SRC TeleTrusT

SRC ist Mitglied im Bundes­verband IT Sicherheit (TeleTrusT)

SRC hat sich zu Beginn des Jahres dem Bundes­verband IT Sicherheit (TeleTrusT) angeschlossen.

Der Bundes­verband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompe­tenz­netzwerk, das in- und auslän­dische Mitglieder aus Industrie, Verwaltung, Beratung und Wissen­schaft sowie thema­tisch verwandte Partner­or­ga­ni­sa­tionen umfasst.

Aufgrund der permanent ändernden Anfor­de­rungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regel­mäßig über neue Notwendig­keiten, Techniken, Prozesse und Regularien infor­mieren und austau­schen müssen.

TeleTrusT bietet hierfür insbe­sondere gute Voraus­set­zungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissen­schaft herge­stellt ist.

SRC wird sich mit ihrer breit gefächerten Expertise in die verschie­denen Arbeits­gruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.

Cyber Resilience

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­ex­perten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 4. bis 7. Mai 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits sechs Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 4. bis zum 7. Mai 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Dr. Deniz Ulucay und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 3. Mai 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Kryptowährung EZB Digitaler Euro

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Payment­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

BSI Medizin- und Pflegeprodukten

BSI veröf­fent­licht Studi­en­ergeb­nisse zur Sicherheit von Medizin- und Pflegeprodukten

Der Gedanke an unsichere Medizin- und Pflege­pro­dukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesund­heits­wesen vertraut man doch als Betrof­fener auf die bestmög­liche Hilfe. Doch gerade bei der fortschrei­tenden Digita­li­sierung und Vernetzung im Gesund­heits­wesen tauchen zunehmend Schwach­stellen in vernetzten Medizin‑, IoT- und Alten­pfle­ge­pro­dukten auf. Werden solche Schwach­stellen entdeckt oder sogar ausge­nutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat daher die Projekte „ManiMed – Manipu­lation von Medizin­pro­dukten“ und „eCare – Digita­li­sierung in der Pflege“ initiiert, um die IT-Sicherheit ausge­wählter Produkte bewerten zu können.

Die nunmehr veröf­fent­lichten Studien des BSI ermög­lichen es Herstellern, die IT-Sicher­heits­ei­gen­schaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizin­pro­dukten darüber infor­miert, welche IT-Sicher­heits­ei­gen­schaften kritisch sein könnten. Verbes­serte IT-Sicher­heits­ei­gen­schaften stärken das Vertrauen der Patien­tinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizin­pro­dukte. In der Studie wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.

An der Erstellung der eCare-Studie hat SRC maßgeblich mitge­wirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Kranken­pflege Anwendung finden. Hierzu zählen beispiels­weise Geräte zur Vital­da­ten­messung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.
Die Ergeb­nisse der Studie finden Sie auf der Webseite des BSI zum Download.

Zusam­men­fassend lässt sich das IT-Sicher­heits­niveau der unter­suchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergeb­nisse lassen belastbar vermuten, dass keines der unter­suchten Produkte samt seiner Schnitt­stellen, Apps etc. einer profes­sio­nellen Sicher­heits­eva­lu­ierung, einem unabhän­gigen Penetra­ti­onstest oder ähnlichem unter­zogen worden ist.

IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet

IT –Sicher­heits­gesetz 2.0 vom Kabinett verabschiedet

Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergan­genen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicher­heits­gesetz 2.0 verab­schiedet. Bundes­in­nen­mi­nister Horst Seehofer bezeichnet es als „Durch­bruch für Deutsch­lands Sicherheit“. Branchen­ver­bände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhalt­lichen Ausge­staltung als auch bei der sehr kurzen Kommen­tie­rungs­frist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Geset­zes­an­pas­sungen wider.

Diskus­si­ons­start im November

Überra­schend wurde im November die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Nach langem Still­stand kam wieder Bewegung in die Diskussion um kritische Infra­struk­turen, deren Betreiber sowie der Rolle des BSI. Die Kommen­tie­rungen der Fachex­perten, die auf inhalt­liche Verbes­serung wesent­licher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unver­hält­nis­mäßige Sankti­onsmaß, Übergangs­fristen, die Zerti­fi­zierung und Meldung des Einsatzes sog. Kriti­scher Kompo­nenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.

