Target Risk Analysis

Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium

Gemeinsam mit den franzö­si­schen Partnern Frenchsys und Elitt gründet SRC das EPayStan­dards Konsortium, eine Koope­ration zum Ausbau der Beratung und Unter­stützung inter­na­tio­naler Kunden im europäi­schen Zahlungsverkehr.

Als Tochter­un­ter­nehmen von Cartes Bancaires unter­stützt Frenchsys maßgeblich die techni­schen und funktio­nalen Spezi­fi­ka­tionen, so wie die Integration im franzö­si­schen Acquirermarkt.

Elitt hat den Schwer­punkt seiner Tätigkeit in der Entwicklung von Testfall­ka­ta­logen und Testtools für Terminals. Außerdem steht Elitt für innovative Zahlungslösungen.

SRC unter­stützt Entwicklung und Pflege des deutschen girocard-Systems. Dazu gehören die Erstellung funktio­naler und sicher­heits­tech­ni­scher Spezi­fi­ka­tionen für alle betei­ligten System­kom­po­nenten. Auch die Konzeption innova­tiver Lösungen zum mobilen Bezahlen ist Bestandteil des SRC-Leistungsspektrums.

Alle drei Unter­nehmen kennt die Welt des Zahlungs­ver­kehrs als wesent­liche Träger europäi­scher Standar­di­sie­rungs­in­itia­tiven wie nexo, CPACE und der Berlin Group.

Mit dem EPayStan­dards Konsortium erhält der inter­na­tionale Markt für Zahlungs­verkehr den Zugriff auf gebün­delte technische und strate­gische Beratungs­leis­tungen. Der Grund­stein der Zusam­men­arbeit wird mit Workshops für grenz­über­schreitend tätige Kunden wie Termi­nal­her­steller und Prozes­sing­dienst­leister gelegt.

In den letzten Jahren haben sich die europäi­schen Standards für Zahlungs­ver­kehrs­ter­minals weiter entwi­ckelt. Das bietet besonders für inter­na­tional tätige Akzep­tanten Chancen, um ihre Termi­nal­in­fra­struk­turen länder­über­greifend zu harmo­ni­sieren. SRC und Frenchsys bringen detail­lierte Kennt­nisse dieser neuen Standards und der beiden größten europäi­schen Zahlungs­ver­kehrs­märkte und Systeme ein. Elitt rundet die Koope­ration mit seiner Expertise zur techni­schen Vorbe­reitung von Umset­zungen und Zerti­fi­zie­rungen ab. So profi­tiert der inter­na­tionale Markt für Zahlungs­verkehr von der Kombi­nation der Stärken der Konsortialpartner.

 

SRC evaluiert Cryptographic Service Provider von T-Systems gemäß BSI-Schutzprofilen

SRC evaluiert Crypto­graphic Service Provider von T‑Systems gemäß BSI-Schutzprofilen

SRC evaluiert Crypto­graphic Service Provider von T‑Systems gemäß BSI-Schutz­pro­filen. Damit entspricht die Kompo­nente den Anfor­de­rungen der KassenSichV.

Die Kassen­si­che­rungs­ver­ordnung (Kassen­SichV), auch als Verordnung zur Bestimmung der techni­schen Anfor­de­rungen an elektro­nische Aufzeich­nungs- und Siche­rungs­systeme im Geschäfts­verkehr bekannt, sieht u. a. eine Pflicht zur Verwendung einer zerti­fi­zierten techni­schen Sicher­heits­ein­richtung vor. Die Zerti­fi­zierung und deren laufende Aufrecht­erhaltung durch das das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) regelt §146a der zugehö­rigen Abgaben­ordnung. Das BSI kommt dieser Anfor­derung mit den Schutz­pro­filen BSI-CC-PP-0104–2019 und „Timestamp and Audit function­ality Protection Profile“ BSI-CC-PP-0107–2019 nach. Diese Schutz­profile nutzen anerkannte Prüfstellen um technische Sicher­heits­ein­rich­tungen in Vorbe­reitung auf die Zerti­fi­zierung zu evalu­ieren. Dabei greifen Sie auf das inter­na­tional anerkannte Zerti­fi­zie­rungs­schema der Common Criteria zurück.

Der von der T‑Systems Inter­na­tional GmbH in Form einer kontakt­be­haf­teten Smartcard entwi­ckelte Crypto­graphic Service Provider ist ein wesent­licher Bestandteil einer techni­schen Sicher­heits­ein­richtung gemäß der Kassen­SichV. Die CC Prüfstelle von SRC hat diesen CSP erfolg­reich evaluiert.

