäftsprozesse zu unterstützen.
Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Kryptowährung und des Digitalen Euros und unterstützen Sie bei der Realisierung Ihres Kryptoverwahrdienstes. Wir informieren Sie gerne zu den Möglichkeiten, sich in diesem innovativen Sektor einzubringen.
BSI veröffentlicht Studienergebnisse zur Sicherheit von Medizin- und Pflegeprodukten
Der Gedanke an unsichere Medizin- und Pflegeprodukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesundheitswesen vertraut man doch als Betroffener auf die bestmögliche Hilfe. Doch gerade bei der fortschreitenden Digitalisierung und Vernetzung im Gesundheitswesen tauchen zunehmend Schwachstellen in vernetzten Medizin‑, IoT- und Altenpflegeprodukten auf. Werden solche Schwachstellen entdeckt oder sogar ausgenutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher die Projekte „ManiMed – Manipulation von Medizinprodukten“ und „eCare – Digitalisierung in der Pflege“ initiiert, um die IT-Sicherheit ausgewählter Produkte bewerten zu können.
Die nunmehr veröffentlichten Studien des BSI ermöglichen es Herstellern, die IT-Sicherheitseigenschaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizinprodukten darüber informiert, welche IT-Sicherheitseigenschaften kritisch sein könnten. Verbesserte IT-Sicherheitseigenschaften stärken das Vertrauen der Patientinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizinprodukte. In der Studie wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
An der Erstellung der eCare-Studie hat SRC maßgeblich mitgewirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Krankenpflege Anwendung finden. Hierzu zählen beispielsweise Geräte zur Vitaldatenmessung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unterschiedlichen Kategorien IT-sicherheitstechnisch untersucht.
Die Ergebnisse der Studie finden Sie auf der Webseite des BSI zum Download.
Zusammenfassend lässt sich das IT-Sicherheitsniveau der untersuchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergebnisse lassen belastbar vermuten, dass keines der untersuchten Produkte samt seiner Schnittstellen, Apps etc. einer professionellen Sicherheitsevaluierung, einem unabhängigen Penetrationstest oder ähnlichem unterzogen worden ist.
IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet
Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergangenen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicherheitsgesetz 2.0 verabschiedet. Bundesinnenminister Horst Seehofer bezeichnet es als „Durchbruch für Deutschlands Sicherheit“. Branchenverbände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhaltlichen Ausgestaltung als auch bei der sehr kurzen Kommentierungsfrist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Gesetzesanpassungen wider.
Diskussionsstart im November
Überraschend wurde im November die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Nach langem Stillstand kam wieder Bewegung in die Diskussion um kritische Infrastrukturen, deren Betreiber sowie der Rolle des BSI. Die Kommentierungen der Fachexperten, die auf inhaltliche Verbesserung wesentlicher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unverhältnismäßige Sanktionsmaß, Übergangsfristen, die Zertifizierung und Meldung des Einsatzes sog. Kritischer Komponenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.
Mehr Befugnisse für das BSI
Klar ist, dass die Befugnisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neugeschaffender Stellen ablesen, sondern auch im Bestreben, schnellstmöglich eine Cybereingriffstruppe zu schaffen.
Evaluierung des IT-Sig 1.0
Weiterhin steht die gesetzlich festgelegte Evaluierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritisverordnung – und damit insbesondere auch die Schwellwerte, ab denen ein Betreiber als Kritische Infrastruktur betrachtet wird – alle zwei Jahre evaluiert werden.
Inhaltliche Änderungen
Folgenden Punkte sind aus Sicht der SRC-Experten die wesentlichen Änderungen im neuen IT-SIG:
Daneben wurden über den gesamten Gesetzentwurf verteilt, begriffliche Anpassungen und Konkretisierungen vorgenommen. Am 16.12.2020 hat das Bundeskabinett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinettsfassung steht zum Download zur Verfügung.
Weitere Regelung zur IT-Sicherheit
Der am 09.12.2020 ebenso vorgelegte Referentenentwurf zum Telekommunikationsmodernisierungsgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
gi-Geldinstitute berichtet über EPEC und den Wandel im Zahlungsverkehr in Europa
gi-Geldinstitute, die Fachzeitschrift für IT, Organisation und Kommunikation in Kreditinstituten berichtet über EPEC, das European Payment Expert Consortium für den Zahlungsverkehr und seine Beratungsdienstleistungen.
