Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

SRC liefert Gutachten für Gematik

SRC liefert Gutachten zum E‑Rezept für die gematik

Bei der Digita­li­sierung im Gesund­heits­wesen spielt die IT-Sicherheit eine besondere Rolle. Im Kontext der Einführung des durch die gematik verant­wor­teten elektro­ni­schen Rezeptes (E‑Rezept) wird die Sicherheit aller Kompo­nenten durch unabhängige und durch die gematik zugelassene Gutachter geprüft.
Die Einführung des E‑Rezeptes und der E‑Rezept-App hat am 1. Juli 2021 begonnen. Bis dahin musste die Daten­si­cherheit für Patienten, Ärzte und Apotheker sicher­ge­stellt sein. Um die Sicherheit dieser Anwen­dungen in der tagtäg­lichen Arbeit zu überprüfen, hat die gematik mit Zustimmung des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik mehrere Gutachten zur Prüfung der Anwen­dungen in Auftrag gegeben. Einige dieser Gutachten wurden durch die Gutachter der SRC erstellt. Das Ergebnis: Einer kontrol­lierten Inbetrieb­nahme in den Produk­ti­ons­be­trieb steht nichts im Wege. Die Anwen­dungen können in die Telema­tik­in­fra­struktur (TI) einge­gliedert werden.

Voraus­setzung für die nun folgende Testphase ist die Sicher­heits­be­gut­achtung, an der die Gutachter der SRC bei zwei Kompo­nenten beteiligt war. Mitar­beiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begut­achtet. Die gematik hat die Zusam­men­fassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.

In der gerade gestar­teten Testphase wird das E‑Rezept nun in der Modell­region Berlin-Brandenburg im Praxis­alltag erprobt. Hier sollen zunächst praktische Erkennt­nisse über das Zusam­men­spiel aller am E‑Rezept betei­ligter Kompo­nenten gesammelt werden. Die bundes­weite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.

Jeder gesetzlich Versi­cherte kann seine NFC-fähige elektro­nische Gesund­heits­karte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standard­mäßig von den gesetz­lichen Kranken­kassen an ihre Versi­cherten herausgegeben.

Ab 2022 wird das E‑Rezept für alle gesetzlich Versi­cherten verpflichtend, private Kranken­ver­si­che­rungen haben jedoch bereits ihr Interesse an der Teilnahme am E‑Rezept deutlich gemacht. Private Kranken­ver­si­che­rungen können bis auf weiteres freiwillig entscheiden, ob sie ihren Versi­cherten die eGK ausgeben.
„Die Einführung des E‑Rezept und der dazuge­hö­rigen App ist zweifellos ein Meilen­stein für die Digita­li­sierung des deutschen Gesund­heits­system. Bei SRC sind wir schon ein wenig stolz darauf mit unserer Arbeit einen Beitrag zum Absicherung dieser Lösung geleistet zu haben.“ sagt Randolf Skerka, Bereichs­leiter IS-Management bei SRC.
„Diese Begut­achtung war von reibungs­loser und inten­siver Abstimmung mit dem Herstellern RISE und IBM sowie der gematik geprägt. Nur so war es möglich die hohe Qualität in der Kürze der Zeit sicher­zu­stellen.“ sagt Dr. Jens Putzka stell­ver­tretend für alle betei­ligten Kollegen bei SRC.
LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.

KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden

KI-Sicherheit: Das richtige Maß zur Regulierung von KI

Gerade wegen ihrem enormen Potential, ihren vielfäl­tigen Anwen­dungs­be­reichen und ihrer Lernfä­higkeit müssen Systeme der Künst­lichen Intel­ligenz (KI) gleich­zeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.

Sprach­as­sis­tenten, Überset­zungen auf Knopf­druck, Predictive Maintenance oder Bewer­ber­ma­nagement-Systeme. Trotz der vielfäl­tigen Anwen­dungs­ge­biete steht Künst­liche Intel­ligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatz­ge­biete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbes­se­rungen aufgrund der Nutzung künst­licher Intel­ligenz, Wettbe­werbs­vor­teile zu erzielen.