Dr. Bertold Krüger, Leiter der SRC-Prüfstelle: „Es ist für die Entwickler von T‑Systems und die Evalua­toren gleicher­maßen erfüllend, wenn eine derart intensive Evalu­ierung mit dem Zerti­fikat des BSI belohnt wird.“

Für weitere Infor­ma­tionen zur Common Criteria Zerti­fi­zierung von Sicher­heits­pro­dukten stehen Ihnen die Experten von SRC gern bereit.

Skerka IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

SRC-Experte Skerka: IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

„Gefahr für Leib und Leben. Deshalb ist das Risiko für IT-Systeme im Gesund­heits­wesen höher als in anderen Branchen.“ Das sagt SRC-Experte Randolf-Heiko Skerka im gerade erschie­nenen Beitrag „IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

100-prozentige Sicherheit kann es nicht geben. Gerade darum ist es wichtig mit einer vorbeu­genden Absicherung der IT gängigen Gefähr­dungen zu begegnen. Ein Strom­ausfall, ein Erdbeben, Feuer, Hochwasser oder ein Hacker­an­griff sind Beispiele für denkbare Schadensszenarien.

Der Aufbau eines Risiko­ma­nage­ment­systems ist dabei von entschei­dender Bedeutung., sagt Skerka. Bedro­hungen für IT-Systeme im Gesund­heits­wesen müssen definiert, bewertet und ihre Eintritts­wahr­schein­lichkeit bewertet werden. Die anschlie­ßende Unter­su­chung und Evalu­ierung der Auswir­kungen ermög­licht fundierte Entschei­dungen, welche Risiken ggf. akzep­tiert und welche Maßnahmen einge­leitet werden können, um sie zu minimieren. So entsteht ein bewusst definiertes Sicher­heits­niveau und ein Maßnah­men­ka­talog mit dem das angestrebte Level an IT-Sicherheit erreicht und auf Dauer sicher­ge­stellt werden kann.

Die Frage gegen welche Bedro­hungen man sich konkret schützen will, steht auch für die IT-Sicherheit im Gesund­heits­wesen im Fokus der Betrachtung. Mit der Risiko­analyse werden die Gefahren definiert und bewertet. Mit im Vorfeld geplanten Gegen­maß­nahmen kann im Fall der Fälle gekontert werden. Das angestrebte Sicher­heits­niveau ist erreicht. Für den sicheren Betrieb der Infra­struktur muss die IT aber auch mit dem erfor­der­lichen Know-how und dem Wissen um die die techni­schen Erfor­der­nisse ausge­stattet sein.

Corona

Trotz Corona – Die Unter­stützung von SRC ist Ihnen sicher!

Das Corona-Virus hat unseren Alltag erreicht. Die Pandemie lenkt unsere Konzen­tration auf das, was jetzt das Wichtigste ist: Der Schutz der Gesundheit, die Sicherheit und das Wohlergehen unserer Mitar­bei­te­rinnen und Mitar­beiter, unserer Partner, Kunden und Familien.

Die weitaus meisten Mitar­beiter nutzen die Möglichkeit, ihrer Arbeit im Home Office nachzu­gehen; einige sind an den Stand­orten verfügbar, um z. B. Unter­schriften leisten zu können, Post entgegen zu nehmen und vieles mehr.

Es hat sich in der relativ kurzen Zeit bereits gezeigt, dass die Beleg­schaft der SRC sehr engagiert die Konti­nuität der Betriebs­ab­läufe sicherstellt.

Unser beson­deres Augenmerk liegt gerade in diesen schweren Zeiten auf den Anliegen unserer Kunden. Wir sind unver­ändert in der Lage, unsere Kunden, die z.T. gerade in diesen Zeiten dringend benötigte kritische Infra­struk­turen betreiben, umfassend und mit einem Höchstmaß an Flexi­bi­lität zu unter­stützen. Unserer großen Verant­wortung und Verpflichtung gegenüber unseren Kunden werden wir auch in diesen Zeiten nachkommen.

Auch wenn viele von uns sich nicht an den SRC-Stand­orten aufhalten: Wir sind für Sie weiterhin über die gewohnten Kommu­ni­ka­ti­ons­mög­lich­keiten erreichbar.

Wir tun weiter, was wir gut können.

Als Alter­native zu Vor-Ort-Terminen haben wir z.B. Vorge­hens­weisen für Remote-Unter­stützung entworfen. Wir können …

  • Beratungen und Inter­views im Rahmen von Telefon­kon­fe­renzen durchführen,
  • System­ein­stel­lungen unter Nutzung von Webkon­fe­renzen prüfen,
  • Vor-Ort-Begehungen mit Hilfe von Video-Übertra­gungen durchführen.

