Sicherer Betrieb von Gesund­heits­an­wen­dungen in der Cloud: Ein Rückblick auf die DMEA 2024

Die DMEA 2024 war wieder einmal eine beein­dru­ckende Plattform für Innovation und Austausch im Gesund­heits­wesen. Eines unserer Highlights war die Diskus­si­ons­runde über den sicheren Betrieb von Gesund­heits­an­wen­dungen in der Cloud, bei der unser Kollege Dr. Jens Putzka gemeinsam mit Experten wie Tim Ohlendorf von der gematik GmbH und Jonatan Reiners von kreuz­werker tiefe Einblicke in aktuelle Heraus­for­de­rungen und Lösungen gab.

Heraus­for­de­rungen und Lösungen im Fokus

Während der Diskussion wurden verschiedene Heraus­for­de­rungen angesprochen, die mit dem Betrieb von Gesund­heits­an­wen­dungen in der Cloud einher­gehen. Daten­schutz, Daten­si­cherheit und die Einhaltung von Regulie­rungen sind nur einige der kriti­schen Themen, die bei der Entwicklung und Imple­men­tierung solcher Anwen­dungen berück­sichtigt werden müssen.

Daten­schutz und Datensicherheit

Ein zentraler Punkt der Diskussion war der Daten­schutz. Gesund­heits­daten sind besonders sensibel und müssen mit höchster Sorgfalt behandelt werden. Die Experten betonten die Notwen­digkeit strenger Sicher­heits­pro­to­kolle und Verschlüs­se­lungs­me­thoden, um sicher­zu­stellen, dass Daten während der Übertragung und Speicherung geschützt sind.

Einhaltung von Regulierungen

Die Einhaltung gesetz­licher Vorgaben und Regulie­rungen, wie der Daten­schutz-Grund­ver­ordnung (DSGVO), ist eine weitere Heraus­for­derung. Tim Ohlendorf von der gematik GmbH erläu­terte die Rolle der gematik bei der Sicher­stellung, dass Gesund­heits­an­wen­dungen diesen Vorschriften entsprechen, und wie sie dabei helfen, Standards für die Branche zu setzen.

Innovative Lösungs­an­sätze

Eine der spannendsten Innova­tionen, die vorge­stellt wurden, ist das Konzept des Confi­dential Computing. Diese Techno­logie ermög­licht es, Daten in einer sicheren, isolierten Umgebung zu verar­beiten, wodurch die Sicherheit und Vertrau­lichkeit selbst in Cloud-Umgebungen erheblich verbessert wird.

Confi­dential Computing

Jonatan Reiners von kreuz­werker erläu­terte die Funkti­ons­weise von Confi­dential Computing und wie es einge­setzt werden kann, um sensible Gesund­heits­daten zu schützen. Durch die Nutzung sicherer Hardware und spezi­eller Verschlüs­se­lungs­tech­niken können Daten während ihrer Verar­beitung abgeschirmt werden, was das Risiko von Daten­lecks und unbefugtem Zugriff minimiert.

Fazit und Dankeschön

Die Diskus­si­ons­runde auf der DMEA 2024 zeigte deutlich, dass der sichere Betrieb von Gesund­heits­an­wen­dungen in der Cloud sowohl Heraus­for­de­rungen als auch innovative Lösungs­an­sätze mit sich bringt. Die Exper­ten­runde bot wertvolle Einblicke und praktische Ansätze, die die Zukunft der digitalen Gesundheit sicherer und effizi­enter gestalten können.

Ein herzliches Danke­schön geht an die gematik für die Einladung und die hervor­ra­gende Organi­sation der Veran­staltung. Für alle, die nicht vor Ort in Berlin sein konnten, steht das komplette Video der Diskussion online zur Verfügung.

 

SRC Security Research & Consulting GmbH: Genera­ti­ons­wechsel an der Spitze

Nach fast 25 Jahren erfolg­reicher Führung des Unter­nehmens durch Gerd Cimiotti werden jetzt die Voraus­set­zungen für einen Genera­ti­ons­wechsel in der Führung von SRC – und damit für die nächsten 25 Jahre geschaffen. Mit Wirkung zum 1. August 2024 wird Markus Schierack in die Geschäfts­führung der SRC Security Research & Consulting GmbH, Bonn, berufen.

Als Geschäfts­führer des Zahlungs­ver­kehrs­in­stituts VÖB-ZVD Processing GmbH („Pagateq“), ist er dort bislang u.a. für die Geschäfts­ent­wicklung, Zahlungs­verkehr, Finanzen und Regula­torik verant­wortlich. Markus Schierack bringt in seine neue Tätigkeit langjährige Erfah­rungen der strate­gi­schen Weiter­ent­wicklung und Trans­for­mation im Bereich des Zahlungs­ver­kehrs mit. Der Spezialist für Corporate Finance hatte in den vergan­genen Jahren unter­schied­liche Funktionen innerhalb der Deutschen Bank Gruppe bekleidet. Dabei hat er u.a. in der Konzern­ent­wicklung der Deutsche Postbank AG sowie in der Deutschen Bank diverse strate­gische M&A Trans­for­ma­ti­ons­pro­jekte des Privat­kun­den­ge­schäfts der Bank aktiv begleitet und die Pagateq als BaFin ZAG lizen­sierten Payment Service Provider mit eigener Identität innerhalb der Deutschen Bank Gruppe positioniert.

