Das Corona-Virus hat unseren Alltag erreicht. Die Pandemie lenkt unsere Konzentration auf das, was jetzt das Wichtigste ist: Der Schutz der Gesundheit, die Sicherheit und das Wohlergehen unserer Mitarbeiterinnen und Mitarbeiter, unserer Partner, Kunden und Familien.
Die weitaus meisten Mitarbeiter nutzen die Möglichkeit, ihrer Arbeit im Home Office nachzugehen; einige sind an den Standorten verfügbar, um z. B. Unterschriften leisten zu können, Post entgegen zu nehmen und vieles mehr.
Es hat sich in der relativ kurzen Zeit bereits gezeigt, dass die Belegschaft der SRC sehr engagiert die Kontinuität der Betriebsabläufe sicherstellt.
Unser besonderes Augenmerk liegt gerade in diesen schweren Zeiten auf den Anliegen unserer Kunden. Wir sind unverändert in der Lage, unsere Kunden, die z.T. gerade in diesen Zeiten dringend benötigte kritische Infrastrukturen betreiben, umfassend und mit einem Höchstmaß an Flexibilität zu unterstützen. Unserer großen Verantwortung und Verpflichtung gegenüber unseren Kunden werden wir auch in diesen Zeiten nachkommen.
Auch wenn viele von uns sich nicht an den SRC-Standorten aufhalten: Wir sind für Sie weiterhin über die gewohnten Kommunikationsmöglichkeiten erreichbar.
Wir tun weiter, was wir gut können.
Als Alternative zu Vor-Ort-Terminen haben wir z.B. Vorgehensweisen für Remote-Unterstützung entworfen. Wir können …
- Beratungen und Interviews im Rahmen von Telefonkonferenzen durchführen,
- Systemeinstellungen unter Nutzung von Webkonferenzen prüfen,
- Vor-Ort-Begehungen mit Hilfe von Video-Übertragungen durchführen.
Bitte kontaktieren Sie Ihren Ansprechpartner von SRC, um das konkrete Vorgehen abzustimmen.
Wir bei SRC sind davon überzeugt, dass wir aus den Erfahrungen dieser Situation für unsere Zukunft lernen. Wir werden gestärkt aus dieser Krise hervorgehen.
Bitte achten Sie auf die Gesundheit Ihrer Mitmenschen und Familien.
Die Bedeutung von Penetrationstests für die Sicherheit von Unternehmen16. April 2024 - 8:48
SRC und die DAkkS-Akkreditierung nach ISO/IEC EN 17025: Ein wichtiger Schritt in Richtung EUCC 31. Januar 2024 - 12:23
SRC ist dem Bundesverband IT Sicherheit (TeleTrusT) angeschlossen4. Januar 2024 - 11:22
SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)
„PCI-Konformität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschienenen Artikel die verschiedenen PCI-Sicherheitsstandards.
Angesichts der in Pandemie-Zeiten steigenden Anzahl an Kartenzahlungen ist der Schutz von Zahlkartendaten ein sehr aktuelles Thema.
Alle PCI Standards zielen auf den Schutz von Zahlkartendaten der internationalen Zahlungssysteme ab. Allein beim bekanntesten Standard, dem PCI DSS, gibt es rund 250 Einzelanforderungen. Werden diese bereits beim Aufbau von Netzwerken und Strukturen berücksichtigt, spart man sich häufig aufwändige und teure Nachrüstungen. Aber auch die dauerhafte Aufrechterhaltung der PCI DSS-Konformität stellt Firmen vor Herausforderungen.
SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Intentionen der PCI-Standards richtig zu verstehen und zu berücksichtigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konformität auf verständlichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schützenswerten Zahlkartendaten der Kunden.
Frenchsys, Elitt und SRC gründen das EPayStandards Konsortium
Gemeinsam mit den französischen Partnern Frenchsys und Elitt gründet SRC das EPayStandards Konsortium, eine Kooperation zum Ausbau der Beratung und Unterstützung internationaler Kunden im europäischen Zahlungsverkehr.
Als Tochterunternehmen von Cartes Bancaires unterstützt Frenchsys maßgeblich die technischen und funktionalen Spezifikationen, so wie die Integration im französischen Acquirermarkt.