Mit Blick auf Entwicklungen und Standards im Zahlungsverkehr Europas haben drei europäische Experten für die Standardisierung von Zahlungen das European Payment Expert Consortium (EPEC) gegründet. Das sind neben der deutschen SRC Security Research & Consulting GmbH, die französischen Unternehmen ELITT und FrenchSys. SRC berichtete in dem Beitrag Frenchsys, Elitt und SRC gründen das EPayStandards Konsortium.
Das EPEC-Konsortium vereint das bei diversen Standardisierungen erworbene Know-how dreier europäischer Experten. EPEC bietet Beratungsdienstleistungen für europäische Zahlungsdienstleister an. Dabei werden sowohl die harmonisierten europäischen Standards, als auch lokale Besonderheiten berücksichtigt. Das Angebot deckt unter anderem die Verwendung von Zahlungsstandards, Implementierungsrichtlinien, sowie Funktions- und Sicherheitsspezifikationen für europaweite Lösungen für Karten‑, Mobil- und Internetzahlungen ab.
Der gi-Geldinstitute berichtet über EPEC. Der Titel Der Zahlungsverkehr befindet sich im Wandel. Der Beitrag beschreibt Umfeld und bevorstehende Herausforderungen der EPEC.
Kommt das IT-Sicherheitsgesetz 2.0?
Nach einem längeren Stillstand ist nun wieder Bewegung in die Diskussion um das IT-Sicherheitsgesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referentenentwurf durch das Bundesministeriums des Innern, für Bau und Heimat (BMI) veröffentlicht.
Aktueller Status der Novellierung
Die Novellierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die rechtlichen Anforderungen beim Einsatz von technischen Produkten aus Drittländern durch Betreiber von kritischen Infrastrukturen. Der nun vorliegende dritte Referentenentwurf ist nun bereit, in die Ressortabstimmung zu gehen. Eine Verabschiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.
Welche Schwerpunkte setzt der Gesetzesentwurf?
Schwerpunkte des neuen Referentenentwurfs sind die Bedrohungen für die Cybersicherheit. Daneben werden auch die Befugnisse des BSI erweitert werden und neue Aufgabenfelder, z.B. als nationale Cybersicherheitszertifizierungsbehörde mit der Umsetzung von aktiven Detektionsmaßnahmen.
Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kritischen Komponenten enthalten:
„Der Einsatz einer kritischen Komponente (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben“.
Kritische Komponenten sind insbesondere solche IT-Produkte, die in KRITIS eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Für TK-Netzbetreiber oder TK-Diensteerbringer werden diese Komponenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entsprechenden BSI-Katalog konkretisiert.
Es dürfen nur kritische Komponenten eingesetzt werden, deren Hersteller eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben haben (Garantieerklärung). Das BMI legt die Mindestanforderungen für die Garantieerklärung unter Berücksichtigung überwiegender öffentlicher Interessen, insbesondere sicherheitspolitischer Belange, fest. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können.
Hier entsteht eine neue Anzeigepflicht für die Betreiber der Komponenten. Bisher mussten die Hersteller beim BSI eine Zertifizierung dieser Komponenten beantragen. Diese neue Listung von kritischen Komponenten enthält hochsensible Angriffsziele. Erfolgreiche Angriffe durch Hacker oder Geheimdienste können den kritischen Infrastrukturen in der Bundesrepublik nachhaltig schaden.
Auch die Diskussion um Anforderungen an die eingesetzten IT-Produkte, Identifizierungs- und Authentisierungsverfahren und deren Bewertung hinsichtlich der Informationssicherheit wird aufgenommen und konkretisiert. Diese Vorgaben münden in die Entwicklung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte. Hinzugekommen sind Anforderungen an Verbraucherschutz und Verbraucherinformation.
Fazit
Es bleibt abzuwarten, ob dieser Zeitplan eingehalten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbesserung, weil Konkretisierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evaluierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte stattfinden sollen, immer noch aussteht.
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).
20 Jahre SRC
Vor 20 Jahren, am 27. November 2000 fand die Gründungsversammlung der Gesellschafter der SRC statt. Das ist eine lange Zeit, aber in der Rückschau betrachtet kommt es den handelnden Personen nicht so vor. Diese Wahrnehmung ist natürlich subjektiv, aber ein entscheidender Faktor hierfür wird sicherlich die rasante Entwicklung im Bereich der Informationstechnik sein.
Die Komplexität der Digitalisierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäftsgrundlage von SRC, der wesentliche Grund, warum es SRC gibt. Gleichzeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrauenswürdig sind.
