Bildschirm mit Coding-Beispiel

SRC lädt zum Webinar „Sicherheit mobiler Anwen­dungen“ ein

Für den 10. Juni 2021 lädt SRC zu dem kosten­freien Webinar „Sicherheit mobiler Anwen­dungen“ ein. In der vierstün­digen Veran­staltung dreht sich alles um poten­zielle Ziele, Angriffs­stra­tegien und die Abwehr von Attacken auf Anwen­dungen auf mobilen Endgeräten.

Durch die flexiblen Einsatz­mög­lich­keiten von mobilen Anwen­dungen, speichern und verar­beiten Smart­phones eine große Menge sensi­tiver Daten. Damit werden sie zu einem immer attrak­ti­veren Ziel für Angreifer. Schad­software wie Banking-Trojaner und Ransomware werden bereits gezielt gegen mobile Anwen­dungen einge­setzt. Damit einher­gehend steigt auch der Bedarf an Sicherheit von mobilen Anwen­dungen, um die Daten ihrer Benutzer wirkungsvoll zu schützen.

SRC Security Research & Consulting GmbH bietet ein halbtä­giges Webinar zum Thema Sicherheit von mobilen Anwen­dungen an. Das Ziel des Webinars ist es das Vorgehen von Angreifern bei der Analyse von mobilen Anwen­dungen zu verstehen, Risiken erkennen zu können und die Anwen­dungen bereits während der Entwicklung entspre­chend zu härten.

Lutz Weimann, SRC-Experte für Mobile Sicherheit, ist Infor­ma­tiker mit Schwer­punkt komplexe Software­systeme. In seinem Wirken hat er sich intensiv mit Fuzzing, Software- und Netzwerk­si­cherheit und Penetra­ti­ons­tests beschäftigt.Lutz Weimann gibt Software­ar­chi­tekten und Entwicklern einen Einblick in das Vorge­hens­modell von Angreifern. Wie werden mobile Anwen­dungen analy­siert? Wie werden Risiken erkannt und abgeschätzt? Wie können Anwen­dungen bereits während der Entwicklung gehärtet werden?

Melden Sie sich an zum Webinar // Sicherheit mobiler Anwen­dungen an! Die Plätze sind begrenzt.

IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI veröf­fent­licht CC-Zerti­fikate von Konnek­toren im Gesundheitswesen

Im Rahmen der Telema­tik­in­fra­struktur der gematik koordi­niert und verschlüsselt ein Konnektor die Kommu­ni­kation zwischen Client­system, eGK, HBA/SMC und zentraler Telema­tik­in­fra­struktur. Er stellt damit das Binde­glied zwischen diesen Kompo­nenten auf der dezen­tralen Leistungs­er­brin­ger­seite und der zentralen Telema­tik­in­fra­struktur dar.

Ein Konnektor erfüllt Sicher­heits­an­for­de­rungen, die in entspre­chenden Schutz­pro­filen nieder­gelegt worden sind.

Der Konnektor in der Produkt­typ­version 3 umfasst folgende Komponenten:

  • den Netzkon­nektor,
  • den Anwen­dungs­kon­nektor inkl. einer Signaturanwendung,
  • die Fachmodule „Versi­cher­ten­stamm­da­ten­ma­nagement“ (VSDM), „Notfall­da­ten­ma­nagement“ (NFDM) und „Arneimitteltherapiesicherheit/elektr. Medika­ti­onsplan“ (AMTS/eMP).

SRC hat den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma Research Indus­trial Systems Engineering (RISE) Forschungs‑, Entwick­lungs- und Großpro­jekt­be­ratung GmbH erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.

Außerdem hat SRC den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma secunet Security Networks AG erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.

Für Fragen zu Common Criteria oder anderen Evalua­tionen sprechen Sie uns gerne an.

Zertifizierung von fiskaly Cloud Crypto Service Provider

Zerti­fi­zierung von fiskaly Cloud Crypto Service Provider

Die Abgaben­ordnung sieht u.a. eine Kombi­nation von techni­schen und organi­sa­to­ri­schen Maßnahmen vor, um Manipu­la­tionen digitaler Grund­auf­zeich­nungen wirksam zu verhindern. Kernstück der Abgaben­ordnung bildet eine zerti­fi­zierte Techni­schen Sicher­heits­ein­richtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grund­auf­zeich­nungen gegen nachträg­liche Manipu­la­tionen. Die Zerti­fi­zierung hat zum Ziel ein einheit­liches Mindest­niveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwen­diger Inter­ope­ra­bi­li­täts­an­for­de­rungen sicherzustellen.