Elitt hat den Schwerpunkt seiner Tätigkeit in der Entwicklung von Testfallkatalogen und Testtools für Terminals. Außerdem steht Elitt für innovative Zahlungslösungen.
SRC unterstützt Entwicklung und Pflege des deutschen girocard-Systems. Dazu gehören die Erstellung funktionaler und sicherheitstechnischer Spezifikationen für alle beteiligten Systemkomponenten. Auch die Konzeption innovativer Lösungen zum mobilen Bezahlen ist Bestandteil des SRC-Leistungsspektrums.
Alle drei Unternehmen kennt die Welt des Zahlungsverkehrs als wesentliche Träger europäischer Standardisierungsinitiativen wie nexo, CPACE und der Berlin Group.
Mit dem EPayStandards Konsortium erhält der internationale Markt für Zahlungsverkehr den Zugriff auf gebündelte technische und strategische Beratungsleistungen. Der Grundstein der Zusammenarbeit wird mit Workshops für grenzüberschreitend tätige Kunden wie Terminalhersteller und Prozessingdienstleister gelegt.
In den letzten Jahren haben sich die europäischen Standards für Zahlungsverkehrsterminals weiter entwickelt. Das bietet besonders für international tätige Akzeptanten Chancen, um ihre Terminalinfrastrukturen länderübergreifend zu harmonisieren. SRC und Frenchsys bringen detaillierte Kenntnisse dieser neuen Standards und der beiden größten europäischen Zahlungsverkehrsmärkte und Systeme ein. Elitt rundet die Kooperation mit seiner Expertise zur technischen Vorbereitung von Umsetzungen und Zertifizierungen ab. So profitiert der internationale Markt für Zahlungsverkehr von der Kombination der Stärken der Konsortialpartner.
SRC evaluiert Cryptographic Service Provider von T‑Systems gemäß BSI-Schutzprofilen
SRC evaluiert Cryptographic Service Provider von T‑Systems gemäß BSI-Schutzprofilen. Damit entspricht die Komponente den Anforderungen der KassenSichV.
Die Kassensicherungsverordnung (KassenSichV), auch als Verordnung zur Bestimmung der technischen Anforderungen an elektronische Aufzeichnungs- und Sicherungssysteme im Geschäftsverkehr bekannt, sieht u. a. eine Pflicht zur Verwendung einer zertifizierten technischen Sicherheitseinrichtung vor. Die Zertifizierung und deren laufende Aufrechterhaltung durch das das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelt §146a der zugehörigen Abgabenordnung. Das BSI kommt dieser Anforderung mit den Schutzprofilen BSI-CC-PP-0104–2019 und „Timestamp and Audit functionality Protection Profile“ BSI-CC-PP-0107–2019 nach. Diese Schutzprofile nutzen anerkannte Prüfstellen um technische Sicherheitseinrichtungen in Vorbereitung auf die Zertifizierung zu evaluieren. Dabei greifen Sie auf das international anerkannte Zertifizierungsschema der Common Criteria zurück.
Der von der T‑Systems International GmbH in Form einer kontaktbehafteten Smartcard entwickelte Cryptographic Service Provider ist ein wesentlicher Bestandteil einer technischen Sicherheitseinrichtung gemäß der KassenSichV. Die CC Prüfstelle von SRC hat diesen CSP erfolgreich evaluiert.
Dr. Bertold Krüger, Leiter der SRC-Prüfstelle: „Es ist für die Entwickler von T‑Systems und die Evaluatoren gleichermaßen erfüllend, wenn eine derart intensive Evaluierung mit dem Zertifikat des BSI belohnt wird.“
Für weitere Informationen zur Common Criteria Zertifizierung von Sicherheitsprodukten stehen Ihnen die Experten von SRC gern bereit.
SRC-Experte Skerka: IT-Systeme im Gesundheitswesen dürfen nicht kränkeln
„Gefahr für Leib und Leben. Deshalb ist das Risiko für IT-Systeme im Gesundheitswesen höher als in anderen Branchen.“ Das sagt SRC-Experte Randolf-Heiko Skerka im gerade erschienenen Beitrag „IT-Systeme im Gesundheitswesen dürfen nicht kränkeln“
100-prozentige Sicherheit kann es nicht geben. Gerade darum ist es wichtig mit einer vorbeugenden Absicherung der IT gängigen Gefährdungen zu begegnen. Ein Stromausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hackerangriff sind Beispiele für denkbare Schadensszenarien.