Gerd Cimiotti, der seit 2001 als Geschäfts­führer der SRC tätig ist, wird den Genera­ti­ons­wechsel und die Übergabe an Markus Schierack bis 2025 aktiv unter­stützen und sich anschließend aus der Geschäfts­führung zurück­ziehen: „Eine der größten Heraus­for­de­rungen für mittel­stän­dische Unter­nehmen ist der gelin­gende Genera­tio­nen­wechsel. Bei SRC tritt mit Markus Schierack die nächste Generation in die Gesamt­ver­ant­wortung für das Unter­nehmen. Ich bin sehr zuver­sichtlich, dass Markus die SRC Security Research & Consulting GmbH nicht nur wirtschaftlich in eine gute Zukunft führen, sondern auch die beson­deren Werte unseres Unter­nehmens lebendig halten wird.“, erklärt Cimiotti.

Der Zeitraum wurde bewusst so festgelegt, um einen schritt­weisen Übergang zu ermög­lichen. In diesem Zuge dankt die SRC Gesell­schaf­ter­ver­sammlung Herrn Cimiotti für die vertrau­ens­volle Zusam­men­arbeit sowie seinen erfolg­reichen und unermüd­lichen Einsatz, die SRC zu einem führenden IT- Sicher­heits-Kompe­tenz­zentrum zu entwickeln.

Markus Schierack kennt SRC bereits sehr gut aus seiner Rolle als Vorsit­zender der Gesell­schaf­ter­ver­sammlung von SRC und wechselt nun zum 1. August in die Geschäfts­führung. Markus Schierack freut sich auf die Heraus­for­derung, die er gemeinsam mit den Mitar­bei­tenden bei SRC meistern will: „Mein Herz schlägt für das Unter­nehmen und ich hatte durch meine Tätigkeit als Vertreter eines Gesell­schafters der SRC Security Research & Consulting GmbH bereits Gelegenheit, SRC gut kennenzulernen.“

Unter­stützt wird der 43-Jährige von Randolf Skerka, der perspek­ti­visch das Prüfungs­ge­schäft von SRC verant­worten soll. Der heutige Vertriebs­leiter von SRC kennt das Unter­nehmen und insbe­sondere das Prüfungs­ge­schäft bereits seit vielen Jahren aus unter­schied­lichen Funktionen bei SRC. „Für mich sind stets Teams mit starken Persön­lich­keiten wichtig, um anste­hende Heraus­for­de­rungen zu meistern. So bin ich dankbar, mit Randolf Skerka einen extrem erfah­renen Sparrings­partner an meiner Seite zu wissen“, sagt der zukünftige Geschäfts­führer Markus Schierack.

 

Über die SRC Security Research & Consulting GmbH

SRC ist das gemeinsame Kompe­tenz­zentrum der deutschen Kredit­wirt­schaft für IT-Sicherheit. Getragen von den vier kredit­wirt­schaft­lichen Verlagen (Bank-Verlag GmbH, DG-Nexolution eG, S‑Payment GmbH und VÖB ZVD-Processing GmbH) sowie den im Beirat des Unter­nehmens vertre­tenen Spitzen­ver­bänden der deutschen Kredit­wirt­schaft (Bundes­verband deutscher Banken e.V., Bundes­verband der Deutschen Volks­banken und Raiff­ei­sen­banken e.V., Bundes­verband Öffent­licher Banken Deutsch­lands e.V., Deutscher Sparkassen- und Giroverband e.V.) wurde SRC im Jahr 2000 gegründet.

Im April 2001 trat Gerd Cimiotti in die Geschäfts­führung des Unter­nehmens ein und leitete den Ausbau von SRC zu einem führenden IT- Sicher­heits­dienst­leister in Europa. Mit mehr als 120 Mitar­bei­tenden ist SRC nicht nur eine der ersten Adressen, wenn es um technische Innova­tionen im Payment geht, sondern SRC bietet auch ein umfas­sendes IT-Sicher­heits- und Audit­pro­gramm, mit dem Kunden auf der ganzen Welt unter­stützt werden.

Für die Zukunft ist vorge­sehen, beide Geschäfts­felder noch weiter auszu­bauen und die sich abzeich­nenden Markt­chancen zu nutzen. Mit dem neuen Führungsteam rund um Markus Schierack wird eine wichtige Voraus­setzung hierfür geschaffen. Der gleitende Übergang in der Führung von Gerd Cimiotti auf Markus Schierack gewähr­leistet gleich­zeitig die notwendige Kontinuität.

Die Bedeutung von Penetra­ti­ons­tests für die Sicherheit von Unternehmen

In einer zunehmend digita­li­sierten Welt ist die Sicherheit von Unter­neh­mens­netz­werken und sensiblen Daten von größter Bedeutung. Eine bewährte Methode, um die Sicherheit von Systemen zu überprüfen und Schwach­stellen aufzu­decken, ist die Durch­führung von sog. Penetra­ti­ons­tests. Penetra­ti­ons­tests sind simulierte Angriffe auf IT-Infra­struk­turen, Anwen­dungen oder Netzwerke, die darauf abzielen, Sicher­heits­lücken aufzu­decken, bevor sie von böswil­ligen Akteuren ausge­nutzt werden können.

