SRC Security Research & Consulting GmbH kann einen weiteren bedeutenden Erfolg verzeichnen: Die erfolgreiche Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) nach DIN EN ISO/IEC 17025. Dieser Schritt unterstreicht nicht nur die Kompetenz und Zuverlässigkeit unseres Prüflabors für Common Criteria (CC), sondern bereitet uns auch auf die Einführung der EUCC (European Common Criteria) vor, eine wichtige Entwicklung in der europäischen Cybersicherheitslandschaft.
Bedeutung der DAkkS-Akkreditierung
Die Akkreditierung nach DIN EN ISO/IEC 17025 ist ein klares Zeichen für die Professionalität und den Anspruch von SRC, erstklassige Prüfdienstleistungen anzubieten. Sie bestätigt, dass unser CC-Prüflabors den international anerkannten Standards entspricht und vertrauenswürdige, konsistente Ergebnisse liefert.
Vorbereitung auf die EUCC
Die EUCC stellt das auf den Common Criteria basierende europäische Zertifizierungsschema dar, soll die Sicherheitszertifizierung von IKT-Produkten in Europa verbessern. Mit unserer DAkkS-Akkreditierung ist SRC nun bestens gerüstet, um die Herausforderungen der EUCC zu meistern und eine führende Rolle in der IT-Sicherheitszertifizierung in Europa zu übernehmen. Die EUCC erweitert die Anforderungen der bisherigen Common Criteria und wird künftige Zertifizierungen in der EU grundlegend prägen.
Unser Engagement für Qualität und Genauigkeit
Mit dieser Akkreditierung demonstriert SRC sein Engagement für höchste Qualitätsstandards und Unparteilichkeit in unseren Labortätigkeiten. Wir sind stolz darauf, diesen Meilenstein erreicht zu haben und freuen uns darauf, unseren Kunden weiterhin Dienstleistungen auf höchstem Niveau anzubieten.
Bei weiteren Fragen stehen unser Sales-Team Ihnen jederzeit zur Verfügung!
https://src-gmbh.de/wp-content/uploads/2024/01/f073e3_a53841642dc74fb0950bcf5ec0d4ba92mv2.png.webp7261023Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2024-01-31 12:23:472024-01-31 12:30:03SRC und die DAkkS-Akkreditierung nach ISO/IEC EN 17025: Ein wichtiger Schritt in Richtung EUCC
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst.
Aufgrund der permanent ändernden Anforderungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regelmäßig über neue Notwendigkeiten, Techniken, Prozesse und Regularien informieren und austauschen müssen.
TeleTrusT bietet hierfür insbesondere gute Voraussetzungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissenschaft hergestellt ist.
SRC wird sich mit ihrer breit gefächerten Expertise in die verschiedenen Arbeitsgruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.
https://src-gmbh.de/wp-content/uploads/2021/01/IT-Security-made-in-Germany_TeleTrusT-Seal.jpg720960Homepage Adminhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngHomepage Admin2024-01-04 11:22:132024-01-08 19:16:00SRC ist dem Bundesverband IT Sicherheit (TeleTrusT) angeschlossen
Wir freuen uns darauf, die Adventszeit und die bevorstehenden Feiertage im Kreise unserer Familien und Freunde zu verbringen, und wir hoffen, dass auch Sie diese Zeit genießen können. Doch trotz der festlichen Stimmung dürfen wir nicht die schwierige Lage in vielen Ländern der Erde aus den Augen verlieren.
Wie bereits im letzten Jahr haben wir uns auch in diesem Jahr entschieden, auf Geschenke für unsere Mitarbeitenden und Geschäftspartner zu verzichten. Stattdessen möchten wir erneut die Winterhilfe für die Ukraine unterstützen, welche vom Verein Help e.V. in bewundernswerter Weise organisiert wird.