Kassen­systeme führen digitale Grund­auf­zeich­nungen in o.g. Sinne durch. Daher sind in der Kassen­si­che­rungs­ver­ordnung des Bundes­mi­nis­terium der Finanzen Vorgaben für die Zerti­fi­zierung von TSEs präzi­siert, wlche vom vom BSI entspre­chend umgesetzt worden sind. Hierzu zählen detail­lierte Anfor­de­rungen an das Sicher­heits­modul, das Speicher­medium, die digitale Schnitt­stelle sowie die elektro­nische Aufbe­wahrung, die in Form von mehreren techni­schen Richt­linien und Schutz­profile veröf­fent­licht wurden.

Die zentrale Sicher­heits-Kompo­nente einer TSE ist ein sog. Crypto­graphic Service Provider, kurz: CSP). Hierbei handelt es sich um die Kompo­nentem, die die krypto­gra­phi­schen Signatur-Opera­tionen ausführt und wesent­liche Kompi­nenten wie krypto­gra­phische Schlüssel und weitere Parameter sicher verwaltet.

Das BSI hat den CSP Light von fiskaly aufgrund der Evalua­ti­ons­er­geb­nisse der SRC zerti­fi­ziert. Dieser CSP Light ist als Cloud Service imple­men­tiert, um eine Einbindung in Netzwerke zu ermöglichen.

CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzel­platz­sys­temem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.

PCI DSS v4.0-Veröffentlichung verzögert sich

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröf­fent­li­chung einer neuen, grund­legend überar­bei­teten Version des Zahlungs­ver­kehrs­stan­dards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durch­laufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgel­tenden Dokumente, insbesondere

  • die Vorlage für den Report on Compliance (ROC)
  • die Vorlage für die Attestation of Compliance (AOC), und
  • die Self-Assessment Questi­onn­aires (SAQs)

im Juni 2021 einer RFC-Phase zu unter­ziehen. Damit wird sich aber auch die Veröf­fent­li­chung des PCI DSS v4.0 weiter verzögern.

Statt des angekün­digten Veröf­fent­li­chungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröf­fent­licht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzö­gerung der Veröf­fent­li­chung verschieben sich ebenso die geplanten Übergangs­fristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.

Wie Kryptowährungen neue Marktchancen für Banken und Finanzdienstleister schaffen

Wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen

„Die Bedeutung von Krypto­wäh­rungen nimmt immer schneller zu. Banken können ihre Expertise bei der Umsetzung von Regulie­rungs­fragen nutzen, um sich eine gute Ausgangs­po­sition auf dem Markt der Dienst­leis­tungen für Krypto­wäh­rungen wie beispiels­weise Schlüs­sel­ver­wahrung zu verschaffen. Durch ihre bereits bestehenden Kompe­tenzen im Umgang mit krypto­gra­phi­schen Verfahren, z. B. in der Autori­sierung, im Online-Banking oder bei der PIN-Absicherung, bringen Banken schon einen Großteil der techni­schen Voraus­set­zungen für den Einstieg in dieses Geschäftsfeld mit“. SRC-Expertin Dagmar Schoppe erläutert im gerade auf der Fach-Plattform „it-daily.net“ erschie­nenen Artikel die Chancen für Banken und Finanz­dienst­leister hinsichtlich der Entwicklung von Kryptowährungen.

Gibt es Abhän­gig­keiten zum Digitalen Euro?

Das zuneh­mende Interesse an Krypto­wäh­rungen ist – neben dem in den letzten Tagen zu beobach­tenden rasanten Anstieg des Euro Gegen­wertes zu einem Bitcoin – auch in Zusam­menhang mit der Diskussion über die Einführung eines Digitalen Euros zu sehen. Der Digitale Euro – so die Wahrnehmung in der Deutschen Kredit­wirt­schaft (DK) – wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Dabei sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen angestrebt werden, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann.

Neue Chancen bei der Digita­li­sierung der Geschäftsprozesse

Institute stehen vor der Heraus­for­derung, ihre Sicht­barkeit in diesem neuen Markt­segment zu erhöhen, um dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren zu können. Mittel­fristig kann das generell wachsenden Interesse an Krypto­wäh­rungen auch Chancen für Institute ergeben, die z. B. ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Weitere Literatur

SRC TeleTrusT

SRC ist Mitglied im Bundes­verband IT Sicherheit (TeleTrusT)

SRC hat sich zu Beginn des Jahres dem Bundes­verband IT Sicherheit (TeleTrusT) angeschlossen.

Der Bundes­verband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompe­tenz­netzwerk, das in- und auslän­dische Mitglieder aus Industrie, Verwaltung, Beratung und Wissen­schaft sowie thema­tisch verwandte Partner­or­ga­ni­sa­tionen umfasst.