Warum Penetra­ti­ons­tests unerlässlich sind

Stellen Sie sich vor, Sie möchten Ihr Grund­stück vor unerlaubtem Zutritt schützen. Sie könnten alle verfüg­baren Sicher­heits­maß­nahmen ergreifen, wie hohe Zäune, Alarm­an­lagen und Sicher­heits­ka­meras instal­lieren. Doch wie können Sie sicher sein, dass ein erfah­rener Einbrecher nicht eine Schwach­stelle ausnutzen könnte, die Ihnen nicht bewusst ist? Hier kommt der Penetra­ti­onstest ins Spiel. Ähnlich wie wenn Sie einen profes­sio­nellen Einbrecher beauf­tragen würden, Ihr Grund­stück zu testen, simuliert ein Penetra­ti­onstest gezielte Angriffe, um poten­zielle Schwach­stellen aufzu­decken, bevor sie von echten Angreifern ausge­nutzt werden können. Auf diese Weise erhalten Sie einen realis­ti­schen Einblick in die Sicher­heitslage Ihres Unter­nehmens und können gezielt Maßnahmen ergreifen, um diese zu verbessern.

Die Vorteile von Penetrationstests

Die Durch­führung von Penetra­ti­ons­tests bietet eine Vielzahl von Vorteilen für Unter­nehmen. Zum einen ermög­licht es eine umfas­sende Bewertung der Sicher­heitslage und hilft, poten­zielle Schwach­stellen aufzu­decken, bevor sie von Angreifern ausge­nutzt werden können. Darüber hinaus trägt ein regel­mäßig durch­ge­führter Penetra­ti­onstest dazu bei, das Vertrauen von Kunden und Partnern in die Sicher­heits­maß­nahmen eines Unter­nehmens zu stärken. Nicht zuletzt können durch die Identi­fi­zierung und Behebung von Schwach­stellen erheb­liche finan­zielle und recht­liche Risiken vermieden werden.

Welche Dienst­leis­tungen gibt es  im Zusam­menhang mit Penetrationtests?

Bei der SRC bieten wir umfas­sende Penetra­ti­ons­tests an, die auf die spezi­fi­schen Anfor­de­rungen und Bedürf­nisse unserer Kunden zugeschnitten sind. Unsere Experten führen Penetra­ti­ons­tests in verschie­denen Bereichen durch, darunter:

1. Point-of-Sale (POS)-Systeme: POS-Systeme sind ein wichtiger Bestandteil vieler Unter­nehmen, insbe­sondere im Einzel­handel und in der Gastro­nomie. Unsere Penetra­ti­ons­tests zielen darauf ab, die Sicherheit dieser Systeme zu bewerten und poten­zielle Schwach­stellen aufzu­decken, die die Integrität von Trans­ak­tionen gefährden könnten.

2. Apps: Mit der zuneh­menden Verwendung von mobilen Anwen­dungen in Unter­nehmen ist es wichtig, auch deren Sicherheit zu gewähr­leisten. Unsere App-Penetra­ti­ons­tests konzen­trieren sich auf die Sicherheit von mobilen Anwen­dungen, um poten­zielle Schwach­stellen aufzu­decken, die von Angreifern ausge­nutzt werden könnten, um auf sensible Unter­neh­mens­daten zuzugreifen oder die Integrität der Anwendung zu beeinträchtigen.

3. Weban­wen­dungen: Mit der zuneh­menden Verla­gerung von Geschäfts­pro­zessen ins Internet sind Weban­wen­dungen zu einem bevor­zugten Angriffsziel für Hacker geworden. Unsere Web-Penetra­ti­ons­tests identi­fi­zieren Sicher­heits­lücken in Weban­wen­dungen, einschließlich Cross-Site-Scripting (XSS), SQL-Injection und anderen poten­zi­ellen Angriffsvektoren.

4. Einzelne Systeme: Neben Weban­wen­dungen sind auch interne Systeme und Anwen­dungen anfällig für Angriffe. Unsere System-Penetra­ti­ons­tests decken Schwach­stellen in Betriebs­sys­temen, Servern, Daten­banken und anderen internen Systemen auf, um die Gesamt­si­cherheit des Unter­nehmens zu verbessern.

5. Infra­struktur: Die Sicherheit der Netzwerk­in­fra­struktur ist entscheidend für den Schutz sensibler Unter­neh­mens­daten. Unsere Infra­struktur-Penetra­ti­ons­tests identi­fi­zieren Schwach­stellen in Netzwerken, Firewalls, Routern und anderen Netzwerk­kom­po­nenten, um ein hohes Maß an Sicherheit zu gewährleisten.

Die verschie­denen Methoden der Penetrationstests

Bei uns im Hause unter­scheiden wir verschiedene Ansätzt bei Penetrationtests.

1. Intern vs. Extern: Bei internen Penetra­ti­ons­tests imitieren wir poten­zielle Angriffe von innerhalb des Unter­neh­mens­netz­werks heraus. Dies ermög­licht es, Schwach­stellen zu identi­fi­zieren, die von autori­sierten Benutzern oder internen Systemen ausge­nutzt werden könnten. Externe Penetra­ti­ons­tests hingegen simulieren Angriffe von außen auf das Unter­neh­mens­netzwerk. Hierbei liegt der Fokus darauf, Sicher­heits­lücken zu finden, die von externen Angreifern ausge­nutzt werden könnten, um Zugriff auf das interne Netzwerk zu erlangen. Die Kombi­nation von internen und externen Tests bietet eine umfas­sende Sicher­heits­be­wertung und hilft dabei, sowohl externe als auch interne Bedro­hungen effektiv zu bekämpfen.