Unzählige Menschen in der Ukraine sind den winterlichen Temperaturen schutzlos ausgeliefert. Der Krieg hat starke Spuren im ganzen Land hinterlassen. Neben öffentlichen Einrichtungen wurden etwa 170.000 Wohngebäude beschädigt – Häuser, in denen weiterhin Menschen wohnen. Ohne Fenster, die vor Kälte und Wind schützen, ohne ausreichende Wasser‑, Strom- und Gasversorgung. Help leistet Winterhilfe und sorgt dafür, dass Familien ein warmes Zuhause haben und versorgt sie darüber hinaus mit dringend benötigten Hilfsgütern und warmen Mahlzeiten.
Wir denken, dass wir mit unserer Unterstützung für Help auch im Sinne aller unserer Geschäftspartner handeln und hoffen, auf diese Weise ein wenig dazu beitragen zu können, dass Weihnachten auch in der Ukraine ankommt.
Wir und unser gesamtes Team möchten Ihnen von Herzen für Ihr Vertrauen und Ihre Unterstützung im vergangenen Jahr danken. Wir freuen uns auf das kommende Jahr und darauf, mit Ihnen gemeinsam weitere spannende Projekte umzusetzen.
Bis dahin wünschen wir Ihnen eine besinnliche Weihnachtszeit, erholsame freie Tage und einen gelungenen Start ins neue Jahr, voller Chancen und Inspiration.
https://src-gmbh.de/wp-content/uploads/2022/12/roberto-nickson-5PQn41LFsQk-unsplash.jpg20001333Homepage Adminhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngHomepage Admin2023-12-17 17:35:522023-12-18 11:16:27Weihnachten für alle 2023
Der Workshop, der früher unter dem Namen Smartcard-Workshop bekannt war, ist seit 1991 die Referenzveranstaltung für praxisorientierte Forscher, Mitglieder von Standardisierungsgruppen, Entscheidungsträger und Experten aus Unternehmen und staatlichen Verwaltungen.
Die Beiträge des Workshops befassen sich mit Innovationen, Vorschriften, Standards, Zertifizierungen oder Implementierungen in Bezug auf elektronische Identitäten für vernetzte Geräte und Personen, wobei der Schwerpunkt auf anwendungsbezogenen oder grundlegenden Themen und Forschungsarbeiten liegt, wie z. B.:
Alle Aspekte der Lebenszyklen digitaler Identitäten
Technologien und bewährte Praktiken der Branche in Bezug auf Kryptografie als PQC, Konformitäts- und Interoperabilitätstests, Bewertung und Zertifizierung
Identitätstechnologien wie Reise- und Ausweisdokumente, Brieftaschen, qualifizierte elektronische Bescheinigung von Eigenschaften, Identitätsnachweis usw.
Anwendungsfälle für Verbraucher und Industrien wie Secure IoT, Automation, Gesundheitswesen, Mobilität/Automobil, Regierungsdienste und andere.
Unser Kollege, Detlef Kraus ist Mitglied der Programmbeirats.
Die Konferenzsprache ist Englisch, einschließlich aller Präsentationen.
Das Jahr neigt sich dem Ende zu – und der PCI DSS v3.2.1 auch.
Das PCI Security Standards Council (PCI SSC) hat gerade neue Dokumente zum neuen Konzept „Targeted Risk Analysis“ (gezielten Risikoanalyse) veröffentlicht – das nehmen wir doch gleich zum Anlass, das Thema mal etwas genauer zu betrachten.
Targeted Risk Analysis – was ist das?
Der PCI DSS v4.0 zielt darauf ab, mehr Flexibilität zu ermöglichen. Eines der Werkzeuge hierfür ist die sogenannte „Targeted Risk Analysis“ (gezielten Risikoanalyse).
Gezielte Risikoanalysen unterscheiden sich von den firmenübergreifenden Risikoanalysen, die in PCI DSS v3.2.1 gefordert waren. Sie betrachten die konkreten Risiken für einen ganz speziellen Anwendungsfall.
Im PCI DSS v4.0 kommen gezielte Risikoanalysen an zwei Stellen vor:
Einige Anforderungen des Standards verlangen gezielte Risikoanalysen, um festzulegen, wie häufig eine bestimmte regelmäßige Maßnahme durchgeführt werden sollte.