Der Aufbau eines Risikomanagementsystems ist dabei von entscheidender Bedeutung., sagt Skerka. Bedrohungen für IT-Systeme im Gesundheitswesen müssen definiert, bewertet und ihre Eintrittswahrscheinlichkeit bewertet werden. Die anschließende Untersuchung und Evaluierung der Auswirkungen ermöglicht fundierte Entscheidungen, welche Risiken ggf. akzeptiert und welche Maßnahmen eingeleitet werden können, um sie zu minimieren. So entsteht ein bewusst definiertes Sicherheitsniveau und ein Maßnahmenkatalog mit dem das angestrebte Level an IT-Sicherheit erreicht und auf Dauer sichergestellt werden kann.
Die Frage gegen welche Bedrohungen man sich konkret schützen will, steht auch für die IT-Sicherheit im Gesundheitswesen im Fokus der Betrachtung. Mit der Risikoanalyse werden die Gefahren definiert und bewertet. Mit im Vorfeld geplanten Gegenmaßnahmen kann im Fall der Fälle gekontert werden. Das angestrebte Sicherheitsniveau ist erreicht. Für den sicheren Betrieb der Infrastruktur muss die IT aber auch mit dem erforderlichen Know-how und dem Wissen um die die technischen Erfordernisse ausgestattet sein.
Trotz Corona – Die Unterstützung von SRC ist Ihnen sicher!
Das Corona-Virus hat unseren Alltag erreicht. Die Pandemie lenkt unsere Konzentration auf das, was jetzt das Wichtigste ist: Der Schutz der Gesundheit, die Sicherheit und das Wohlergehen unserer Mitarbeiterinnen und Mitarbeiter, unserer Partner, Kunden und Familien.
Die weitaus meisten Mitarbeiter nutzen die Möglichkeit, ihrer Arbeit im Home Office nachzugehen; einige sind an den Standorten verfügbar, um z. B. Unterschriften leisten zu können, Post entgegen zu nehmen und vieles mehr.
Es hat sich in der relativ kurzen Zeit bereits gezeigt, dass die Belegschaft der SRC sehr engagiert die Kontinuität der Betriebsabläufe sicherstellt.
Unser besonderes Augenmerk liegt gerade in diesen schweren Zeiten auf den Anliegen unserer Kunden. Wir sind unverändert in der Lage, unsere Kunden, die z.T. gerade in diesen Zeiten dringend benötigte kritische Infrastrukturen betreiben, umfassend und mit einem Höchstmaß an Flexibilität zu unterstützen. Unserer großen Verantwortung und Verpflichtung gegenüber unseren Kunden werden wir auch in diesen Zeiten nachkommen.
Auch wenn viele von uns sich nicht an den SRC-Standorten aufhalten: Wir sind für Sie weiterhin über die gewohnten Kommunikationsmöglichkeiten erreichbar.
Wir tun weiter, was wir gut können.
Als Alternative zu Vor-Ort-Terminen haben wir z.B. Vorgehensweisen für Remote-Unterstützung entworfen. Wir können …
Bitte kontaktieren Sie Ihren Ansprechpartner von SRC, um das konkrete Vorgehen abzustimmen.
Wir bei SRC sind davon überzeugt, dass wir aus den Erfahrungen dieser Situation für unsere Zukunft lernen. Wir werden gestärkt aus dieser Krise hervorgehen.
Bitte achten Sie auf die Gesundheit Ihrer Mitmenschen und Familien.
Bezahlen 2030 – Die Studie über die Zukunft des Bezahlens in Deutschland
Mit Unterstützung von Z_Punkt – The Foresight Company hat SRC die Studie Bezahlen 2030 erstellt. In dieser Studie geht es um die Zukunft des Bezahlens in Deutschland. Sie ist die Fortführung der 2015 initiierten Untersuchung über das Bezahlen 2025. Neben der Aktualisierung der 2015 betrachteten Szenarien werden vor allem Handlungsoptionen für kontoführende Institute untersucht, die sich hinsichtlich des Bezahlvorgangs der Zukunft ergeben. Die Grundlage dafür ist eine umfassende Analyse der sich bereits heute abzeichnenden Trends und Entwicklungen.