Neben weiteren Abstim­mungen steht nun in Zukunft viel Detail­arbeit an; es sind die entspre­chenden Normen und Standards auszu­ar­beiten bzw. anzupasen und Verfahren zur Konfor­mi­täts­be­wertung zu entwi­ckeln. Dabei sollte der organi­sa­to­rische und technische Aufwand für die Hersteller in einem angemes­senen Rahmen gehalten werden, um die Entwick­lungen von KI-Systemen nicht zu behindern. Gleich­zeitig gilt es aber auch, das wirtschaft­liche und gesell­schaft­liche Vertrauen in diese vielver­spre­chende Techno­logie zu gewinnen.

Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontakt­auf­nahme.

ISB

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 16. bis 19. November 2021

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erforderlich.

Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­linie die neu einzu­rich­tende Funktion des “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten”. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC seit 2016 schon viele Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 16. bis zum 19. November 2021 haben Sie erneut die Möglichkeit sich zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Achtung! Online-Seminar

Unter Berück­sich­tigung der aktuellen Covid-19 Situation führen wir sowohl den Zerti­fi­kats­lehrgang Informationssicherheitsbeauftragte/r (ISB) für Kredit­in­stitute, als auch das optionale IT-Grund­lagen-Seminar als Online-Veran­staltung durch.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Dagmar Schoppe, Florian Schumann und Ansgar Tessmer und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 15. November 2021 das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

IT-Sicherheitsgesetz-2.0-vom-Bundesrat-gebilligt

IT-Sicher­heits­gesetz 2.0 vom Bundesrat gebilligt

Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicher­heits­gesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundes­in­nen­mi­nister Horst Seehofer sprach diesbe­züglich von einem „guten Tag für die Cyber­si­cherheit in Deutschland“. Er kommen­tierte: „Die Digita­li­sierung durch­dringt alle Lebens­be­reiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutz­me­cha­nismen & Abwehr­stra­tegien müssen Schritt halten – dazu dient das IT-Sicher­heits­gesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegen­stand des Regie­rungs­ent­wurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben aller­dings Modifi­ka­tionen im Detail erfahren. So erscheint die weiterhin branchenweit anhal­tende Kritik am IT-Sicher­heits­gesetz 2.0 wenig verwunderlich.

Erwei­terte Befug­nisse für das BSI, Bestands­da­ten­aus­künfte und  sog. „Huawei-Klausel“

Ein zentraler Aspekt des neuen IT-Sicher­heits­ge­setzes sind die erwei­terten Befug­nisse für das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Verbes­se­rungen gibt es im Geset­zes­entwurf immerhin bei der Konkre­ti­sierung überge­ord­neter Schutz­ziele und der daran ausge­rich­teten Arbeit des BSI. Zudem soll der Umgang mit Schwach­stellen und Sicher­heits­lücken trans­pa­renter werden. Durch das neue Gesetz soll das BSI zum wesent­lichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schad­software werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.

Detektion von Sicherheitslücken

Das BSI wird befugt, Sicher­heits­lücken an den Schnitt­stellen von IT-Systemen zu öffent­lichen Telekom­mu­ni­ka­ti­ons­netzen mithilfe von Portscans zu detek­tieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schad­pro­grammen und Angriffs­me­thoden dienen.

Speicherung und Einholung von Bestands- und Protokolldaten

Insbe­sondere daten­schutz­kri­tisch kommt hinzu, dass bei der Online-Kommu­ni­kation zwischen Bürgern und Verwal­tungs­ein­rich­tungen des Bundes anfal­lende „Proto­koll­daten“ und perso­nen­be­zogene Nutzer­in­for­ma­tionen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespei­chert und ausge­wertet werden dürfen. Dazu zählen auch interne „Proto­kol­lie­rungs­daten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekom­mu­ni­ka­ti­ons­diensten Bestands­da­ten­aus­künfte einholen. Dies soll dem Schutz von Betrof­fenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.

Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern

Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Geset­zes­no­velle. Die Bundes­re­gierung soll damit den Einsatz „kriti­scher Kompo­nenten“ bei „voraus­sicht­lichen Beein­träch­ti­gungen der öffent­lichen Sicherheit und Ordnung“ unter­sagen können. Zu diesem Zweck kommt eine Zerti­fi­zie­rungs­pflicht und Hersteller müssen eine Garan­tie­er­klärung abgeben.