Außerdem ist die gezielte Risikoanalyse Teil des sogenannten „Customized Approach“, mit dem man eine Anforderung auf eigene Weise, abweichend von der wortwörtlichen Umsetzung, umsetzen kann.
Wir werden uns hier auf den ersten Fall konzentrieren, da wir dem Customized Approach im Februar noch einen eigenen Blog-Eintrag widmen werden.
Wo wird sie gefordert?
Eine gezielte Risikoanalyse wird bei den folgenden Anforderungen gefordert:
5.2.3.1: Wenn eine Organisation für Systemkomponenten evaluiert hat, dass diese üblicherweise nicht von Malware betroffen sind und daher keine Anti-Malware-Lösung benötigen, dann muss in regelmäßigen Abständen überprüft werden, ob dies immer noch so ist. Die Häufigkeit dieser Überprüfungen muss in einer gezielten Risikoanalyse festgelegt werden.
5.3.2.1: Wenn regelmäßige Malware-Scans verwendet werden, muss deren Häufigkeit in einer gezielten Risikoanalyse festgelegt werden.
7.2.5.1: Häufig gibt es nicht nur Nutzerkonten, die von Personen genutzt werden, sondern auch technische Nutzerkonten, die von Systemen oder Anwendungen genutzt werden. Deren Zugriffsrechte müssen regelmäßig überprüft werden. Die Häufigkeit dieser Überprüfungen muss in einer gezielten Risikoanalyse festgelegt werden.
8.6.3: Passwörter für die genannten technischen Nutzerkonten müssen geschützt werden. Die Häufigkeit der Passwortwechsel und die Passwort-Komplexität müssen in einer gezielten Risikoanalyse festgelegt werden.
9.5.1.2.1: Zahlgeräte (Zahlterminals) am Point of Interaction müssen regelmäßig inspiziert werden, um Manipulationen oder gar ihren Austausch zu erkennen. Die Häufigkeit und Art der Inspektionen müssen in einer gezielten Risikoanalyse festgelegt werden.
10.4.2.1: Sicherheitskritische Logs (Security Events sowie Logs von Systemen, die mit Kartendaten in Berührung kommen, Sicherheitsfunktionalität haben oder anderweitig kritisch sind) müssen mindestens einmal am Tag einem Review unterzogen werden, um auffällige Aktivitäten zeitnah zu entdecken. Die Häufigkeit des Reviews für alle anderen Logs muss in einer gezielten Risikoanalyse festgelegt werden.
11.3.1.1: Werden bei internen Schwachstellenscans hochriskante oder kritische Schwachstellen entdeckt, müssen diese behoben werden. Für niedriger eingestufte Schwachstellen muss eine gezielte Risikoanalyse festlegen, wie diese zu adressieren sind.
11.6.1: E‑Commerce-Zahlseiten müssen regelmäßig mit einem Mechanismus zur Erkennung von Änderungen und Manipulationen überprüft werden. Dieser Mechanismus muss mindestens alle sieben Tage angewendet werden – andernfalls muss eine geringere Häufigkeit mit einer gezielten Risikoanalyse begründet werden.
12.10.4.1: Das Personal, das für die Reaktion auf Sicherheitsvorfälle zuständig ist, muss darin geschult werden. Die Häufigkeit dieser Schulungen muss in einer gezielten Risikoanalyse festgelegt werden.
Wie kann man die gezielte Risikoanalyse durchführen?
Wie die gezielte Risikoanalyse durchgeführt werden soll, ist in Anforderung 12.3.1 des PCI DSS v4.0 definiert. Hier ist festgelegt, dass die Analyse zunächst mindestens folgende Punkte identifizieren muss:
Die zu schützenden Güter (Assets). Zu schützende Assets sind natürlich immer die Kartendaten selbst, aber zusätzlich können es auch Assets wie Systeme oder Passwörter sein.
Die Bedrohungen, gegen die die entsprechende PCI DSS-Anforderung schützen soll.