Mehr Befug­nisse für das BSI

Klar ist, dass die Befug­nisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neuge­schaf­fender Stellen ablesen, sondern auch im Bestreben, schnellst­möglich eine Cyber­ein­griffs­truppe zu schaffen.

Evalu­ierung des IT-Sig 1.0

Weiterhin steht die gesetzlich festge­legte Evalu­ierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritis­ver­ordnung – und damit insbe­sondere auch die Schwell­werte, ab denen ein Betreiber als Kritische Infra­struktur betrachtet wird – alle zwei Jahre evaluiert werden.

Inhalt­liche Änderungen

Folgenden Punkte sind aus Sicht der SRC-Experten die wesent­lichen Änderungen im neuen IT-SIG:

  • Regelungen zum Einsatzes kriti­scher Komponenten
  • Konkre­ti­sierung der Kennzahlen und Schwell­werte für die größten Unter­nehmen in Deutschland, Einfügen einer Rechts­ver­ordnung zur Offen­legung von Schnitt­stellen und zur Einhaltung etablierter techni­scher Standards.
  • Bußgeld­vor­schriften und Santionierung
  • Änderung der Vorgaben zur Speicherung von Protokolldaten
  • Anglei­chung der Bestands­da­ten­aus­kunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestands­da­ten­aus­kunft II“)
  • Eingrenzung der Durch­führung von Detek­ti­ons­maß­nahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
  • Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorla­ge­pflicht von Betrei­ber­do­ku­menten, soweit die Regis­trie­rungs­pflicht nicht erfüllt wurde.
  • Regelungen zur IT-Sicherheit von Unter­nehmen in beson­derem öffent­lichen Interesse: Vom BSI bereit­ge­stellte Formulare zur Selbst­er­klärung sind nicht mehr verbindlich, mit der Vorlage der Selbst­er­klärung besteht eine Regis­trie­rungs­pflicht beim BSI.
  • Zeitliche Einschränkung der Betre­tens­be­fugnis des BSI zur Prüfung der Voraus­set­zungen der EU VO 2019/881 (EU Cyber­se­curity Act).

Daneben wurden über den gesamten Gesetz­entwurf verteilt, begriff­liche Anpas­sungen und Konkre­ti­sie­rungen vorge­nommen. Am 16.12.2020 hat das Bundes­ka­binett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinetts­fassung steht zum Download zur Verfügung.

Weitere Regelung zur IT-Sicherheit

Der am 09.12.2020 ebenso vorge­legte Referen­ten­entwurf zum Telekom­mu­ni­ka­ti­ons­mo­der­ni­sie­rungs­gesetz (Gesetz zur Umsetzung der Richt­linie (EU) 2018/1972 des Europäi­schen Parla­ments und des Rates vom 11. Dezember 2018 über den europäi­schen Kodex für die elektro­nische Kommu­ni­kation (Neufassung) und zur Moder­ni­sierung des Telekom­mu­ni­ka­ti­ons­rechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

gi-Geldinstitute bericht über EPEC

gi-Geldin­stitute berichtet über EPEC und den Wandel im Zahlungs­verkehr in Europa

gi-Geldin­stitute, die Fachzeit­schrift für IT, Organi­sation und Kommu­ni­kation in Kredit­in­sti­tuten berichtet über EPEC, das European Payment Expert Consortium für den Zahlungs­verkehr und seine Beratungsdienstleistungen.

Mit Blick auf Entwick­lungen und Standards im Zahlungs­verkehr Europas haben drei europäische Experten für die Standar­di­sierung von Zahlungen das European Payment Expert Consortium (EPEC) gegründet. Das sind neben der deutschen SRC Security Research & Consulting GmbH, die franzö­si­schen Unter­nehmen ELITT und FrenchSys. SRC berichtete in dem Beitrag Frenchsys, Elitt und SRC gründen das EPayStan­dards Konsortium.

Das EPEC-Konsortium vereint das bei diversen Standar­di­sie­rungen erworbene Know-how dreier europäi­scher Experten. EPEC bietet Beratungs­dienst­leis­tungen für europäische Zahlungs­dienst­leister an. Dabei werden sowohl die harmo­ni­sierten europäi­schen Standards, als auch lokale Beson­der­heiten berück­sichtigt. Das Angebot deckt unter anderem die Verwendung von Zahlungs­stan­dards, Imple­men­tie­rungs­richt­linien, sowie Funktions- und Sicher­heits­spe­zi­fi­ka­tionen für europa­weite Lösungen für Karten‑, Mobil- und Inter­net­zah­lungen ab.