Das BSI twittert diesbe­züglich im Sinne eines „Selbst­ver­ständ­nisses“, dass Sicher­heits­lücken trans­parent kommu­ni­ziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Infor­ma­tionen zu Digital­themen versorgt werden und Kriti­schen Infra­struk­turen mit engma­schiger Beratung und Aufsicht zur Seite gestanden wird.

Stärkung des Verbrau­cher­schutzes und mehr Sicherheit für Unternehmen

Darüber hinaus enthält das neue IT-Sicher­heits­gesetz Regelungen zur Stärkung des Verbrau­cher­schutzes und zur Erhöhung der Sicherheit für Unter­nehmen. Dazu wird der Verbrau­cher­schutz in den Aufga­ben­ka­talog des BSI aufge­nommen. Des Weiteren soll ein einheit­liches IT-Sicher­heits­kenn­zeichen in Zukunft Verbrau­chern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicher­heits­stan­dards einhalten.

Im Sinne der Erhöhung der Unter­neh­mens­si­cherheit müssen Betreiber Kriti­scher Infra­struk­turen sowie künftig auch weitere Unter­nehmen im beson­deren öffent­lichen Interesse (z.B. Rüstungs­her­steller oder Unter­nehmen mit besonders großer volks­wirt­schaft­licher Bedeutung) bestimmte IT-Sicher­heits­maß­nahmen umsetzen und werden in den vertrau­ens­vollen Infor­ma­ti­ons­aus­tausch mit dem BSI einbezogen.

Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung (BSI-KritisV) veröffentlicht

Das IT-SiG 2.0 verweist nicht nur auf die Kritis­ver­ordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überra­schend, dass am 26. April 2021 das Bundes­in­nen­mi­nis­terium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissen­schaft veröf­fent­licht hat. Entspre­chende Stellung­nahmen sind bis zum 17. Mai 2021 einzureichen.

Der Referen­ten­entwurf enthält erheb­liche inhalt­liche Änderungen und Anpas­sungen sowie Neuein­fü­gungen in den einzelnen Anhängen zur Bestimmung der Anlagen­ka­te­gorien und konkreten Schwel­len­werte, insbe­sondere teilweise auch der einzelnen zahlen­mä­ßigen Bemes­sungs­kri­terien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kriti­schen Dienst­leistung notwendig sind, als Anlagen im Sinne der Verordnung identi­fi­ziert. Außerdem wird der Handel mit Wertpa­pieren und Derivaten als neue kritische Dienst­leistung aufgenommen.

Unter­stützung von SRC-Experten

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheit im Gesundheitswesen: Eine Regulatorik ist notwendig und überfällig

IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig

Offene Schnitt­stellen, veraltete Technik und unter­schied­liche Inter­es­sen­lagen: IT-Sicherheit im Gesund­heits­wesen ist ein komplexes Thema, schließlich geht es um die Bedürf­nisse und Sicherheit des Patienten. Ein großes Problem stellt die fehlende Regulierung seitens der Behörden wie der Bundes­in­stitut für Arznei­mittel und Medizin­technik und dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik dar – aktuell gibt es lediglich Empfeh­lungen aber keine verbind­lichen Richtlinien.

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte (BfArM) und die gematik sind die zustän­digen Stellen für IT-Sicherheit von Medizin­pro­dukten in Deutschland. Es muss sicher­ge­stellt werden, dass Unberech­tigte die IT in medizi­ni­schen Geräten und Systemen nicht gegen den Patienten nutzen können und Kompo­nenten und System nur Berech­tigten offen stehen. Hier können auf IT-Sicherheit spezia­li­sierte Unter­nehmen wie die SRC Security Research & Consulting GmbH aus Bonn helfen. Eine Regulierung ist notwendig, um Sicher­heits­stan­dards zu schaffen – wobei hier Augenmaß vonnöten ist. Denn auch eine Überre­gu­lierung kann Schaden bringen.

Unter dem Titel „IT-Sicherheit im Gesund­heits­wesen: Eine Regula­torik ist notwendig und überfällig“ gab das Magazin „all about security“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontaktaufnahme.