Anschaulich lässt sich die Arbeit der SRC an solchen Dingen erläutern, die viele Menschen im täglichen Leben erleben. Dies sind allem voran das kontaktlose Bezahlen mit Karte und Handy, der sichere Zugriff auf Bankkonten durch Dritte, die elektronische Patientenakte, die sichere Kommunikation im Zusammenhang mit dem Galileo-System und in der Bundeswehr oder auch ganz „profane“ Dinge wie Flaschenpfandautomaten oder manipulationssichere Registrierkassen – alles Themen der Digitalisierung, mit denen Tag für Tag Millionen Menschen in der ein oder anderen Art in Berührung kommen. Die Entwicklung ist damit nicht zu Ende, mit Open Finance, IoT und der verstärkten Nutzung von KI-Methoden stehen noch viele spannende Themen an.
Keine dieser Lösungen wurde von SRC selbst hergestellt oder wird von SRC betrieben, aber wir haben bei allen einen ganz entscheidenden Beitrag geleistet: Wir sorgen für Vertrauen in diese digitale Lösungen – für Zuverlässigkeit, Sicherheit und Zukunftssicherheit. Wir schaffen „ein gutes Gefühl“ im Umgang mit der Digitalisierung:
Tatsächlich ist es so, dass dieses „gute Gefühl“, das Vertrauen, so etwas wie der Schmierstoff der Digitalisierung ist. Denn mit der Digitalisierung und Technisierung des Alltags geht für viele Menschen einher, dass Prozesse nicht mehr überschaubar sind und der Wahrheitsgehalt von Informationen manchmal unklar ist. Vertrauen ermöglicht es, diese Komplexität zu reduzieren und eröffnet häufig erst die Akzeptanz der mit der Digitalisierung angestrebten neuen Möglichkeiten des Erlebens und Handelns.
Die Komplexität der Digitalisierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäftsgrundlage von SRC, der wesentliche Grund, warum es SRC gibt. Gleichzeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrauenswürdig sind.
In den 20 Jahren seit Bestehen der SRC haben wir mehr als 20.000 Projekte durchgeführt. Jedes Jahr wurden es mehr und auch SRC ist Jahr für Jahr gewachsen – nicht nur bezüglich der Anzahl der Mitarbeiter, sondern ganz besonders bei der Erweiterung der Expertise, teilweise auf Gebieten, die es zum Zeitpunkt der Gründung der SRC noch nicht gab.
Die gegenwärtige Pandemie-Situation erlaubt es nicht, das 20jährige Bestehen angemessen feiern zu können, was wir gerne gemeinsam mit unseren Kunden gemacht hätten. Wir denken darüber nach, dies zu einem geeigneten Zeitpunkt nachzuholen. Aber auch ohne Party würden wir uns freuen, wenn Sie uns als unsere Kunden auch weiterhin Ihr Vertrauen schenken.
TIBER-DE | Stärkung der Cyberwiderstandsfähigkeit des Finanzsystems?
Digitalisierung des Finanzsektors | Chancen & Cyberrisiken | TIBER-DE
Die zunehmende Digitalisierung des Finanzsektors sorgt nicht nur für neue Möglichkeiten, sondern bringt auch erhöhte Cyberrisiken mit sich. Insbesondere können Angriffe auf das Finanzsystem schwerwiegende Folgen nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit haben. Bereits im Jahr 2018 haben daher die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests.
Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundesministerium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmenwerkes, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.
An wen richtet sich TIBER-DE?
TIBER-DE richtet sich insbesondere an kritische Unternehmen des Finanzsektors, wie z.B. große Banken und Versicherer sowie deren IT-Dienstleister und Zahlungsdienstleister. Die Deutsche Bundesbank stellt in ihrer TIBER-Implementierung heraus, dass die Durchführung von TIBER-DE Tests dazu dient, „ein Netzwerk der nationalen, zur Zielgruppe gehörenden Unternehmen zu etablieren, um gemeinsam und mithilfe der Durchführung von TIBER-DE-Tests die Cyberwiderstandsfähigkeit des Finanzsektors nachhaltig und auf kooperativer Basis zu verbessern“.
Was passiert in einem Test?
In einem TIBER-DE Test überprüfen beauftragte Hacker („Red Team“) basierend auf Informationen eines Threat Intelligence Providers („Spion“) die Cyberwiderstandsfähigkeit eines Unternehmens. Primäres Ziel hierbei ist die Identifikation von Sicherheitslücken in den Produktivsystemen („critical functions“) im Rahmen eines möglichst realen Angriffsszenarios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt dargestellt werden:
Risiken des Tests
Der TIBER-DE Test zielt auf die Produktivsysteme mit den „critical functions“ eines Instituts, um deren Cyberwiderstandsfähigkeit realistisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertraulichkeit, Integrität oder Verfügbarkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durchführung eines Tests eine detaillierte Risikoanalyse durchführen und angemessene Maßnahmen zur Risikominimierung treffen.