2. White‑, Grey- und Black-Box Ansätze: Penetra­ti­ons­tests werden oft in den Kategorien White Box, Grey Box und Black Box unter­teilt, je nachdem, wie viel Wissen dem Prüfer über die internen Struk­turen des Systems zur Verfügung steht. White Box Tests beinhalten volle Kenntnis über die internen Struk­turen des Systems. Grey Box Tests hingegen geben dem Prüfer nur teilweise Kenntnis über das System, was einer realis­ti­scheren Simulation externer Angriffe entspricht. Black Box Tests hingegen erfolgen ohne Kenntnis über das interne System, um die Reaktion des Systems auf einen echten, unvor­her­seh­baren Angriff zu testen. Die Wahl des Ansatzes hängt von den spezi­fi­schen Zielen des Tests ab. White Box Tests sind nützlich, um Schwach­stellen in bestimmten System­kom­po­nenten zu identi­fi­zieren, während Grey und Black Box Tests die Gesamt­si­cherheit des Systems überprüfen und realis­tische Szenarien simulieren.

Sicherheit in guten Händen

Unsere Penetra­ti­ons­tests werden von erfah­renen Sicher­heits­experten durch­ge­führt, die über umfang­reiche Kennt­nisse in den Bereichen Infor­ma­ti­ons­si­cherheit und Ethical Hacking verfügen. Mit unserer Hilfe können Unter­nehmen poten­zielle Sicher­heits­ri­siken proaktiv identi­fi­zieren und geeignete Maßnahmen ergreifen, um ihre Systeme und Daten zu schützen. Kontak­tieren Sie noch heute SRC GmbH, um mehr über unsere Penetra­ti­onstest-Services zu erfahren und die Sicherheit Ihres Unter­nehmens zu stärken.

SRC und die DAkkS-Akkre­di­tierung nach ISO/IEC EN 17025: Ein wichtiger Schritt in Richtung EUCC 

SRC Security Research & Consulting GmbH kann einen weiteren bedeu­tenden Erfolg verzeichnen: Die erfolg­reiche Akkre­di­tierung durch die Deutsche Akkre­di­tie­rungs­stelle (DAkkS) nach DIN EN ISO/IEC 17025. Dieser Schritt unter­streicht nicht nur die Kompetenz und Zuver­läs­sigkeit unseres Prüflabors für Common Criteria (CC), sondern bereitet uns auch auf die Einführung der EUCC (European Common Criteria) vor, eine wichtige Entwicklung in der europäi­schen Cybersicherheitslandschaft.

Bedeutung der DAkkS-Akkreditierung

Die Akkre­di­tierung nach DIN EN ISO/IEC 17025 ist ein klares Zeichen für die Profes­sio­na­lität und den Anspruch von SRC, erstklassige Prüfdienst­leis­tungen anzubieten. Sie bestätigt, dass unser CC-Prüflabors den inter­na­tional anerkannten Standards entspricht und vertrau­ens­würdige, konsis­tente Ergeb­nisse liefert.

Vorbe­reitung auf die EUCC

Die EUCC stellt das auf den Common Criteria basie­rende europäische Zerti­fi­zie­rungs­schema dar, soll die Sicher­heits­zer­ti­fi­zierung von IKT-Produkten in Europa verbessern. Mit unserer DAkkS-Akkre­di­tierung ist SRC nun bestens gerüstet, um die Heraus­for­de­rungen der EUCC zu meistern und eine führende Rolle in der IT-Sicher­heits­zer­ti­fi­zierung in Europa zu übernehmen. Die EUCC erweitert die Anfor­de­rungen der bishe­rigen Common Criteria und wird künftige Zerti­fi­zie­rungen in der EU grund­legend prägen.

Unser Engagement für Qualität und Genauigkeit

Mit dieser Akkre­di­tierung demons­triert SRC sein Engagement für höchste Quali­täts­stan­dards und Unpar­tei­lichkeit in unseren Labor­tä­tig­keiten. Wir sind stolz darauf, diesen Meilen­stein erreicht zu haben und freuen uns darauf, unseren Kunden weiterhin Dienst­leis­tungen auf höchstem Niveau anzubieten.

Bei weiteren Fragen stehen unser Sales-Team Ihnen jederzeit zur Verfügung!

SRC TeleTrusT

SRC ist dem Bundes­verband IT Sicherheit (TeleTrusT) angeschlossen

SRC hat sich dem Bundes­verband IT Sicherheit (TeleTrusT) angeschlossen.

Der Bundes­verband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompe­tenz­netzwerk, das in- und auslän­dische Mitglieder aus Industrie, Verwaltung, Beratung und Wissen­schaft sowie thema­tisch verwandte Partner­or­ga­ni­sa­tionen umfasst.

Aufgrund der permanent ändernden Anfor­de­rungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regel­mäßig über neue Notwendig­keiten, Techniken, Prozesse und Regularien infor­mieren und austau­schen müssen.

TeleTrusT bietet hierfür insbe­sondere gute Voraus­set­zungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissen­schaft herge­stellt ist.

SRC wird sich mit ihrer breit gefächerten Expertise in die verschie­denen Arbeits­gruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.

Weihnachten für alle 2023

Wir freuen uns darauf, die Adventszeit und die bevor­ste­henden Feiertage im Kreise unserer Familien und Freunde zu verbringen, und wir hoffen, dass auch Sie diese Zeit genießen können. Doch trotz der festlichen Stimmung dürfen wir nicht die schwierige Lage in vielen Ländern der Erde aus den Augen verlieren.