BSI veröf­fent­licht CC-Zerti­fikate von Konnek­toren im Gesundheitswesen

Im Rahmen der Telema­tik­in­fra­struktur der gematik koordi­niert und verschlüsselt ein Konnektor die Kommu­ni­kation zwischen Client­system, eGK, HBA/SMC und zentraler Telema­tik­in­fra­struktur. Er stellt damit das Binde­glied zwischen diesen Kompo­nenten auf der dezen­tralen Leistungs­er­brin­ger­seite und der zentralen Telema­tik­in­fra­struktur dar.

Ein Konnektor erfüllt Sicher­heits­an­for­de­rungen, die in entspre­chenden Schutz­pro­filen nieder­gelegt worden sind.

Der Konnektor in der Produkt­typ­version 3 umfasst folgende Komponenten:

  • den Netzkon­nektor,
  • den Anwen­dungs­kon­nektor inkl. einer Signaturanwendung,
  • die Fachmodule „Versi­cher­ten­stamm­da­ten­ma­nagement“ (VSDM), „Notfall­da­ten­ma­nagement“ (NFDM) und „Arneimitteltherapiesicherheit/elektr. Medika­ti­onsplan“ (AMTS/eMP).

SRC hat den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma Research Indus­trial Systems Engineering (RISE) Forschungs‑, Entwick­lungs- und Großpro­jekt­be­ratung GmbH erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1052-V3-2021 und BSI-DSZ-CC-1132–2021 wurden vom BSI veröffentlicht.

Außerdem hat SRC den Netz- und Anwen­dungs­kon­nektor in der Produkt­typ­version 3 der Firma secunet Security Networks AG erfolg­reich evaluiert. Die Zerti­fikate BSI-DSZ-CC-1044-V3-2020 und BSI-DSZ-CC-1135–2020 wurden vom BSI veröffentlicht.

Für Fragen zu Common Criteria oder anderen Evalua­tionen sprechen Sie uns gerne an.

Zertifizierung von fiskaly Cloud Crypto Service Provider

Zerti­fi­zierung von fiskaly Cloud Crypto Service Provider

Die Abgaben­ordnung sieht u.a. eine Kombi­nation von techni­schen und organi­sa­to­ri­schen Maßnahmen vor, um Manipu­la­tionen digitaler Grund­auf­zeich­nungen wirksam zu verhindern. Kernstück der Abgaben­ordnung bildet eine zerti­fi­zierte Techni­schen Sicher­heits­ein­richtung (kurz: TSE). Die TSE ist hierbei der zentrale technische Baustein zur Sicherung der Grund­auf­zeich­nungen gegen nachträg­liche Manipu­la­tionen. Die Zerti­fi­zierung hat zum Ziel ein einheit­liches Mindest­niveau an Vertrauen und Sicherheit in die TSE sowie die Einhaltung notwen­diger Inter­ope­ra­bi­li­täts­an­for­de­rungen sicherzustellen.

Kassen­systeme führen digitale Grund­auf­zeich­nungen in o.g. Sinne durch. Daher sind in der Kassen­si­che­rungs­ver­ordnung des Bundes­mi­nis­terium der Finanzen Vorgaben für die Zerti­fi­zierung von TSEs präzi­siert, wlche vom vom BSI entspre­chend umgesetzt worden sind. Hierzu zählen detail­lierte Anfor­de­rungen an das Sicher­heits­modul, das Speicher­medium, die digitale Schnitt­stelle sowie die elektro­nische Aufbe­wahrung, die in Form von mehreren techni­schen Richt­linien und Schutz­profile veröf­fent­licht wurden.

Die zentrale Sicher­heits-Kompo­nente einer TSE ist ein sog. Crypto­graphic Service Provider, kurz: CSP). Hierbei handelt es sich um die Kompo­nentem, die die krypto­gra­phi­schen Signatur-Opera­tionen ausführt und wesent­liche Kompi­nenten wie krypto­gra­phische Schlüssel und weitere Parameter sicher verwaltet.

Das BSI hat den CSP Light von fiskaly aufgrund der Evalua­ti­ons­er­geb­nisse der SRC zerti­fi­ziert. Dieser CSP Light ist als Cloud Service imple­men­tiert, um eine Einbindung in Netzwerke zu ermöglichen.

CSPs können im Gegensatz dazu auch in Form von Chipkarten für Einzel­platz­sys­temem erstellt werden. Auch solche Produkte wurden von SRC bereits evaluiert.