Bitte kontak­tieren Sie Ihren Ansprech­partner von SRC, um das konkrete Vorgehen abzustimmen.

Wir bei SRC sind davon überzeugt, dass wir aus den Erfah­rungen dieser Situation für unsere Zukunft lernen. Wir werden gestärkt aus dieser Krise hervorgehen.

Bitte achten Sie auf die Gesundheit Ihrer Mitmen­schen und Familien.

Bezahlen 2030 – Die Studie über die Zukunft des Bezahlens in Deutschland

Mit Unter­stützung von Z_Punkt – The Foresight Company hat SRC die Studie Bezahlen 2030 erstellt. In dieser Studie geht es um die Zukunft des Bezahlens in Deutschland. Sie ist die Fortführung der 2015 initi­ierten Unter­su­chung über das Bezahlen 2025. Neben der Aktua­li­sierung der 2015 betrach­teten Szenarien werden vor allem Handlungs­op­tionen für konto­füh­rende Institute unter­sucht, die sich hinsichtlich des Bezahl­vor­gangs der Zukunft ergeben. Die Grundlage dafür ist eine umfas­sende Analyse der sich bereits heute abzeich­nenden Trends und Entwicklungen.

Die Studie Bezahlen 2030 widmet sich vielen Frage­stel­lungen: In welcher Weise haben sich die relevanten Rahmen­be­din­gungen im Vergleich zur Vorgän­ger­studie geändert? Wie können konto­füh­rende Institute auf neue Markt­teil­nehmer reagieren? Wie sehen innovative Lösungen im Zahlungs­verkehr aus? Welche neuen Erlös­quellen und Mehrwert­dienste sind denkbar? Und welche Möglich­keiten und Notwen­dig­keiten zur Zusam­men­arbeit mit Partnern innerhalb und außerhalb der Kredit­wirt­schaft ergeben sich, um für das „Bezahlen 2030“ gewappnet zu sein?

Bei der Erstellung der Studie haben zahlreiche Exper­tinnen und Experten aus den Reihen der Kredit­wirt­schaft, des Handel und der Techno­lo­gie­an­bieter mitge­wirkt. So konnte der Horizont der Studie geweitet und ein breites Spektrum an poten­ti­ellen Entwick­lungen abgedeckt werden.

SRC stellt Ihnen die Studie Bezahlen 2030 kostenfrei zu Verfügung. Verstehen Sie die Studie bitte als Einladung zum Dialog. Deshalb freuen wir uns über ihre Anmer­kungen, Fragen und Anregungen. Bitte schreiben Sie uns an bezahlen2030@src-gmbh.de.

Die Studie steht Ihnen kostenfrei in deutscher und engli­scher Sprache zum Download bereit. Druck-Exemplare sind nur in deutscher Sprache verfügbar. Sie können unter Angabe der Versand­an­schrift kostenfrei angefordert werden.

Bezahlen 2030 // deutsch Payment 2030 // englisch Druck-Exemplar anfordern

 

Transfer- und Perspektivworkshops

  • Die zentralen Erkennt­nisse aus der Studie Bezahlen 2030
  • Diskursive Ausein­an­der­setzung mit den vorge­schla­genen strate­gi­schen Stoßrich­tungen und Empfehlungen.
  • Wertvolle Impulse und Orien­tierung für Ihre Strategieentwicklung.

Dieser Workshop ist ein gemein­sames Angebot von SRC Security Research & Consulting und Z_punkt The Foresight Company.

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durch­führung von Sicher­heits­un­ter­su­chungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handels­üb­lichen mobilen Endge­räten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Komponenten:

  • einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelas­senen Kartenleser,
  • einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handels­üb­lichen mobilen Endgerät des Händlers,
  • dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smart­phone oder einem Tablet, sowie
  • einem Hinter­grund­system, das maßgeblich mittels Attes­tierung, Monitoring und Processing zur Sicherheit des Gesamt­systems beiträgt.

Mit CPoC hat das PCI SSC Anfor­de­rungen an Lösungen für die Verar­beitung von kontakt­losen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handels­üb­lichen mobilen Endge­räten (commercial off-the-shelf, COTS), wie z.B. Smart­phones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnitt­stelle entwickelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zuneh­mende Nachfrage nach neuen und sicheren Akzep­tanz­lö­sungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobil­te­le­fonen und Tablets. Die dazuge­hö­rigen Prüfungen werden nun auch von SRC durchgeführt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innova­tiven Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahl­lö­sungen in Anspruch nehmen.