Aufgrund der permanent ändernden Anfor­de­rungen im Bereich IT-Sicherheit ist es für SRC von Bedeutung, dass sich ihre Experten regel­mäßig über neue Notwendig­keiten, Techniken, Prozesse und Regularien infor­mieren und austau­schen müssen.

TeleTrusT bietet hierfür insbe­sondere gute Voraus­set­zungen, da neben dem Austauch der Experten aus der Wirtschaft auch der Kontakt zu Politik und Wissen­schaft herge­stellt ist.

SRC wird sich mit ihrer breit gefächerten Expertise in die verschie­denen Arbeits­gruppen der TeleTrusT einbringen und so dem Stellenwert der IT-Sicherheit in Deutschland und Europa weitere Bedeutung zu geben.

Cyber Resilience

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­ex­perten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

Kryptowährung EZB Digitaler Euro

Krypto­wäh­rungen – Wie und wann kommt ein Digitaler Euro?

Am 12. Januar 2021 endete die öffent­liche Befragung der Europäi­schen Zentralbank (EZB) zum Digitalen Euro. Basie­rende auf einge­gangen Stellung­nahmen wird im Sommer 2021 eine grund­sätz­liche Weichen­stellung zur Weiter­führung dieses Großpro­jektes erwartet. In diesem Zusam­menhang werden auch die Entwick­lungen der privat­wirt­schaft­lichen Krypto­wäh­rungen Bitcoin und Diem (früher Libra) betrachtet. Aber auch die Aktivi­täten anderer Zentral­banken, z. B. in Schweden mit dem „E‑Krona“ sowie in China, werden hier sicherlich Einfluss nehmen.

Stellung­nahme der Deutschen Kreditwirtschaft

Die Deutsche Kredit­wirt­schaft hat in ihrer Stellung­nahme zum Digitalen Euro die Aktivi­täten der EZB begrüßt und Unter­stützung bei der Ausge­staltung und Projek­tierung zugesagt.

„Für die Deutsche Kredit­wirt­schaft (DK) hat die Einführung eines digitalen Euro durch das Eurosystem je nach Ausge­staltung das Potential, die Wettbe­werbs­fä­higkeit Europas zu stärken. Sie birgt aber auch die Gefahr, die Geometrie des europäi­schen Banken­systems grund­legend zu verändern. Die Banken in Deutschland und Europa haben eine zentrale Rolle im Wirtschafts­kreislauf und leisten einen unver­zicht­baren Beitrag bei der effizi­enten Versorgung von Unter­nehmen und Verbrau­chern mit Finanz­mitteln. Schon deswegen ist es wichtig, die Kredit­wirt­schaft frühzeitig in die Überle­gungen einer digitalen Währung einzubinden“

Karl-Peter Schackmann-Fallis, Geschäfts­füh­rendes Vorstands­mit­glied des Deutschen Sparkassen- und Girover­bandes (DSGV)

Überwiegend positiver Tenor

Der Tenor der Stellung­nahme der DK ist überwiegend positiv. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer digitalen Wirtschaft bewertet, dass die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich. Aber die Nutzung moderner Tokeni­sie­rungs­lö­sungen, z. B. durch Distri­buted-Ledger-Techno­logie (DLT), ermög­licht die Umsetzung innova­tiver Zahlungs­ver­kehrs­lö­sungen. Denkbar sind in diesem Zusam­menhang die Nutzung von Smart Contracts und Micro­pay­ments, Angebot wie „Block­chain as a Service“, „Smart Contracts as a Service“ oder Payment­an­gebote im Internet-of-Things (IoT).

Klärungs­bedarf

Kritisch wird gesehen, dass das bewährte zweistufige Banken­system mit Zentralbank und Geschäfts­banken in Frage gestellt werden könnte. Diese Konstel­lation ist aus Sicht der DK essen­tiell wichtig für die Geldmarkt­sta­bi­lität, die Versorgung der Unter­nehmen und Privat­per­sonen mit Krediten sowie die Akzeptanz und das Vertrauen in die heraus­ge­ge­benen Zahlungs­mittel. Das etablierte Banken­system wird als entschei­dender Baustein für ein konti­nu­ier­liches Wirtschafts­wachstum angesehen.

Offen ist zudem die Frage, in wieweit ein Digitaler Euro als Krypto-Asset im Sinn der MiCA (Proposal for a regulation on Markets in Crypto-assets) anzusehen ist und welche Impli­ka­tionen sich daraus ergeben könnten. Zu diesem Verord­nungs­vor­schlag der EZB gibt es ebenfalls eine Stellung­nahme der DK.
Weiterer Klärungs­bedarf besteht bzgl. einiger Regulie­rungs­fragen. Hier schlägt die DK eine Orien­tierung an den bestehenden Standards vor. Alle Betei­ligten sollten mindestens die Anfor­de­rungen aus

Offen bleibt auch, ob für die digitale Währung gleich­falls die Umsetzung von bestehenden IT-Standards der EBA gelten wird.