Darüber hinaus werden die Unternehmen vor organisatorische, technische und datenschutzbedingte Herausforderungen gestellt. Kritische Geschäftsprozesse müssen identifiziert werden, Abwehrmaßnahmen müssen etabliert und dokumentiert. Zudem müssen TIBER-DE Tests mit den verschiedenen betroffenen Stakeholdern, z. B. Dienstleistern, koordiniert werden. Darüber hinaus muss eine Geheimhaltungspflicht auf allen Seiten eingehalten werden.
Derzeit beruht die Teilnahme an diesen Tests auf freiwilliger Basis. Zusammen mit den nicht unbeachtlichen Risiken scheint dies der Grund für die Zurückhaltung bei der Bereitschaft zur Durchführung eines TIBER-DE Tests zu sein.
Gemeinsam zum erfolgreichen TIBER-DE Test
Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbereiten. Dazu gehört das unternehmensweite Scoping der zu testenden kritischen Geschäftsprozesse und Unterstützung bei der Etablierung von konformen Meldewegen und ‑Prozessen zur Steuerung und Durchführung von TIBER-Tests. Damit sind die internen Vorbereitungen getroffen, um einen TIBER-konformen Penetrationstest über einen Dienstleister durchführen zu lassen. Mit der Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten unterstützen wir Sie gerne durch den gesamten Verfahrensablauf eines TIBER-Tests.
IT-Compliance durch die Einführung eines ISMS
Compliance-Anforderungen steigen
„Die Abhängigkeit der Kern- und Wertschöpfungsprozesse von der IT-Infrastruktur und den dort betriebenen IT-Systemen steigt bei Kreditinstituten stetig an. Fast in gleichem Maße steigen damit auch die zugehörigen Compliance-Anforderungen“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „Security Insider“ erschienenen Artikel die verschiedenen regulatorischen und gesetzlichen Anforderungen, die das Tagesgeschäft von Kreditinstituten bestimmen und wie die IT-Compliance durch die Einführung eines ISMS verbessert wird.
Wertschöpfungsprozesse sind bedroht
Der Schutz dieser Wertschöpfungsprozesse durch Einhaltung der regulatorischen und gesetzlichen Anforderungen, z. B. aus BAIT, MaRisk oder dem IT-Sicherheitsgesetz, ist ein sehr aktuelles Thema. Schließlich ist die Gefahr von Hackerangriffen eine reale und aktuelle Gefahr. Auch deshalb ist IT-Sicherheit einer der zentralen Prüfungsschwerpunkte der BaFin. In diese Richtung zielt auch das TIBER-EU-Programm, das die Resilienz der Finanzwelt gegen Cyberangriffe stärken soll.
Ganzheitliches Informationssicherheitsmanagement-System schafft Sicherheit
Für einen ganzheitlichen Ansatz zum Schutz der Unternehmenswerte müssen die verschiedenen organistorischen und technischen Aspekte zu einem ganzheitlichen Konzept vereinigt werden. Das führt zur Einführung eines Informationssicherheitsmanagement-Systems, z. B. auf der Basis von ISO 27001.
Die Experten des SRC-Bereichs Banken-Compliance beraten Sie gerne zu regulatorischen und gesetzlichen Anforderungen und deren Umsetzung, z. B. durch die Einführung eines Informationssicherheitsmanagement-Systems (ISMS) oder bei der Durchführung von TIBER-Tests. SRC ist Mitglieder der Cyber-Alliance.
Neue BSI Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG
Seit über fünf Jahren ist das IT-Sicherheitsgesetz (IT-Sig) im Zusammenspiel mit der KRITIS-Verordnung im Einsatz. Das Hauptziel ist die Regulierung der KRITIS-Betreiber nach BSI-Gesetz. Das des Bundesamts für Sicherheit in der Informationstechnik (BSI) begleitet Gesetz und Verordnung mit der sogenannten BSI Orientierungshilfe zu Nachweisen.
IT-Sig 2.0 – Kommt es oder kommt es nicht?