Wie bereits im letzten Jahr haben wir uns auch in diesem Jahr entschieden, auf Geschenke für unsere Mitar­bei­tenden und Geschäfts­partner zu verzichten. Statt­dessen möchten wir erneut die Winter­hilfe für die Ukraine unter­stützen, welche vom Verein Help e.V. in bewun­derns­werter Weise organi­siert wird.

Unzählige Menschen in der Ukraine sind den winter­lichen Tempe­ra­turen schutzlos ausge­liefert. Der Krieg hat starke Spuren im ganzen Land hinter­lassen. Neben öffent­lichen Einrich­tungen wurden etwa 170.000 Wohnge­bäude beschädigt – Häuser, in denen weiterhin Menschen wohnen. Ohne Fenster, die vor Kälte und Wind schützen, ohne ausrei­chende Wasser‑, Strom- und Gasver­sorgung. Help leistet Winter­hilfe und sorgt dafür, dass Familien ein warmes Zuhause haben und versorgt sie darüber hinaus mit dringend benötigten Hilfs­gütern und warmen Mahlzeiten.

Wir denken, dass wir mit unserer Unter­stützung für Help auch im Sinne aller unserer Geschäfts­partner handeln und hoffen, auf diese Weise ein wenig dazu beitragen zu können, dass Weihnachten auch in der Ukraine ankommt.

Wir und unser gesamtes Team möchten Ihnen von Herzen für Ihr Vertrauen und Ihre Unter­stützung im vergan­genen Jahr danken. Wir freuen uns auf das kommende Jahr und darauf, mit Ihnen gemeinsam weitere spannende Projekte umzusetzen.

Bis dahin wünschen wir Ihnen eine besinn­liche Weihnachtszeit, erholsame freie Tage und einen gelun­genen Start ins neue Jahr, voller Chancen und Inspiration.

 

 

ID:Smart Workshop 2024 mit SRC GmbH

Am 21. und 22. Februar 2024 findet der

ID:Smart Workshop 2024

in Darmstadt statt.

Der Workshop, der früher unter dem Namen Smartcard-Workshop bekannt war, ist seit 1991 die Referenz­ver­an­staltung für praxis­ori­en­tierte Forscher, Mitglieder von Standar­di­sie­rungs­gruppen, Entschei­dungs­träger und Experten aus Unter­nehmen und staat­lichen Verwaltungen.

Hier geht es zur Anmeldung.

Die Beiträge des Workshops befassen sich mit Innova­tionen, Vorschriften, Standards, Zerti­fi­zie­rungen oder Imple­men­tie­rungen in Bezug auf elektro­nische Identi­täten für vernetzte Geräte und Personen, wobei der Schwer­punkt auf anwen­dungs­be­zo­genen oder grund­le­genden Themen und Forschungs­ar­beiten liegt, wie z. B.:

  • Alle Aspekte der Lebens­zyklen digitaler Identitäten
  • Techno­logien und bewährte Praktiken der Branche in Bezug auf Krypto­grafie als PQC, Konfor­mitäts- und Inter­ope­ra­bi­li­täts­tests, Bewertung und Zertifizierung
  • Identi­täts­tech­no­logien wie Reise- und Ausweis­do­ku­mente, Brief­ta­schen, quali­fi­zierte elektro­nische Beschei­nigung von Eigen­schaften, Identi­täts­nachweis usw.
  • Anwen­dungs­fälle für Verbraucher und Indus­trien wie Secure IoT, Automation, Gesund­heits­wesen, Mobilität/Automobil, Regie­rungs­dienste und andere.

Unser Kollege, Detlef Kraus ist Mitglied der Programmbeirats.

 

Die Konfe­renz­sprache ist Englisch, einschließlich aller Präsentationen.

Detail­lierte Hinweise zur Anmeldung und zum Programm finden sie auf der Webseite des ID:Smart Workshops.

PCI DSS

Unser Dezember-Blog-Eintrag zu PCI DSS v4.0: Targeted Risk Analysis

Das Jahr neigt sich dem Ende zu – und der PCI DSS v3.2.1 auch.

Das PCI Security Standards Council (PCI SSC) hat gerade neue Dokumente zum neuen Konzept „Targeted Risk Analysis“ (gezielten Risiko­analyse) veröf­fent­licht – das nehmen wir doch gleich zum Anlass, das Thema mal etwas genauer zu betrachten.

Targeted Risk Analysis – was ist das?

Der PCI DSS v4.0 zielt darauf ab, mehr Flexi­bi­lität zu ermög­lichen. Eines der Werkzeuge hierfür ist die sogenannte „Targeted Risk Analysis“ (gezielten Risikoanalyse).

Gezielte Risiko­ana­lysen unter­scheiden sich von den firmen­über­grei­fenden Risiko­ana­lysen, die in PCI DSS v3.2.1 gefordert waren. Sie betrachten die konkreten Risiken für einen ganz spezi­ellen Anwendungsfall.

Im PCI DSS v4.0 kommen gezielte Risiko­ana­lysen an zwei Stellen vor:

  • Einige Anfor­de­rungen des Standards verlangen gezielte Risiko­ana­lysen, um festzu­legen, wie häufig eine bestimmte regel­mäßige Maßnahme durch­ge­führt werden sollte.
  • Außerdem ist die gezielte Risiko­analyse Teil des sogenannten „Custo­mized Approach“, mit dem man eine Anfor­derung auf eigene Weise, abwei­chend von der wortwört­lichen Umsetzung, umsetzen kann.