Die Studie Bezahlen 2030 widmet sich vielen Fragestellungen: In welcher Weise haben sich die relevanten Rahmenbedingungen im Vergleich zur Vorgängerstudie geändert? Wie können kontoführende Institute auf neue Marktteilnehmer reagieren? Wie sehen innovative Lösungen im Zahlungsverkehr aus? Welche neuen Erlösquellen und Mehrwertdienste sind denkbar? Und welche Möglichkeiten und Notwendigkeiten zur Zusammenarbeit mit Partnern innerhalb und außerhalb der Kreditwirtschaft ergeben sich, um für das „Bezahlen 2030“ gewappnet zu sein?
Bei der Erstellung der Studie haben zahlreiche Expertinnen und Experten aus den Reihen der Kreditwirtschaft, des Handel und der Technologieanbieter mitgewirkt. So konnte der Horizont der Studie geweitet und ein breites Spektrum an potentiellen Entwicklungen abgedeckt werden.
SRC stellt Ihnen die Studie Bezahlen 2030 kostenfrei zu Verfügung. Verstehen Sie die Studie bitte als Einladung zum Dialog. Deshalb freuen wir uns über ihre Anmerkungen, Fragen und Anregungen. Bitte schreiben Sie uns an bezahlen2030@src-gmbh.de.
Die Studie steht Ihnen kostenfrei in deutscher und englischer Sprache zum Download bereit. Druck-Exemplare sind nur in deutscher Sprache verfügbar. Sie können unter Angabe der Versandanschrift kostenfrei angefordert werden.
Transfer- und Perspektivworkshops
Dieser Workshop ist ein gemeinsames Angebot von SRC Security Research & Consulting und Z_punkt The Foresight Company.
SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt
Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durchführung von Sicherheitsuntersuchungen von SPoC und CPoC Lösungen anerkannt.
Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handelsüblichen mobilen Endgeräten entgegen nehmen.
Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.
Eine SPoC Lösung besteht aus vier Kern-Komponenten:
Mit CPoC hat das PCI SSC Anforderungen an Lösungen für die Verarbeitung von kontaktlosen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handelsüblichen mobilen Endgeräten (commercial off-the-shelf, COTS), wie z.B. Smartphones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnittstelle entwickelt.
Mit den Programmen SPoC und CPoC bedient das PCI SSC die zunehmende Nachfrage nach neuen und sicheren Akzeptanzlösungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobiltelefonen und Tablets. Die dazugehörigen Prüfungen werden nun auch von SRC durchgeführt.
Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innovativen Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahllösungen in Anspruch nehmen.
PCI DSS-Orientierungshilfe für große Organisationen veröffentlicht
SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitgewirkt. Die aus der SIG entstandene PCI DSS-Orientierungshilfe für große Organisationen wurde jetzt veröffentlicht.
Komplexe Organisationen, Konzerne und Unternehmen stehen oft vor spezifischen Herausforderungen bei der Umsetzung von Anforderungen des PCI DSS (Payment Card Industry Data Security Standards): der Heterogenität ihrer Infrastrukturen und Prozesse, der ständigen Veränderung von Unternehmensstrukturen, dem Umgang mit vielfältigen Anforderungen, Verantwortlichkeiten und Verwaltungsaufgaben.
In der neuen Orientierungshilfe wird erläutert, wie große und/oder komplexe Unternehmen ihre PCI-DSS-Aktivitäten unternehmensweit koordinieren und verwalten können.
SRC ist Partner der OMNISECURE 2020
Als Gutachter für IT-Sicherheit wissen wir bei SRC, dass Schutzniveaus im Rahmen der Digitalisierung von Industrie und Gesellschaft essenziell wichtig sind. Die dazu erforderlichen gut ineinandergreifenden Sicherheitskonzepte stellen die Experten der Branche auf der jährlich stattfindenden OMNISECURE vor. Den auf der OMNISECURE zu diesen Themen geführten Diskurs bereichern wir bei SRC traditionell als Partner mit unserem in vielen Projekten gesammelten Wissen. Die OMNISECURE findet vom 20. – 22. Januar 2020 in Berlin statt.