PCI DSS-Orientierungshilfe für große Organisationen

PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen veröffentlicht

SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitge­wirkt. Die aus der SIG entstandene PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen wurde jetzt veröffentlicht.

Komplexe Organi­sa­tionen, Konzerne und Unter­nehmen stehen oft vor spezi­fi­schen Heraus­for­de­rungen bei der Umsetzung von Anfor­de­rungen des PCI DSS (Payment Card Industry Data Security Standards): der Hetero­ge­nität ihrer Infra­struk­turen und Prozesse, der ständigen Verän­derung von Unter­neh­mens­struk­turen, dem Umgang mit vielfäl­tigen Anfor­de­rungen, Verant­wort­lich­keiten und Verwaltungsaufgaben.
In der neuen Orien­tie­rungs­hilfe wird erläutert, wie große und/oder komplexe Unter­nehmen ihre PCI-DSS-Aktivi­täten unter­neh­mensweit koordi­nieren und verwalten können.

  • PCI DSS-Orien­tie­rungs­hilfe für große Organi­sa­tionen // zum Dokument.
OMNISECURE 2020

SRC ist Partner der OMNISECURE 2020

Als Gutachter für IT-Sicherheit wissen wir bei SRC, dass Schutz­ni­veaus im Rahmen der Digita­li­sierung von Industrie und Gesell­schaft essen­ziell wichtig sind. Die dazu erfor­der­lichen gut inein­an­der­grei­fenden Sicher­heits­kon­zepte stellen die Experten der Branche auf der jährlich statt­fin­denden OMNISECURE vor. Den auf der OMNISECURE zu diesen Themen geführten Diskurs berei­chern wir bei SRC tradi­tionell als Partner mit unserem in vielen Projekten gesam­melten Wissen. Die OMNISECURE findet vom 20. – 22. Januar 2020 in Berlin statt.

Elektro­nische Identi­fi­kation und die dazu erfor­der­liche Sicherheit sind eines der übergrei­fenden Themen bei SRC und gleich­zeitig Kernthema der Veran­staltung. So bildet die OMNISECURE für SRC eine bedeu­tende Plattform für den Branchen-übergrei­fenden Wissens- und Erfah­rungs­aus­tausch mit Experten, Fach- und Führungs­kräfte aus Wirtschaft, Politik, Öffent­licher Verwaltung und Wissenschaft.

Als Partner der OMNISECURE leistet SRC seinen Beitrag, damit für die Teilnehmer ein umfas­sender Überblick über neue Anwen­dungen, Gefahren und Lösungen, Techno­lo­gie­trends, Fortschritte oder Verzö­ge­rungen in bekannten, richtungs­wei­senden Projekten entsteht. Ideen und relevante Gesetz­ge­bungs­vor­haben werden dabei genau so disku­tiert, wie Fehlschläge, aus denen man immer lernen kann. Die OMNISECURE bietet eine Fülle von Denkan­stößen sowie Begeg­nungen mit renom­mierten Experten. Nicht selten werden hier die Grund­steine für künftige Projekte und Entschei­dungen gelegt.

Wir von SRC freuen uns auf zwei reich­haltige Tage und auf die vielfäl­tigen und reich­hal­tigen Gespräche mit Experten und Kunden.

EMVCo

SRC von EMVCo als SBMP-Evalu­ie­rungs­labor anerkannt

Mobile Payments: Von der Chipkarte auf das mobile Endgerät

Das Mobile Payment ist eine elektro­nische Zahlungsform unter Verwendung von mobilen Endge­räten, wie Mobil­te­le­fonen, Tablets oder Smart­watches. Dabei werden elektro­ma­gne­tische, also kontaktlose, Techniken zur Initi­ierung, Autori­sierung und Reali­sierung der Zahlung einge­setzt. Das macht die Sicherheit dieser Zahlungsform zu einer Herausforderung.

EMVCo und das Software-Based Mobile Payment (SBMP) Programm

EMVCo, die den EMV-Standard definieren, weiter­ent­wi­ckeln und seine Implem­tierung prüfen, stellt sich dieser Heraus­for­de­rungen mit seinem neuen SBPM-Zulas­sungs­prozess. SBPM steht dabei für Software-Based Mobile Payment Evaluation Process. In dieser Evalu­ierung wird geprüft, ob die Sicher­heits­me­cha­nismen und Schutz­maß­nahmen einer Kompo­nente oder ‑Lösung das von EMVCo definierte  Mindest­si­cher­heits­ni­veaus aufweisen. Herstellern wird mit einem Sicher­heits­be­wer­tungs­zer­ti­fikat bescheinigt, dass ihre Produkte bekannten Angriffen standhalten.