Der gi-Geldin­stitute berichtet über EPEC. Der Titel Der Zahlungs­verkehr befindet sich im Wandel. Der Beitrag beschreibt Umfeld und bevor­ste­hende Heraus­for­de­rungen der EPEC.

IT-Sicherheitsgesetz 2.0

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

20 Jahre SRC

20 Jahre SRC

Vor 20 Jahren, am 27. November 2000 fand die Gründungs­ver­sammlung der Gesell­schafter der SRC statt. Das ist eine lange Zeit, aber in der Rückschau betrachtet kommt es den handelnden Personen nicht so vor. Diese Wahrnehmung ist natürlich subjektiv, aber ein entschei­dender Faktor hierfür wird sicherlich die rasante Entwicklung im Bereich der Infor­ma­ti­ons­technik sein.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

Anschaulich lässt sich die Arbeit der SRC an solchen Dingen erläutern, die viele Menschen im täglichen Leben erleben. Dies sind allem voran das kontaktlose Bezahlen mit Karte und Handy, der sichere Zugriff auf Bankkonten durch Dritte, die elektro­nische Patien­tenakte, die sichere Kommu­ni­kation im Zusam­menhang mit dem Galileo-System und in der Bundeswehr oder auch ganz „profane“ Dinge wie Flaschen­pfandau­to­maten oder manipu­la­ti­ons­si­chere Regis­trier­kassen – alles Themen der Digita­li­sierung, mit denen Tag für Tag Millionen Menschen in der ein oder anderen Art in Berührung kommen. Die Entwicklung ist damit nicht zu Ende, mit Open Finance, IoT und der verstärkten Nutzung von KI-Methoden stehen noch viele spannende Themen an.

Keine dieser Lösungen wurde von SRC selbst herge­stellt oder wird von SRC betrieben, aber wir haben bei allen einen ganz entschei­denden Beitrag geleistet: Wir sorgen für Vertrauen in diese digitale Lösungen – für Zuver­läs­sigkeit, Sicherheit und Zukunfts­si­cherheit. Wir schaffen „ein gutes Gefühl“ im Umgang mit der Digitalisierung:

  • Standards für neue Techno­logien schaffen Investitionssicherheit,
  • Zuver­lässige Funktio­na­lität neuer Lösungen durch Testen
  • Technische Sicherheit neuer Lösungen durch Sicher­heits­kon­zepte und –prüfungen.

Tatsächlich ist es so, dass dieses „gute Gefühl“, das Vertrauen, so etwas wie der Schmier­stoff der Digita­li­sierung ist. Denn mit der Digita­li­sierung und Techni­sierung des Alltags geht für viele Menschen einher, dass Prozesse nicht mehr überschaubar sind und der Wahrheits­gehalt von Infor­ma­tionen manchmal unklar ist. Vertrauen ermög­licht es, diese Komple­xität zu reduzieren und eröffnet häufig erst die Akzeptanz der mit der Digita­li­sierung angestrebten neuen Möglich­keiten des Erlebens und Handelns.

Die Komple­xität der Digita­li­sierung und der stetig wachsende Bedarf, Vertrauen in neue Lösungen zu schaffen, ist die Geschäfts­grundlage von SRC, der wesent­liche Grund, warum es SRC gibt. Gleich­zeitig ist dies auch eine große Verpflichtung – nämlich dafür zu sorgen, dass neue digitale Lösungen auch wirklich vertrau­ens­würdig sind.

In den 20 Jahren seit Bestehen der SRC haben wir mehr als 20.000 Projekte durch­ge­führt. Jedes Jahr wurden es mehr und auch SRC ist Jahr für Jahr gewachsen – nicht nur bezüglich der Anzahl der Mitar­beiter, sondern ganz besonders bei der Erwei­terung der Expertise, teilweise auf Gebieten, die es zum Zeitpunkt der Gründung der SRC noch nicht gab.

Die gegen­wärtige Pandemie-Situation erlaubt es nicht, das 20jährige Bestehen angemessen feiern zu können, was wir gerne gemeinsam mit unseren Kunden gemacht hätten. Wir denken darüber nach, dies zu einem geeig­neten Zeitpunkt nachzu­holen. Aber auch ohne Party würden wir uns freuen, wenn Sie uns als unsere Kunden auch weiterhin Ihr Vertrauen schenken.

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.