Zur Bestimmung der entsprechenden Bedrohungen ist es hilfreich, das „Customized Approach Objective“ der entsprechenden bzw. der übergeordneten PCI DSS-Anforderung zu Rate zu ziehen, da in dieser Zielsetzung häufig bereits Bedrohungen benannt sind, gegen die die Anforderung schützen soll.
Faktoren, die die Eintrittswahrscheinlichkeit und/oder die Auswirkungen der Realisierung der genannten Bedrohungen beitragen.
Werden wir konkret und nehmen als Beispiel die Anforderung 9.5.1.2.1.
Hier sind sowohl die Kartendaten als auch die Zahlgeräte die zu schützenden Assets.
Das „Customized Approach Objective“ der übergeordneten Anforderung 9.5.1.2 ist, dass die Manipulation der Geräte, unautorisierter Austausch der Geräte, sowie das Anbringen von Skimming-Devices nicht ohne zeitnahe Entdeckung durchgeführt werden können.
Typische Bedrohungsszenarien wären also bspw.:
Angreifer bringen Skimming-Devices an, welche Eingaben mitlesen.
Angreifer geben sich als Service-Techniker oder Mitarbeiter des Geräte-Providers aus und tauschen das Zahlgerät durch ein manipuliertes Zahlgerät aus, welches die Kartendaten anschließend mitliest und an Angreifende weiterleitet.
Angreifer stehlen ein Zahlgerät, auf dem im Fall von offline Transaktionen Daten temporär gespeichert sein könnten.
Angreifer manipulieren das Zahlgerät so, dass dessen Sicherheitsfunktionalität geschwächt wird (bspw. Verschlüsselung ausgeschaltet).
Faktoren, die sich auf die Realisierung der Bedrohungen auswirken können, sind in dem Fall zum Beispiel:
Wie leicht ist das Zahlgerät für Kunden und Dritte erreichbar? Ist es sicher befestigt?
Ist das Zahlgerät dauerhaft unter Beaufsichtigung?
Wie gut ist das Personal vor Ort qualifiziert und geschult?
Sind das Zahlgerät und die Daten darin vor Manipulationen geschützt, und ist dies durch eine PCI PTS-Zertifizierung des Geräts und/oder eine PCI P2PE-Zertifizierung der ganzen Lösung nachgewiesen?
Wie stark frequentiert ist das Zahlgerät? (Das kann einen Einfluss darauf haben, ob es ein besonders lohnenswertes Ziel für den Angreifer ist.)
Hat der Geräte-Provider in seiner Dokumentation Empfehlungen gegeben, wie häufig die Geräte überprüft werden sollen?
Aus den gesammelten Faktoren resultiert dann schließlich die Analyse, die bestimmt, wie häufig eine Tätigkeit ausgeführt werden muss, um die Wahrscheinlichkeit, dass die Bedrohungen eintreten, zu minimieren.
Faktoren und Ergebnisse der gezielten Risikoanalyse müssen dokumentiert werden.
Mindestens alle 12 Monate muss jede gezielte Risikoanalyse einem Review unterzogen werden, um zu überprüfen, ob sie noch zutrifft. Hat es Veränderungen in den Faktoren oder in der Einschätzung gegeben, muss die Risikoanalyse entsprechend aktualisiert werden.
Hilfestellungen
Wie bei jeder Anforderung des PCI DSS v4.0 lohnt sich als erstes ein Blick in die „Guidance“-Spalte, die im Standard rechts von der Anforderung steht.
Zusätzlich hat das PCI SSC am 28. November 2023 drei unterstützende Dokumente veröffentlicht:
Und wie immer können Sie auch gerne die PCI DSS-Experten von SRC um Unterstützung bitten.
Ausblick
Dies ist der letzte Beitrag zu PCI DSS v4.0 für dieses Jahr. Wir setzen unsere monatliche Blog-Reihe nächstes Jahr fort – freuen Sie sich dann auf die Themen
Januar: Änderungen im E‑Commerce: Was ändert sich beim Self-Assessment Questionnaire A?
Februar: Customized Approach
März: Änderungen im E‑Commerce: Integritätsschutz von Zahlseiten.