Mit dem SBPM-Zulas­sungs­prozess unter­stützt EMVCo die weltweite Sicherheit und Inter­ope­ra­bi­lität mobiler Zahlungs­vor­gänge. Das Angebot an Sicher­heits­be­wer­tungs­pro­zessen umfasste bisher Produkte für integrierte Schal­tungen (IC), Platt­formen und integrierte Schalt­kreise (ICC). EMVCo hat den Anwen­dungs­be­reich seiner Zulas­sungs­pro­zesse nun erstmalig auf Software-Kompo­nenten und ‑Lösungen für mobile Zahlungen erweitert.

EMVCo erkennt SRC als SBPM-Evalu­ie­rungs­labor an

SRC ist von EMVCo, neben den bereits vorhan­denen Anerken­nungen bei Mastercard und Visa als Security Lab/Gutachter für die Bewertung der Sicherheit von Software-Based Mobile Payment Lösungen und Kompo­nenten, anerkannt.

Hierbei führt SRC umfas­sende Prüfungen der Sicher­heits­me­cha­nismen einer Mobile Payment App oder deren Kompo­nenten durch. Dabei werden die umgesetzten Maßnahmen mit State-of-the-Art Methoden nach dem Stand der Technik, wie z.B. Reverse Engineering, Seiten­kanal- und Laufzeit­ana­lysen, unter­sucht sowie deren Widerstandsfähigkeit/Resistenz gegenüber Angreifern und zum Schutz vor Missbrauch bewertet.

Wenn Sie an weiteren Infor­ma­tionen zum Thema oder der Evalu­ierung Ihrer Zahlungs­lösung inter­es­siert sind, können Sie sich gerne an uns wenden.

Unternehmenstag 2019

Unter­neh­menstag 2019 – SRC ist wieder dabei!

Unter­neh­menstag 2019 – Die Karrie­re­messe für Studie­rende und Berufseinsteiger

Das Ende des Studiums ist ersichtlich. Der Abschluss in greif­barer Nähe. Spätestens jetzt benötigen Studie­rende und Absol­venten Kontakt zu ihrem zukünf­tigen Arbeit­geber. SRC freut sich auf diesen Kontakt. Zwei Tage an der Hochschule Bonn Rhein-Sieg auf dem Campus in Sankt Augustin. Hier findet der Unter­neh­menstag 2019 am 13. und 14. November statt.

Die Jobmesse wird mit vielen Angeboten rund um das Thema Karriere und Karrie­re­planung abgerundet. Dazu gehören z.B. Vorträge, Bewer­bungs­fotos, Jobboards und vieles mehr.

Karriere in der IT – SRC gewährt einen Einblick in spannende Aufgabenbereiche

SRC gibt Studie­renden und Absol­venten auch auf dem Unter­neh­menstag 2019 gern die Möglichkeit, einen Einblick in und den Austausch über die vielfäl­tigen Themen­felder der IT-Sicherheit zu nehmen. Die SRC-Experten erläutern den Alltag und die Heraus­for­de­rungen bei der Begut­achtung sicher­heits­re­le­vanter IT-Techno­logien. Eine Auswahl aktueller Themen sind z. B. mobile Bezahl­me­thoden, künst­liche Intel­ligenz und kritische Infra­struk­turen. Von unseren neuen Kollegen erwarten wir einen ausge­prägten Instinkt für poten­zielle Fehler­quellen in komplexen Techno­logien, die Kompetenz zur Findung von Lösungen und das Durch­set­zungs­ver­mögen, das Ergebnis ihrer Arbeit gegenüber den Auftrag­gebern zu vertreten.

Aktuelle Stellen­an­gebote auf unserem Karriereportal

Ob als Werkstu­die­rende in unserem Kunden­ma­nagement oder als Scanworker im Pentestteam – vielfältige und spannende Aufgaben neben dem Studium erledigen ist bei uns kein Problem. Aber auch Absol­venten kommen bei uns auf ihre Kosten – Wir suchen Pentester, Beratende und Analytiker/innen für verschiedene Bereiche in unserem Unternehmen.

Gerne können sich Studie­rende und Absol­venten bereits vorab auf unserem Karrie­re­portal über offene Stellen­an­gebote in unserem Unter­nehmen infor­mieren. Wir stehen gerne für Rückfragen am Unter­neh­menstag zur Verfügung! Außerdem besteht die Möglichkeit, uns Bewer­bungs­un­ter­lagen direkt vor Ort zu überreichen.