Wir werden uns hier auf den ersten Fall konzen­trieren, da wir dem Custo­mized Approach im Februar noch einen eigenen Blog-Eintrag widmen werden.

Wo wird sie gefordert?

Eine gezielte Risiko­analyse wird bei den folgenden Anfor­de­rungen gefordert:

  • 5.2.3.1: Wenn eine Organi­sation für System­kom­po­nenten evaluiert hat, dass diese üblicher­weise nicht von Malware betroffen sind und daher keine Anti-Malware-Lösung benötigen, dann muss in regel­mä­ßigen Abständen überprüft werden, ob dies immer noch so ist. Die Häufigkeit dieser Überprü­fungen muss in einer gezielten Risiko­analyse festgelegt werden.
  • 5.3.2.1: Wenn regel­mäßige Malware-Scans verwendet werden, muss deren Häufigkeit in einer gezielten Risiko­analyse festgelegt werden.
  • 7.2.5.1: Häufig gibt es nicht nur Nutzer­konten, die von Personen genutzt werden, sondern auch technische Nutzer­konten, die von Systemen oder Anwen­dungen genutzt werden. Deren Zugriffs­rechte müssen regel­mäßig überprüft werden. Die Häufigkeit dieser Überprü­fungen muss in einer gezielten Risiko­analyse festgelegt werden.
  • 8.6.3: Passwörter für die genannten techni­schen Nutzer­konten müssen geschützt werden. Die Häufigkeit der Passwort­wechsel und die Passwort-Komple­xität müssen in einer gezielten Risiko­analyse festgelegt werden.
  • 9.5.1.2.1: Zahlgeräte (Zahlter­minals) am Point of Inter­action müssen regel­mäßig inspi­ziert werden, um Manipu­la­tionen oder gar ihren Austausch zu erkennen. Die Häufigkeit und Art der Inspek­tionen müssen in einer gezielten Risiko­analyse festgelegt werden.
  • 10.4.2.1: Sicher­heits­kri­tische Logs (Security Events sowie Logs von Systemen, die mit Karten­daten in Berührung kommen, Sicher­heits­funk­tio­na­lität haben oder ander­weitig kritisch sind) müssen mindestens einmal am Tag einem Review unter­zogen werden, um auffällige Aktivi­täten zeitnah zu entdecken. Die Häufigkeit des Reviews für alle anderen Logs muss in einer gezielten Risiko­analyse festgelegt werden.
  • 11.3.1.1: Werden bei internen Schwach­stel­len­scans hochris­kante oder kritische Schwach­stellen entdeckt, müssen diese behoben werden. Für niedriger einge­stufte Schwach­stellen muss eine gezielte Risiko­analyse festlegen, wie diese zu adres­sieren sind.
  • 11.6.1: E‑Com­merce-Zahlseiten müssen regel­mäßig mit einem Mecha­nismus zur Erkennung von Änderungen und Manipu­la­tionen überprüft werden. Dieser Mecha­nismus muss mindestens alle sieben Tage angewendet werden – andern­falls muss eine geringere Häufigkeit mit einer gezielten Risiko­analyse begründet werden.
  • 12.10.4.1: Das Personal, das für die Reaktion auf Sicher­heits­vor­fälle zuständig ist, muss darin geschult werden. Die Häufigkeit dieser Schulungen muss in einer gezielten Risiko­analyse festgelegt werden.

Wie kann man die gezielte Risiko­analyse durchführen?

Wie die gezielte Risiko­analyse durch­ge­führt werden soll, ist in Anfor­derung 12.3.1 des PCI DSS v4.0 definiert. Hier ist festgelegt, dass die Analyse zunächst mindestens folgende Punkte identi­fi­zieren muss:

  • Die zu schüt­zenden Güter (Assets). Zu schüt­zende Assets sind natürlich immer die Karten­daten selbst, aber zusätzlich können es auch Assets wie Systeme oder Passwörter sein.
  • Die Bedro­hungen, gegen die die entspre­chende PCI DSS-Anfor­derung schützen soll.
    Zur Bestimmung der entspre­chenden Bedro­hungen ist es hilfreich, das „Custo­mized Approach Objective“ der entspre­chenden bzw. der überge­ord­neten PCI DSS-Anfor­derung zu Rate zu ziehen, da in dieser Zielsetzung häufig bereits Bedro­hungen benannt sind, gegen die die Anfor­derung schützen soll.
  • Faktoren, die die Eintritts­wahr­schein­lichkeit und/oder die Auswir­kungen der Reali­sierung der genannten Bedro­hungen beitragen.

Werden wir konkret und nehmen als Beispiel die Anfor­derung 9.5.1.2.1.

Hier sind sowohl die Karten­daten als auch die Zahlgeräte die zu schüt­zenden Assets.

Das „Custo­mized Approach Objective“ der überge­ord­neten Anfor­derung 9.5.1.2 ist, dass die Manipu­lation der Geräte, unauto­ri­sierter Austausch der Geräte, sowie das Anbringen von Skimming-Devices nicht ohne zeitnahe Entde­ckung durch­ge­führt werden können.