Kommen Sie gut ins neue Jahr und bleiben Sie gesund!
Besonders Ransomware-Angriffe, die darauf abzielen, Unternehmensdaten zu verschlüsseln und Lösegeldforderungen zu stellen, werden immer ausgefeilter und treffen nicht nur Großkonzerne, sondern zunehmend kleinere und mittelständische Unternehmen sowie öffentliche Institutionen.
Ein weiteres prominentes Thema des Berichts ist der potenzielle Missbrauch von Künstlicher Intelligenz (KI). Mit der rasanten Entwicklung von KI-Technologien und deren Anwendungsmöglichkeiten entstehen neue Angriffsmöglichkeiten. KI-gestützte Angriffe, darunter Deep Fakes und manipulierte Chatbots, stellen eine ernstzunehmende Bedrohung dar, die nicht nur die Sicherheit von Informationen, sondern auch die gesellschaftliche Stabilität untergraben kann.
Die geopolitischen Spannungen, insbesondere der Konflikt in der Ukraine, zeigen ferner, dass Cyberangriffe zunehmend auch als Mittel der Kriegsführung und politischen Einflussnahme eingesetzt werden. Diese Entwicklungen sind nicht nur auf staatliche Akteure beschränkt, sondern betreffen auch die Wirtschaft und die Zivilgesellschaft. Das BSI hebt hervor, dass die Sicherheit im Cyberraum nicht mehr nur eine Frage der technischen Abwehr ist, sondern eine gesamtgesellschaftliche Anstrengung erfordert.
Die Empfehlung des BSI, die „Cyberresilienz“ zu stärken, bekräftigt die Notwendigkeit, proaktiv und präventiv vorzugehen. Dies bedeutet, dass Unternehmen und Behörden nicht nur auf Angriffe reagieren, sondern die Widerstandsfähigkeit ihrer Systeme im Voraus verbessern müssen.
Hier setzt die Expertise der SRC GmbH an, einem Unternehmen, das auf die Sicherheitsbedürfnisse im digitalen Zeitalter spezialisiert ist.
Wie SRC helfen kann, Cyberresilienz herzustellen
Risikoanalyse und Prävention: SRC bietet individuelle Risikoanalysen, um Unternehmen dabei zu unterstützen, ihre Schwachstellen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.
Sicherheitsarchitektur und Design: Durch das Design von robusten Sicherheitsarchitekturen trägt SRC dazu bei, dass die Systeme ihrer Kunden auch gegen fortschrittliche Bedrohungen bestehen können.
Schulungen und Bewusstsein: SRC organisiert Schulungen für Mitarbeiter, um das Bewusstsein für Cybersicherheit zu schärfen und sicherzustellen, dass Sicherheitsrichtlinien verstanden und eingehalten werden.
Regulatorische Compliance und Standards: SRC berät zum Thema regulatorische Anforderungen und hilft Unternehmen, den gesetzlichen und normativen Anforderungen zu entsprechen.
Innovation und Technologieberatung: Mit Expertise in modernen Technologien wie Blockchain und KI entwickelt SRC innovative Lösungen, die nicht nur sicher, sondern auch zukunftsorientiert sind.
Notfallplanung und Reaktion: Im Falle eines Cyberangriffs unterstützt SRC bei der schnellen Reaktion und Bereitstellung von Notfallplänen, um den Schaden zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten
Nutzen Sie die Erkenntnisse aus dem BSI-Lagebericht 2023 als entscheidenden Impuls, um Ihre Cybersicherheitsmaßnahmen gezielt zu überprüfen und zu optimieren – die SRC GmbH steht bereit, um mit Ihnen die kritischen Sicherheitsbereiche zu stärken und Resilienz gegenüber aktuellen und zukünftigen Cyberbedrohungen aufzubauen
https://src-gmbh.de/wp-content/uploads/2023/11/sigmund-Im_cQ6hQo10-unsplash.jpg20003000Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-11-06 15:33:342023-11-10 09:30:54Der BSI-Lagebericht 2023: Sichern Sie Ihr Unternehmen – entdecken Sie unsere Lösungen
Einführung des MPoC-Standards
Nach jahrelanger intensiver Arbeit und umfassendem Feedback aus der Gemeinschaft hat die PCI SSC kürzlich ihren neuen Sicherheitsstandard für Kreditkartenzahlungen auf Händlergeräten wie Smartphones oder Tablets veröffentlicht, bekannt als Mobile Payments on Commercial Off-The-Shelf (MPoC).