Elektronische Identifikation und die dazu erforderliche Sicherheit sind eines der übergreifenden Themen bei SRC und gleichzeitig Kernthema der Veranstaltung. So bildet die OMNISECURE für SRC eine bedeutende Plattform für den Branchen-übergreifenden Wissens- und Erfahrungsaustausch mit Experten, Fach- und Führungskräfte aus Wirtschaft, Politik, Öffentlicher Verwaltung und Wissenschaft.
Als Partner der OMNISECURE leistet SRC seinen Beitrag, damit für die Teilnehmer ein umfassender Überblick über neue Anwendungen, Gefahren und Lösungen, Technologietrends, Fortschritte oder Verzögerungen in bekannten, richtungsweisenden Projekten entsteht. Ideen und relevante Gesetzgebungsvorhaben werden dabei genau so diskutiert, wie Fehlschläge, aus denen man immer lernen kann. Die OMNISECURE bietet eine Fülle von Denkanstößen sowie Begegnungen mit renommierten Experten. Nicht selten werden hier die Grundsteine für künftige Projekte und Entscheidungen gelegt.
Wir von SRC freuen uns auf zwei reichhaltige Tage und auf die vielfältigen und reichhaltigen Gespräche mit Experten und Kunden.
SRC von EMVCo als SBMP-Evaluierungslabor anerkannt
Mobile Payments: Von der Chipkarte auf das mobile Endgerät
Das Mobile Payment ist eine elektronische Zahlungsform unter Verwendung von mobilen Endgeräten, wie Mobiltelefonen, Tablets oder Smartwatches. Dabei werden elektromagnetische, also kontaktlose, Techniken zur Initiierung, Autorisierung und Realisierung der Zahlung eingesetzt. Das macht die Sicherheit dieser Zahlungsform zu einer Herausforderung.
EMVCo und das Software-Based Mobile Payment (SBMP) Programm
EMVCo, die den EMV-Standard definieren, weiterentwickeln und seine Implemtierung prüfen, stellt sich dieser Herausforderungen mit seinem neuen SBPM-Zulassungsprozess. SBPM steht dabei für Software-Based Mobile Payment Evaluation Process. In dieser Evaluierung wird geprüft, ob die Sicherheitsmechanismen und Schutzmaßnahmen einer Komponente oder ‑Lösung das von EMVCo definierte Mindestsicherheitsniveaus aufweisen. Herstellern wird mit einem Sicherheitsbewertungszertifikat bescheinigt, dass ihre Produkte bekannten Angriffen standhalten.
Mit dem SBPM-Zulassungsprozess unterstützt EMVCo die weltweite Sicherheit und Interoperabilität mobiler Zahlungsvorgänge. Das Angebot an Sicherheitsbewertungsprozessen umfasste bisher Produkte für integrierte Schaltungen (IC), Plattformen und integrierte Schaltkreise (ICC). EMVCo hat den Anwendungsbereich seiner Zulassungsprozesse nun erstmalig auf Software-Komponenten und ‑Lösungen für mobile Zahlungen erweitert.
EMVCo erkennt SRC als SBPM-Evaluierungslabor an
SRC ist von EMVCo, neben den bereits vorhandenen Anerkennungen bei Mastercard und Visa als Security Lab/Gutachter für die Bewertung der Sicherheit von Software-Based Mobile Payment Lösungen und Komponenten, anerkannt.
Hierbei führt SRC umfassende Prüfungen der Sicherheitsmechanismen einer Mobile Payment App oder deren Komponenten durch. Dabei werden die umgesetzten Maßnahmen mit State-of-the-Art Methoden nach dem Stand der Technik, wie z.B. Reverse Engineering, Seitenkanal- und Laufzeitanalysen, untersucht sowie deren Widerstandsfähigkeit/Resistenz gegenüber Angreifern und zum Schutz vor Missbrauch bewertet.
Wenn Sie an weiteren Informationen zum Thema oder der Evaluierung Ihrer Zahlungslösung interessiert sind, können Sie sich gerne an uns wenden.