Typische Bedro­hungs­sze­narien wären also bspw.:

  • Angreifer bringen Skimming-Devices an, welche Eingaben mitlesen.
  • Angreifer geben sich als Service-Techniker oder Mitar­beiter des Geräte-Providers aus und tauschen das Zahlgerät durch ein manipu­liertes Zahlgerät aus, welches die Karten­daten anschließend mitliest und an Angrei­fende weiterleitet.
  • Angreifer stehlen ein Zahlgerät, auf dem im Fall von offline Trans­ak­tionen Daten temporär gespei­chert sein könnten.
  • Angreifer manipu­lieren das Zahlgerät so, dass dessen Sicher­heits­funk­tio­na­lität geschwächt wird (bspw. Verschlüs­selung ausgeschaltet).

Faktoren, die sich auf die Reali­sierung der Bedro­hungen auswirken können, sind in dem Fall zum Beispiel:

  • Wie leicht ist das Zahlgerät für Kunden und Dritte erreichbar? Ist es sicher befestigt?
  • Ist das Zahlgerät dauerhaft unter Beaufsichtigung?
  • Wie gut ist das Personal vor Ort quali­fi­ziert und geschult?
  • Sind das Zahlgerät und die Daten darin vor Manipu­la­tionen geschützt, und ist dies durch eine PCI PTS-Zerti­fi­zierung des Geräts und/oder eine PCI P2PE-Zerti­fi­zierung der ganzen Lösung nachgewiesen?
  • Wie stark frequen­tiert ist das Zahlgerät? (Das kann einen Einfluss darauf haben, ob es ein besonders lohnens­wertes Ziel für den Angreifer ist.)
  • Hat der Geräte-Provider in seiner Dokumen­tation Empfeh­lungen gegeben, wie häufig die Geräte überprüft werden sollen?

Aus den gesam­melten Faktoren resul­tiert dann schließlich die Analyse, die bestimmt, wie häufig eine Tätigkeit ausge­führt werden muss, um die Wahrschein­lichkeit, dass die Bedro­hungen eintreten, zu minimieren.

Faktoren und Ergeb­nisse der gezielten Risiko­analyse müssen dokumen­tiert werden.

Mindestens alle 12 Monate muss jede gezielte Risiko­analyse einem Review unter­zogen werden, um zu überprüfen, ob sie noch zutrifft. Hat es Verän­de­rungen in den Faktoren oder in der Einschätzung gegeben, muss die Risiko­analyse entspre­chend aktua­li­siert werden.

Hilfe­stel­lungen

Wie bei jeder Anfor­derung des PCI DSS v4.0 lohnt sich als erstes ein Blick in die „Guidance“-Spalte, die im Standard rechts von der Anfor­derung steht.

Zusätzlich hat das PCI SSC am 28. November 2023 drei unter­stüt­zende Dokumente veröffentlicht:

Und wie immer können Sie auch gerne die PCI DSS-Experten von SRC um Unter­stützung bitten.

Ausblick

Dies ist der letzte Beitrag zu PCI DSS v4.0 für dieses Jahr. Wir setzen unsere monat­liche Blog-Reihe nächstes Jahr fort – freuen Sie sich dann auf die Themen

  • Januar: Änderungen im E‑Commerce: Was ändert sich beim Self-Assessment Questi­on­naire A?
  • Februar: Custo­mized Approach
  • März: Änderungen im E‑Commerce: Integri­täts­schutz von Zahlseiten.

Kommen Sie gut ins neue Jahr und bleiben Sie gesund!

BSI Lagebericht 2023

Der BSI-Lagebe­richt 2023: Sichern Sie Ihr Unter­nehmen – entdecken Sie unsere Lösungen

Der jüngste Lagebe­richt des Bundes­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI) für das Jahr 2023 zeichnet ein Bild der deutschen Cyber­si­cher­heits­land­schaft, das zugleich Heraus­for­de­rungen und Handlungs­auf­for­de­rungen offenlegt. Mit dem Fortschreiten der Digita­li­sierung in allen Lebens­be­reichen nimmt auch die Komple­xität und die Anzahl der Cyber­be­dro­hungen zu. 

Konkrekte IT-Sicher­heits­be­dro­hungen 2023

Besonders Ransomware-Angriffe, die darauf abzielen, Unter­neh­mens­daten zu verschlüsseln und Lösegeld­for­de­rungen zu stellen, werden immer ausge­feilter und treffen nicht nur Großkon­zerne, sondern zunehmend kleinere und mittel­stän­dische Unter­nehmen sowie öffent­liche Institutionen.

Ein weiteres promi­nentes Thema des Berichts ist der poten­zielle Missbrauch von Künst­licher Intel­ligenz (KI). Mit der rasanten Entwicklung von KI-Techno­logien und deren Anwen­dungs­mög­lich­keiten entstehen neue Angriffs­mög­lich­keiten. KI-gestützte Angriffe, darunter Deep Fakes und manipu­lierte Chatbots, stellen eine ernst­zu­neh­mende Bedrohung dar, die nicht nur die Sicherheit von Infor­ma­tionen, sondern auch die gesell­schaft­liche Stabi­lität unter­graben kann.

Die geopo­li­ti­schen Spannungen, insbe­sondere der Konflikt in der Ukraine, zeigen ferner, dass Cyber­an­griffe zunehmend auch als Mittel der Kriegs­führung und politi­schen Einfluss­nahme einge­setzt werden. Diese Entwick­lungen sind nicht nur auf staat­liche Akteure beschränkt, sondern betreffen auch die Wirtschaft und die Zivil­ge­sell­schaft. Das BSI hebt hervor, dass die Sicherheit im Cyberraum nicht mehr nur eine Frage der techni­schen Abwehr ist, sondern eine gesamt­ge­sell­schaft­liche Anstrengung erfordert.

Die Empfehlung des BSI, die „Cyber­re­si­lienz“ zu stärken, bekräftigt die Notwen­digkeit, proaktiv und präventiv vorzu­gehen. Dies bedeutet, dass Unter­nehmen und Behörden nicht nur auf Angriffe reagieren, sondern die Wider­stands­fä­higkeit ihrer Systeme im Voraus verbessern müssen.

Hier setzt die Expertise der SRC GmbH an, einem Unter­nehmen, das auf die Sicher­heits­be­dürf­nisse im digitalen Zeitalter spezia­li­siert ist.

Wie SRC helfen kann, Cyber­re­si­lienz herzu­stellen 

  • Risiko­analyse und Prävention: SRC bietet indivi­duelle Risiko­ana­lysen, um Unter­nehmen dabei zu unter­stützen, ihre Schwach­stellen zu identi­fi­zieren und zu beheben, bevor sie ausge­nutzt werden können.
  • Sicher­heits­ar­chi­tektur und Design: Durch das Design von robusten Sicher­heits­ar­chi­tek­turen trägt SRC dazu bei, dass die Systeme ihrer Kunden auch gegen fortschritt­liche Bedro­hungen bestehen können.
  • Schulungen und Bewusstsein: SRC organi­siert Schulungen für Mitar­beiter, um das Bewusstsein für Cyber­si­cherheit zu schärfen und sicher­zu­stellen, dass Sicher­heits­richt­linien verstanden und einge­halten werden.
  • Regula­to­rische Compliance und Standards: SRC berät zum Thema regula­to­rische Anfor­de­rungen und hilft Unter­nehmen, den gesetz­lichen und norma­tiven Anfor­de­rungen zu entsprechen.
  • Innovation und Techno­lo­gie­be­ratung: Mit Expertise in modernen Techno­logien wie Block­chain und KI entwi­ckelt SRC innovative Lösungen, die nicht nur sicher, sondern auch zukunfts­ori­en­tiert sind.
  • Notfall­planung und Reaktion: Im Falle eines Cyber­an­griffs unter­stützt SRC bei der schnellen Reaktion und Bereit­stellung von Notfall­plänen, um den Schaden zu minimieren und den Geschäfts­be­trieb aufrechtzuerhalten

Nutzen Sie die Erkennt­nisse aus dem BSI-Lagebe­richt 2023 als entschei­denden Impuls, um Ihre Cyber­si­cher­heits­maß­nahmen gezielt zu überprüfen und zu optimieren – die SRC GmbH steht bereit, um mit Ihnen die kriti­schen Sicher­heits­be­reiche zu stärken und Resilienz gegenüber aktuellen und zukünf­tigen Cyber­be­dro­hungen aufzubauen

SRC GmbH: Ihr zerti­fi­ziertes MPoC-Labor

Einführung des MPoC-Standards
Nach jahre­langer inten­siver Arbeit und umfas­sendem Feedback aus der Gemein­schaft hat die PCI SSC kürzlich ihren neuen Sicher­heits­standard für Kredit­kar­ten­zah­lungen auf Händler­ge­räten wie Smart­phones oder Tablets veröf­fent­licht, bekannt als Mobile Payments on Commercial Off-The-Shelf (MPoC).

Integration und Neue Funktionen
Der MPoC-Standard integriert vorhandene Anwen­dungs­fälle aus den CPoC- und SPoC-Standards und fügt neue Zahlungs­funk­tio­na­li­täten sowie Zerti­fi­zie­rungs­me­thoden hinzu. Er ermög­licht beispiels­weise PIN-basierte Trans­ak­tionen ohne zusätz­liches Sicher­heits­gerät und unter­stützt Offline-Transaktionen.

Anerkennung durch den PCI Security Standards Council
Der PCI Security Standards Council (PCI SSC) ist eine globale Organi­sation, die die Payment Card Industry-Standards für den Schutz von Karten­in­haber­daten weltweit pflegt, weiter­ent­wi­ckelt und fördert. Durch die Zerti­fi­zierung des SRC GmbH als MPoC-Labor bestätigt der PCI SSC die Fähig­keiten und die Einhaltung der erfor­der­lichen Sicher­heits­stan­dards durch die SRC GmbH.

Ihre Vorteile durch unsere MPoC-Zertifizierung
Wir freuen uns, Ihnen mitteilen zu können, dass die SRC GmbH kürzlich als eines der MPoC-Labore zerti­fi­ziert wurde. Unsere Zerti­fi­zierung ermög­licht es uns, die MPoC-Software, Attestation & Monitoring Dienste, oder auch komplette MPoC-Lösungen zu zerti­fi­zieren. Diese Anerkennung positio­niert uns an der Spitze der mobilen Zahlungs­si­cherheit, und wir sind begeistert, Teil dieser fortschritt­lichen Bewegung im Zahlungsraum zu sein.

Ihr Partner für mobile Zahlungssicherheit
Entdecken Sie die Möglich­keiten mit SRC GmbH, Ihrem vertrau­ens­wür­digen Partner für mobile Zahlungssicherheit.