Integration und Neue Funktionen
Der MPoC-Standard integriert vorhandene Anwendungsfälle aus den CPoC- und SPoC-Standards und fügt neue Zahlungsfunktionalitäten sowie Zertifizierungsmethoden hinzu. Er ermöglicht beispielsweise PIN-basierte Transaktionen ohne zusätzliches Sicherheitsgerät und unterstützt Offline-Transaktionen.
Anerkennung durch den PCI Security Standards Council
Der PCI Security Standards Council (PCI SSC) ist eine globale Organisation, die die Payment Card Industry-Standards für den Schutz von Karteninhaberdaten weltweit pflegt, weiterentwickelt und fördert. Durch die Zertifizierung des SRC GmbH als MPoC-Labor bestätigt der PCI SSC die Fähigkeiten und die Einhaltung der erforderlichen Sicherheitsstandards durch die SRC GmbH.
Ihre Vorteile durch unsere MPoC-Zertifizierung
Wir freuen uns, Ihnen mitteilen zu können, dass die SRC GmbH kürzlich als eines der MPoC-Labore zertifiziert wurde. Unsere Zertifizierung ermöglicht es uns, die MPoC-Software, Attestation & Monitoring Dienste, oder auch komplette MPoC-Lösungen zu zertifizieren. Diese Anerkennung positioniert uns an der Spitze der mobilen Zahlungssicherheit, und wir sind begeistert, Teil dieser fortschrittlichen Bewegung im Zahlungsraum zu sein.
Ihr Partner für mobile Zahlungssicherheit
Entdecken Sie die Möglichkeiten mit SRC GmbH, Ihrem vertrauenswürdigen Partner für mobile Zahlungssicherheit.
https://src-gmbh.de/wp-content/uploads/2023/11/AdobeStock_222452529-e1701883433946.jpeg12953000Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-11-02 16:14:122023-12-11 19:03:43SRC GmbH: Ihr zertifiziertes MPoC-Labor
In PCI DSS Version 4.0 wurde eine neue Unteranforderung in die Anforderungen 1 bis 11 aufgenommen, die die Notwendigkeit betont, Rollen und Verantwortlichkeiten bei der Ausführung der jeweiligen Anforderung x zu dokumentieren, zuzuweisen und zu verstehen (entsprechende Unteranforderung x.1.2).
Viele Firmen fragen sich, wie solch eine Zuweisung von Rollen und Verantwortlichkeiten aussehen kann. Muss ein neues Dokument erstellt werden? Muss dies firmenübergreifend gelten?
Der PCI DSS lässt die Form der Dokumentation bewusst offen. Das Ziel ist es, dass das Personal sich seiner Verantwortlichkeiten bewusst ist, damit die Aktivitäten zuverlässig durchgeführt werden.
Fast jedem PCI DSS-Assessor ist es schon mal begegnet, dass Schwachstellenscans nicht pünktlich jedes Vierteljahr durchgeführt wurden, weil es einfach übersehen wurde – hier hilft eine klar zugewiesene Verantwortlichkeit für die Einhaltung des Vierteljahres-Rhythmus.
Fast jeder PCI DSS-Assessorin ist schon einmal Kassenpersonal begegnet, dem nicht bewusst war, dass sie Zahlterminals auf Verdacht auf Manipulation oder Austausch überprüfen müssen. Auch diese Verantwortlichkeit sollte klar benannt werden – ebenso die der Rolle, die das Kassenpersonal dafür schult.
Wie kann die Zuweisung der Verantwortlichkeiten also praktisch aussehen?