Um das Thema „IT-Sicherheitsgesetz 2.0“ ist es leider in letzter Zeit sehr still geworden. Somit ist auch kurzfristig mit keiner Novellierung der KRITIS-Verordnung zu rechnen. Dem vorliegenden Referentenentwurf zum IT-Sig 2.0 sind aber die aktuellen Überlegungen zu entnehmen. So ist bspw. die Aufnahme der Entsorgung zu den bisherigen Sektoren angedacht. Zudem ist eine Erweiterung des Adressatenkreises über die KRITIS-Betreiber hinaus auf Unternehmen im besonderen öffentlichen Interesse (u.a. aufgrund volkswirtschaftlicher Bedeutung) angedacht. Für diese stehen die Erstellung von Sicherheitskonzepten, die Pflicht zur Meldung von Störungen, die Registrierung und Führung einer Meldestelle sowie die Vertrauenswürdigkeit der Beschäftigten im Raum. Besonders markant ist die geplante Verschärfung des Bußgeldrahmens von bisher maximal EUR 100.000 auf max. EUR 20.000.000 (bzw. 4% des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs).
Neue Orientierungshilfe zu Nachweisen
Während das IT-Sig 2.0 noch auf sich warten lässt, hat in der zweiten Augusthälfte das BSI seine neue „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ veröffentlicht. Die Versionsnummer 1.1 lässt es bereits vermuten: zu den Änderungen gehören viele Konkretisierungen und Klarstellungen der Sachverhalte und Anforderungen. Darüber hinaus gibt es weitere signifikante Änderungen. So vereint das neue Formular P die Informationen der bisher verwendeten Formulare PD (Prüfdurchführung), PE (Prüfergebnisse) und PS (prüfende Stelle). Neben der schriftlichen Einreichung ist jetzt auch eine digitale/maschinenlesbare Kopie erforderlich. Die Liste der Sicherheitsmängel und der Umsetzungsplan sind ab sofort in einem Dokument zusammengefasst, während vorhandene Prüfergebnisse (maximal zwölf Monate alt) explizit auf Aktualität und Bestand geprüft werden müssen. Eine deutliche Neuerung ist die begründete Bewertung der Reifegrade der Managementsysteme für Informationssicherheit (ISMS) und Business Continuity (BCMS). Sehr auffällig ist auch der starke Fokus auf dem Aspekt der Nachvollziehbarkeit. Dieser wird an diversen Stellen sichtbar:
Auch ohne IT-Sig 2.0 erfordert die neue Orientierungshilfe des BSI Beachtung. SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der erweiterten Anforderungen.
Novellierung der BAIT 2021– Die neuen Anforderungen an Kreditinstitute
Die Novellierung der BAIT für 2021 bedeutet neue Anforderungen für Kreditinstitute. Dagegen steht die BaFin vor der Herausforderung, die Guidelines on security measures for operational and security risks under the PSD2 und die Guidelines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novellierung der BAIT (Bankaufsichtliche Anforderungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Instituten und Verbänden diskutiert und kommentiert.
BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt
Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittelpunkt. Die dort formulierten Anforderungen sind nur mit einem Security Information and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Operations Centers (SOC). Operativ sind regelmäßige Überprüfungen gefordert. Dazu gehören:
Die neuen Anforderungen der BAIT 2021 münden im Aufbau einer professionellen Cyber-Security-Infrastruktur. Das bedeutet umfangreiche und von einander unabhängige interne Informationssicherheitsstrukturen.
Die Geschäftsleitung übernimmt die Gesamtverantwortung
Es fällt auf, dass schon der Entwurf nicht nur auf die Verantwortlichkeit der Geschäftsleitung verweist. Der Geschäftsleitung wird sogar die explizite Anerkenntnis der Gesamtverantwortung für die Informationssicherheit abverlangt. Dazu gehören auch die regelmäßige Information über deren Belange und die Entscheidung zum angemessenen Umgang mit Sicherheitsrisiken.
Anforderungen an das IT-Notfallmanagement werden konsolidiert
Weitere Änderungen erwarten wir im Bereich IT-Notfallmanagement. Die Anforderungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konsolidiert. So entstehen einheitliche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzisierung der Vorgaben hinsichtlich der Notfallplanung und –vorsorge, BCM, Desaster Recovery sowie die Backupstrategien. Auch das Outsourcing an Dienstleister wird aus unserer Sicht Gegenstand der Neufassung sein.
Kreditinstitute stehen vor großen Herausforderungen
Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwartenden Änderungen die betroffenen Institute vor große Herausforderungen stellen. Das betrifft insbesondere das erforderliche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.