Aus Sicht der DK sind die Rechts­si­cherheit, einheit­liche Vorgaben für ein token­ba­siertes Giralgeld und ein angemes­sener Regulie­rungs­standard die Grund­vor­aus­set­zungen für die Akzeptanz und das Vertrauen der Verbraucher in den Digitalen Euro.

Handlungs­op­tionen für Zahlungsinstitute

Die Diskussion zum digitalen Euro muss im Zusam­menhang mit der generellen Bedeu­tungs­zu­nahme von Krypto­wäh­rungen gesehen werden. Längst haben viele Unter­nehmen erkannt, dass die Distri­buted Ledger-Techno­logie dabei helfen kann, komplexe Liefer­be­zie­hungen effizient zu digita­li­sieren. Es ist daher eine logische Folge, dass auch wachsendes Interesse daran besteht, diese neue Techno­logie auch zur Abwicklung von Zahlungen zu nutzen. Dabei werden in Zukunft sicher nicht nur Zentralbank-emittierte Krypto­wäh­rungen genutzt werden. Für Zahlungs­in­stitute ergibt sich mit dem generell wachsenden Interesse an Krypto­wäh­rungen mehr und mehr der Bedarf, den eigenen Kunden die Verwahrung und den Handel mit Krypto­wäh­rungen anzubieten. Darüber hinaus können sich mögli­cher­weise auch Chancen für Institute ergeben, die ihren Firmen­kunden selbst emittierte Krypto­wäh­rungen anbieten, um diese bei der Digita­li­sierung ihrer Geschäfts­pro­zesse zu unterstützen.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

BSI Medizin- und Pflegeprodukten

BSI veröf­fent­licht Studi­en­ergeb­nisse zur Sicherheit von Medizin- und Pflegeprodukten

Der Gedanke an unsichere Medizin- und Pflege­pro­dukte ist befremdlich. Gerade in einem sensiblen Bereich wie dem Gesund­heits­wesen vertraut man doch als Betrof­fener auf die bestmög­liche Hilfe. Doch gerade bei der fortschrei­tenden Digita­li­sierung und Vernetzung im Gesund­heits­wesen tauchen zunehmend Schwach­stellen in vernetzten Medizin‑, IoT- und Alten­pfle­ge­pro­dukten auf. Werden solche Schwach­stellen entdeckt oder sogar ausge­nutzt, stellt dies für Nutzer und Hersteller dieser Produkte oft ein großes Problem dar.
Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) hat daher die Projekte „ManiMed – Manipu­lation von Medizin­pro­dukten“ und „eCare – Digita­li­sierung in der Pflege“ initiiert, um die IT-Sicherheit ausge­wählter Produkte bewerten zu können.

Die nunmehr veröf­fent­lichten Studien des BSI ermög­lichen es Herstellern, die IT-Sicher­heits­ei­gen­schaften ihrer Produkte zu verbessern. Zudem werden die Anwender von Medizin­pro­dukten darüber infor­miert, welche IT-Sicher­heits­ei­gen­schaften kritisch sein könnten. Verbes­serte IT-Sicher­heits­ei­gen­schaften stärken das Vertrauen der Patien­tinnen und Patienten sowie der Ärzte und Ärztinnen in die Sicherheit vernetzter Medizin­pro­dukte. In der Studie wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.

An der Erstellung der eCare-Studie hat SRC maßgeblich mitge­wirkt. Im Fokus der Studie standen vernetzte Produkte (sowohl Medizin- als auch IoT-Produkte), die im Bereich der Alten- oder Kranken­pflege Anwendung finden. Hierzu zählen beispiels­weise Geräte zur Vital­da­ten­messung oder ein Tablet für Senioren. Es wurden insgesamt sechs Produkte aus unter­schied­lichen Kategorien IT-sicher­heits­tech­nisch untersucht.
Die Ergeb­nisse der Studie finden Sie auf der Webseite des BSI zum Download.

Zusam­men­fassend lässt sich das IT-Sicher­heits­niveau der unter­suchten Produkte mit schlecht bis sehr schlecht bewerten. Die Ergeb­nisse lassen belastbar vermuten, dass keines der unter­suchten Produkte samt seiner Schnitt­stellen, Apps etc. einer profes­sio­nellen Sicher­heits­eva­lu­ierung, einem unabhän­gigen Penetra­ti­onstest oder ähnlichem unter­zogen worden ist.