Nutzung bestehender Dokumentation
In vielen Firmen sind bereits Rollen und Verantwortlichkeiten in bestehenden Richtlinien und Verfahrensanweisungen enthalten.
Ist bspw. in der Softwareentwicklungsrichtlinie bereits enthalten, wer den Code entwickelt, wer den Code-Review durchführt, wer Tests durchführt und wer die Freigabe für den Rollout als Teil des Prozesses gibt? Und ist in Interviews allen Beteiligten diese Rollenzuweisung klar? Dann muss hier im Bereich Softwareentwicklung nichts mehr ergänzt werden.
Ist aber noch keine derartige Dokumentation vorhanden, sollte sie erstellt werden. Ob die Zuweisung dabei im bestehenden Dokument ergänzt wird, oder ab man ein zusätzliches Dokument erstellt, ist dabei unerheblich.
Form der Darstellung
Auch die Form der Darstellung ist frei wählbar. Natürlich bietet sich eine RACI-Matrix oder eine Variante davon an. Aber auch andere Tabellen, Listen oder Fließtexte können den Zweck erfüllen.
Bei großen Teams mit gleichartigen Aufgaben reicht dabei oft eine Zuweisung wie „das Personal ist für die Durchführung von Aktivität X zuständig, der Teamleiter ist für die Schulung des Personals bei Einstellung, bei Aufgabenwechsel und im jährlichen Rhythmus sowie für die Freigabe der Ergebnisse zuständig“ – bei durchmischten Teams mit vielfältigen Aufgaben muss die Zuweisung ggf. bis auf einzelne Personen runtergebrochen werden.
Anlehnung an die operative Umsetzung
Bleiben Sie nicht zu nah an der Requirement-Aufteilung des PCI DSS – übersetzen Sie, wie Sie die Einhaltung sicherheitsrelevanter Prozesse in Ihrem eigenen operativen Geschäft umsetzen. Häufig sind an der Umsetzung einer Anforderung mehrere Rollen beteiligt – eine schreibt ggf. die Regeln auf, eine andere Rolle hält die Regeln bei der Umsetzung ein, wieder eine andere Rolle macht einen Review und/oder eine Freigabe des Umgesetzten. Wenn Sie die Schritte aufschreiben, wie Sie etwas durchführen, lässt sich gut zuordnen, wer für die jeweilige Tätigkeit zuständig ist.
Akzeptanz der Verantwortlichkeit
Die Zuweisung sollte natürlich nicht nur dokumentiert sein, sondern den Personen auch bekannt sein. Entsprechend sollte ein neues oder angepasstes Dokument im Kreis der Betroffenen vorgestellt werden.
Müssen die Personen unterschreiben, dass Ihnen ihre Verantwortung bewusst ist? In einer anderen Anforderung des PCI DSS v4.0, Anforderung 12.1.3, wird tatsächlich eine schriftliche Anerkennung der allgemeinen Verantwortung für die Informationssicherheit gefordert. Eine entsprechende dokumentierte Anerkennung der spezifischen Verantwortlichkeiten der jeweiligen Rolle wird in Anforderung x.1.2 nicht zwingend gefordert – man kann diese beiden Punkte, wenn man möchte, aber natürlich miteinander verbinden, indem man nicht nur eine generische, sondern auch rollenspezifische Verantwortlichkeiten abzeichnen lässt. Diese Kombination ist jedoch nicht vorgeschrieben.
Zusammenfassung
Was sollte also am Ende der Überlegungen mindestens stehen?
Die Dokumentation der Rollen und Verantwortlichkeiten für die verschiedenen Aufgaben im operativen Geschäft bei der Absicherung der Arbeit mit Zahlkartendaten, und
Personal, das sich seiner Rollen, Verantwortlichkeiten und Aufgaben bewusst ist und dies in Interviews bestätigen kann.
Auf diese Weise sollte die Einhaltung der Unteranforderungen x.1.2 machbar sein.
https://src-gmbh.de/wp-content/uploads/2023/11/Design-ohne-Titel.jpg6271200Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-11-02 10:04:072023-11-10 09:31:14Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten
Wir, die SRC GmbH, Anbieter von IT-Sicherheitsprüfungen und IT-Beratungsdienstleistungen, freuen uns, dass wir erfolgreich an einer Ausschreibung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) teilgenommen und den Zuschlag erhalten haben. Wir freuen uns hiermit einen Beitrag zur wachsende Bedeutung der Digitalisierung im deutschen Gesundheitswesen und der IT-Sicherheit beitragen zu können.
Unsere Expertise wird in den kommenden Aufgaben im Bereich der Telematikinfrastruktur (TI) eingesetzt, die eine entscheidende Rolle bei der Vernetzung von Gesundheitseinrichtungen und dem sicheren Austausch von Gesundheitsdaten spielt.
Wir werden das BSI bei seinen gesetzlichen Aufgaben unterstützen, insbesondere in den Bereichen Prüfmechanismen, Spezifikationen und technische Richtlinien.
Das Team der SRC GmbH freut sich auf die zukünftige Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und sieht stolz der Gelegenheit entgegen, einen bedeutenden Beitrag zur sicheren Digitalisierung des deutschen Gesundheitswesens zu leisten.
https://src-gmbh.de/wp-content/uploads/2023/10/breaking-2.jpg6271200Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-10-08 16:49:112023-11-10 09:31:23SRC GmbH freut sich über Auftrag für die Telematikinfrastruktur Deutschlands
Ein wichtiger Punkt betrifft die Datenverarbeitung außerhalb Deutschlands. Die aktualisierte Version des Leitfadens enthält klare Richtlinien und Anforderungen für den Umgang mit Gesundheitsdaten, die außerhalb Deutschlands verarbeitet werden. Dies ist entscheidend, um die Integrität und Sicherheit sensibler Patientendaten zu gewährleisten.
Sicherheit als Prozess (3.4.2)
Ein weiterer bemerkenswerter Aspekt der Aktualisierung ist die Betonung der Sicherheit als kontinuierlicher Prozess. Die neuen Leitlinien legen großen Wert darauf, dass Sicherheitsmaßnahmen nicht statisch sein dürfen, sondern sich im Laufe der Zeit weiterentwickeln müssen, um den ständig wachsenden Bedrohungen in der digitalen Gesundheitslandschaft gerecht zu werden.
Interoperable E‑Health-Infrastruktur (3.5.1.1)
Eine weitere spannende Neuerung bezieht sich auf „vesta“ und „MIOs“ als Basis einer interoperablen E‑Health-Infrastruktur. Dies weist auf die verstärkten Bemühungen hin, Gesundheitsanwendungen und ‑systeme miteinander zu verknüpfen, um einen reibungslosen Datenaustausch und eine bessere Patientenversorgung zu ermöglichen. Verschärfte Anforderungen an Penetrationstests
Schließlich, und vielleicht am bemerkenswertesten, sind die verschärften Anforderungen an Penetrationstests. Laut der aktualisierten Version des Fast-Track-Verfahrens müssen diese Tests vorrangig von BSI-zertifizierten Teststellen durchgeführt werden. Darüber hinaus sind Code Reviews und Whitebox-Tests verpflichtend. Diese Maßnahmen zielen darauf ab, die Sicherheit von DiGAs weiter zu stärken und potenzielle Sicherheitslücken aufzudecken.
Insgesamt verdeutlicht die Aktualisierung des Fast-Track-Verfahrens das Engagement für die Sicherheit und Qualität von digitalen Gesundheitsanwendungen. Die neuen Richtlinien und Anforderungen sollen dazu beitragen, die Gesundheitsversorgung in der digitalen Ära zu verbessern und gleichzeitig die Sicherheit der Patientendaten zu gewährleisten.
https://src-gmbh.de/wp-content/uploads/2023/06/to-be-jolly-4.jpg6271200Janine Wolffhttps://src-gmbh.de/wp-content/uploads/2017/08/SRC-Logo.pngJanine Wolff2023-09-07 16:50:292023-11-10 09:31:46Neuerungen im Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA)