5G Security High Assurance

SRC-Experte Oberender | 5G Security High Assurance

Im Rahmen des CAST-Forums hot topic: 5G-Security hält SRC-Experte Oberender einen Beitrag zu 5G Security High Assurance. Der CAST-Workshop wird vom BSI Referat SZ32 veran­staltet und findet am 11. November 2021 online statt.

5G wird zukünftig das digitale Leben in Deutschland bestimmen und damit schützen dessen Sicher­heits­ei­gen­schaften direkt die Integrität der Gesell­schaft und seiner Bürger. Das derzeit vom BSI entwi­ckelte Prüfver­fahren soll aus drei Teilen bestehen: einer Prüfung die auf der 3GPP definierte SECAM Evaluation Metho­do­logie TS 33.916 basiert und beim BSI als Technische Richt­linie NESAS CCS-GI verfeinert wird. Mögli­chere weitere Prüfungen nutzen die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) sowie das Common Criteria (CC) Zertif­zie­rungs­schema. Die Perspektive des Sicher­heits­gut­achters ist hier eine ganz besondere. Die SRC hat zu allen Prüfver­fahren weitrei­chende Erfah­rungen und gibt in diesem Vortrag Einblick in die Vor- und Nachteile der Prüfme­thoden hinsicht­licht der Prüfung der 5G bzw. 6G Kommu­ni­ka­ti­ons­platt­formen. Dr. Jens Oberender stellt die verschie­denen Prüfme­thoden SECAM, BSZ und CC für die Zulassung von 5G Sicherheit vor und disku­tiert deren Zielsetzung und Schwerpunkte.

Die Mobil­funk­netze in Deutschland gehen derzeit mit 5G-Techno­logie in ihre nächste Evolu­ti­ons­stufe. Dieser Prozess wird durch Sicher­heits­vor­gaben und damit verbundene Zerti­fi­zie­rungs­ak­ti­vi­täten begleitet. Deutschland benötigt sichere und souveräne Infra­struk­turen für die Kommu­ni­kation. Sicher­heits­merkmale, wie Zuver­läs­sigkeit und Verfüg­barkeit sind dabei wesent­liche Faktoren für die wirtschaft­liche Entwicklung Deutschland. Der CAST-Workshop hot topic: 5G-Security erlaubt gleich­zeitig Überblick und Ausblick über den aktuellen Status der 5G-Security und deren zukünftige Entwicklung.

BSZ Zertifikat

SRC als Prüfstelle für Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) anerkannt

Am 01. Oktober ist die „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)“, das neue Zerti­fi­zie­rungs­ver­fahren des Bundes­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI) gestartet. Bereits am 28. September wurde SRC vom BSI als Prüfstelle für dieses neue Verfahren anerkannt. Sandro Amendola leitet beim BSI die Abteilung Standar­di­sierung, Zerti­fi­zierung und Sicherheit von Telekom­mu­ni­ka­ti­ons­netzen. Stell­ver­tretend für das BSI überreichte er die Anerken­nungs­ur­kunde an Peter Jung, der bei SRC für die BSZ verant­wortlich ist.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung ist das neue leicht­ge­wichtige Verfahren des BSI zur Zerti­fi­zierung der Sicherheit von IT-Produkten. Im Gegensatz zu einer CC-Zerti­fi­zierung hat eine Zerti­fi­zierung nach BSZ einige Vorteile: einen erheblich gerigeren Dokumen­ta­tion­aufwand, eine deutlich verkürzte Durch­führung und dadurch einen gerin­geren Kostenaufwand.

Das Zerti­fi­zie­rungs­schema verfolgt einen risiko­ba­sierten Ansatz. Die Sicher­heits­leis­tungen des IT-Produkts werden dabei von einer anerkannten Prüfstelle wie SRC innerhalb eines festen Zeitrahmens mittels Konfor­mitäts- und Penetra­ti­ons­tests auf ihre Sicher­heits­leis­tungen und ihre Wider­stands­fä­higkeit gegen Angriffe geprüft.

Auch für den Anwender entsteht Nutzen. Er erhält eine verständ­liche Dokumen­tation der Sicher­heits­leistung und das Versprechen, dass auftre­tende Schwach­stellen innerhalb des Gültig­keits­zeit­raums des Zerti­fikats garan­tiert behoben werden.

„Nachdem SRC bereits die erste erfolg­reiche Evalu­ierung nach BSZ durch­ge­führt hat, freuen wir uns sehr über die nun erfolgte Anerkennung als Prüfstelle für dieses innovative Zerti­fi­zie­rungs­schema“ sagt Peter Jung als Vertreter der Prüfstelle und Themen­ver­ant­wort­licher für die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung BSZ bei SRC.

SRC wurde als eine der ersten Prüfstellen für BSZ anerkannt. SRC hat die Evalu­ierung des LANCOM-1900EF durch­ge­führt, dem ersten zerti­fi­zierten BSZ-Produkte überhaupt.
eWpG

Das elektro­nische Wertpapier: Ein zukunfts­wei­sender Schritt in Richtung digitaler Kapitalanlagen

Bislang konnten Wertpa­piere ausschließlich als physische Urkunde erworben werden. Seit Anfang Juni 2021 bietet sich nun mit Inkraft­treten des Gesetzes zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG) eine papierlose, digitale Alter­native für Anleger und Emittenten.

Das Gesetz zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG)

Das kürzlich in Kraft getretene Gesetz zur Einführung elektro­ni­scher Wertpa­piere (eWpG) soll insbe­sondere das deutsche Recht für elektro­nische Wertpa­piere öffnen. Anleger und Emittenten können nun frei zwischen der klassi­schen Papier­ur­kunde oder der digita­li­sierten Form wählen. Das Gesetz sieht darüber hinaus ein zentrales elektro­ni­sches Wertpa­pier­re­gister für die Eintragung der digita­li­sierten Wertpa­piere vor. Das derzeit stark in den Vorder­grund tretende Krypto­ver­wahr­ge­schäft blieb im eWpG keineswegs unberück­sichtigt. Dieses sieht die gesetz­liche Einführung von Kryptowert­pa­pieren, etwa z.B. auf Block­chain- oder allgemein auf DLT-Basis, ausdrücklich vor. Dafür wird ein eigenes Kryptowert­pa­pier­re­gister geschaffen, dessen Führung nun als weitere Finanz­dienst­leistung unter Aufsicht der BaFin im Sinne des Kredit­we­sen­ge­setzes (KWG) reguliert ist. Zur Schaffung von Rechts­si­cherheit soll das eWpG durch eine „Verordnung über Anfor­de­rungen an elektro­nische Wertpa­pier­re­gister (eWpRV)“ konkre­ti­siert werden. Ein Referen­ten­entwurf der eWpRV des Bundes­mi­nis­te­riums der Finanzen und des Bundes­mi­nis­te­riums der Justiz und für Verbrau­cher­schutz liegt bereits vor.

Neue Chancen durch das Zusam­men­spiel innova­tiver Technologien

Krypto­wäh­rungen und insbe­sondere Krypto­ver­wahr­ge­schäfte gehören nach wie vor zu den brand­heißen Digita­li­sie­rungs­themen. Durch das Gesetz zur Umsetzung der Änderungs­richt­linie zur vierten EU-Geldwä­sche­richt­linie wurde das Krypto­ver­wahr­ge­schäft Anfang 2020 als neue Finanz­dienst­leistung in das KWG aufge­nommen. Damit wurden neue Markt­chancen im Bereich der Dienst­leis­tungen rund um Krypto­wäh­rungen für Banken und Finanz­dienst­leister geschaffen. Die Emission von elektro­ni­schen Wertpa­pieren kann durch das neue eWpG auch durch Nutzung der Block­chain- oder DLT-Techno­logie erfolgen (Kryptowert­pa­piere). Damit verbunden sind neue (Finanz-)Dienstleistungen, für die einschlägige Fintechs schon bereit­stehen. Aller­dings bieten DLT-Anwen­dungen insbe­sondere IT-Dienst­leistern im Banken­umfeld neue Chancen, zukunfts­wei­sende Geschäfts­felder zu erschließen. Des Weiteren fiel im Sommer 2021 auch endgültig der Start­schuss für den Digitalen Euro, dessen Einführung als Ergänzung zu etablierten Zahlver­fahren dienen soll. Der Trend in Richtung einer weiteren Digita­li­sierung der Finanz­wirt­schaft wird durch die Einführung elektro­ni­scher Wertpa­piere nun fortgesetzt.

Darüber hinaus hat die EU-Kommission kürzlich ein digitales Finanz­paket auf den Weg gebracht, zu dessen Inhalt unter anderem ein eigener Regulie­rungs­vor­schlag für Krypto-Assets oder auch ein Pilot-Projekt für DLT-basierte Wertpa­piere gehört.

Markt­chancen erschließen und Heraus­for­de­rungen gemeinsam meistern

Nicht nur Anleger sollten sich schon jetzt intensiv mit dieser neuen Thematik befassen. Insbe­sondere bietet sich Banken und Finanz­dienst­leister nun erneut die Chance, dieses zukunfts­trächtige Markt­segment zu besetzen. Diese neuen Chancen führen jedoch auch zu neuen Heraus­for­de­rungen. Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der elektro­ni­schen Wertpa­piere, Krypto­wäh­rungen und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihrer Dienst­leis­tungen. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzu­bringen und die neuen Heraus­for­de­rungen gemeinsam zu meistern.

DLT für IT-Dienstleiter im Bankenumfeld

SRC-Experte Botermann | DLT für IT-Dienst­leiter im Bankenumfeld

Kryptowerte auf der Basis von Block­chains bewegen viele Staaten, Unter­nehmen und die Welt der Banken und deren IT-Dienstleister.

Als Distri­buted Ledger Techno­logie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassen­bücher“. Der wichtigste Unter­schied: Trans­ak­tionen werden dezentral legiti­miert und bei den Teilnehmern gespei­chert. Als disruptive Techno­logie macht DLT zahlreiche Vermitt­lungs- und Clearing­punkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrau­ens­würdige Transaktionen.

Genau darin liegt aber auch die Perspektive für zukünftige Geschäfts­mo­delle, sind es doch gerade die Banken, die tradi­tionell über Expertise bei der sicheren Verwahrung vertrau­licher Infor­ma­tionen verfügen. Der entschei­dende technische Vertrau­ens­anker jeder Trans­aktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrau­ens­würdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäfts­mo­delle der Banken erweisen.

Zusam­men­ge­fasst: DLT Anwen­dungen bieten IT-Dienst­leistern im Banken­umfeld gute Chancen, die eigenen Geschäfts­mo­delle anzupassen und sich auch für die Zukunft zu positio­nieren. Als geeig­neter Einstiegs­punkt sind Dienst­leis­tungen im Rahmen des Krypto­ver­wahr­ge­schäfts zu sehen, die künftig erweitert und ergänzt werden können.

Wie können Geschäfts­mo­delle im Banken­umfeld an diese Entwick­lungen angepasst werden? Welche Chancen bietet das Krypto­ver­wahr­ge­schäft? Welche techni­schen und regula­to­ri­schen Voraus­set­zungen müssen erfüllt sein?

In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschie­nenen Beiträgen DLT für IT-Dienst­leiter im Banken­umfeld, Krypto­ver­wahr­ge­schäft: Start­punkt für die Geschäfts­fel­der­wei­terung und Krypto­ver­wahr­ge­schäft als Geschäfts­fel­der­wei­terung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Heraus­for­de­rungen, Chancen und Stolper­steine des Krypto­ver­wahr­ge­schäfts mit der Distri­buted Ledger Techno­logie (DLT).

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Inten­siv­se­minar | Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker am 15. November 2021

Inten­siv­se­minar (online)
Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker

Gerade die Banken-IT ist gefordert, sensible Infor­ma­tionen und Daten mit einem hohen Maß an Sicherheit zu schützen und gleich­zeitig für Berech­tigte verfügbar zu machen. Dazu müssen sich Infor­ma­ti­ons­si­cher­heits­be­auf­tragte, Daten­schutz­be­auf­tragte, IT-Verant­wort­liche und weitere Mitar­beiter der Bank eng abstimmen. Trotz unter­schied­licher fachlicher Hinter­gründe muss eine gemeinsame „Sprache“ gefunden werden. Dazu ist es von Vorteil, wenn man sich die Begriffswelt der IT im Kontext ihrer Prozesse und Zusam­men­hänge verge­gen­wär­tigen kann. Nur so gelingt der inter­dis­zi­plinäre Austausch mit den IT-Experten über IT-Sicher­heits­maß­nahmen und deren Auswir­kungen im Unter­nehmen und seine vielfäl­tigen internen und externen Kommunikationsstrukturen.

Das Inten­siv­se­minar „Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker“ vermittelt das erfor­der­liche Wissen über Infor­ma­ti­ons­technik und Sicher­heits­maß­nahmen. Die Zielgruppe sind Nicht-Infor­ma­ti­ke­rInnen in Kreditinstituten.

Der Referent Florian Schumann ist IT-Leiter bei der SRC Security Research & Consulting GmbH. In dieser Position verant­wortet er die konti­nu­ier­liche Weiter­ent­wicklung der IT. Außerdem ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Modul 1: IT-Begriffe und ‑Grund­lagen

  • Netzwerke
  • Kommu­ni­ka­ti­ons­medien und ‑proto­kolle
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Netzen
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Rechenzentren
  • Backup & Restore
  • Virtua­li­sierung
  • Konzepte der Benutzerverwaltung

Modul 2: Verschlüsselung

  • symme­trische und asymme­trische Verfahren
  • Key Management
  • Signatur
  • Authen­ti­kation (z. B. Multi-Faktor-Authen­ti­sierung gemäß PSD2) und Integritätssicherung
Darüber hinaus erhalten die Teilnehmer einen Überblick über neue Techno­logien und Trends z.B. Big Data, Cloud, Künst­liche Intel­ligenz, Beson­der­heiten im mobilen Arbeiten / Homeoffice. Das Inensiv­se­minar bietet ausrei­chend Raum, um die bevor­ste­henden Heraus­for­de­rungen für die Sicherheit zu reflektieren.

Inten­siv­se­minar (online)

Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker
am Montag, 15. November 2021, 10:00 bis 17:00 Uhr

Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

CASH.DIGITALWEEK 2021 // Webinar: Kryptowährungen schaffen Marktchancen für Banken und Finanzdienstleister

CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanzdienstleister

Im Rahmen eines Webinars auf der CASH-DIGITALWEEK 2021 erläutert unsere Expertin Dagmar Schoppe, wie Krypto­wäh­rungen neue Markt­chancen für Banken und Finanz­dienst­leister schaffen können. Termin für das Webinar ist Donnerstag, der 9. September 2021 um 11:00.

Banken und Finanz­dienst­leister verfügen tradi­tionell neben den techni­schen Kompe­tenzen zur Abwicklung vertrau­ens­wür­diger Geschäfts­trans­ak­tionen auch über die nötige Expertise zur Umsetzung der regula­to­ri­schen Anfor­de­rungen. Dies kann gut als Einstieg in den Markt der Dienst­leis­tungen rund um Krypto­wäh­rungen genutzt werden, denn gerade das rasch wachsende Interesse an Krypto­wäh­rungen eröffnet den Kredit­in­sti­tuten wachsende Chancen, auf diesem Markt aktiv zu werden und die Kunden auch hier zu bedienen.

Dazu ist es notwendig, dass die Institute ihre Sicht­barkeit in diesem neuen Markt­segment erhöhen. Nur so können sie dann auf Anfragen von Kunden, Händlern sowie Dienst­leistern reagieren. Firmen­kunden haben so z. B. auch die Möglichkeit selbst emittierte Krypto­wäh­rungen anzubieten bzw. unter Nutzung der Block­chain-Techno­logie die digitalen Geschäfts­pro­zesse der Kunden optimal zu unter­stützen. Unter Begleitung der Banken und Finanz­dienst­leister können Firmen­kunden die Digita­li­sierung ihrer Geschäfts­pro­zesse weiter vorantreiben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung. Im Rahmen des Webinars „CASH.DIGITALWEEK 2021 // Webinar: Krypto­wäh­rungen schaffen Markt­chancen für Banken und Finanz­dienst­leister“ erläutert Dagmar Schoppe, Bereichs­lei­terin Banken Compliance bei SRC, mögliche Strategien und steht den Teilnehmern Rede und Antwort.

SRC liefert Gutachten für Gematik

SRC liefert Gutachten zum E‑Rezept für die gematik

Bei der Digita­li­sierung im Gesund­heits­wesen spielt die IT-Sicherheit eine besondere Rolle. Im Kontext der Einführung des durch die gematik verant­wor­teten elektro­ni­schen Rezeptes (E‑Rezept) wird die Sicherheit aller Kompo­nenten durch unabhängige und durch die gematik zugelassene Gutachter geprüft.
Die Einführung des E‑Rezeptes und der E‑Rezept-App hat am 1. Juli 2021 begonnen. Bis dahin musste die Daten­si­cherheit für Patienten, Ärzte und Apotheker sicher­ge­stellt sein. Um die Sicherheit dieser Anwen­dungen in der tagtäg­lichen Arbeit zu überprüfen, hat die gematik mit Zustimmung des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik mehrere Gutachten zur Prüfung der Anwen­dungen in Auftrag gegeben. Einige dieser Gutachten wurden durch die Gutachter der SRC erstellt. Das Ergebnis: Einer kontrol­lierten Inbetrieb­nahme in den Produk­ti­ons­be­trieb steht nichts im Wege. Die Anwen­dungen können in die Telema­tik­in­fra­struktur (TI) einge­gliedert werden.

Voraus­setzung für die nun folgende Testphase ist die Sicher­heits­be­gut­achtung, an der die Gutachter der SRC bei zwei Kompo­nenten beteiligt war. Mitar­beiter der SRC sind seit 2014 bei der gematik als Gutachter zugelassen und haben den Identity-Provider-Dienst der RISE sowie den Fachdienst E‑Rezept der IBM begut­achtet. Die gematik hat die Zusam­men­fassung der durch die Gutachter der SRC erstellten Gutachten am 1. Juli 2021 auf ihrer Webseite veröffentlicht.

In der gerade gestar­teten Testphase wird das E‑Rezept nun in der Modell­region Berlin-Brandenburg im Praxis­alltag erprobt. Hier sollen zunächst praktische Erkennt­nisse über das Zusam­men­spiel aller am E‑Rezept betei­ligter Kompo­nenten gesammelt werden. Die bundes­weite Einführung des E‑Rezepts wird für das 4. Quartal 2021 vorbereitet.

Jeder gesetzlich Versi­cherte kann seine NFC-fähige elektro­nische Gesund­heits­karte (eGK) mit der dazu gehörenden PIN für das E‑Rezept nutzen. Die eGK wird standard­mäßig von den gesetz­lichen Kranken­kassen an ihre Versi­cherten herausgegeben.

Ab 2022 wird das E‑Rezept für alle gesetzlich Versi­cherten verpflichtend, private Kranken­ver­si­che­rungen haben jedoch bereits ihr Interesse an der Teilnahme am E‑Rezept deutlich gemacht. Private Kranken­ver­si­che­rungen können bis auf weiteres freiwillig entscheiden, ob sie ihren Versi­cherten die eGK ausgeben.
„Die Einführung des E‑Rezept und der dazuge­hö­rigen App ist zweifellos ein Meilen­stein für die Digita­li­sierung des deutschen Gesund­heits­system. Bei SRC sind wir schon ein wenig stolz darauf mit unserer Arbeit einen Beitrag zum Absicherung dieser Lösung geleistet zu haben.“ sagt Randolf Skerka, Bereichs­leiter IS-Management bei SRC.
„Diese Begut­achtung war von reibungs­loser und inten­siver Abstimmung mit dem Herstellern RISE und IBM sowie der gematik geprägt. Nur so war es möglich die hohe Qualität in der Kürze der Zeit sicher­zu­stellen.“ sagt Dr. Jens Putzka stell­ver­tretend für alle betei­ligten Kollegen bei SRC.
LANCOM 1900EF

Lancom 1900EF VPN Router erhält erste Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)

Das BSI hat der LANCOM Systems GmbH das erste Zerti­fikat nach dem neuen BSI-Schema „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung“ (kurz: BSZ) erteilt. In diesem Pilot-Verfahren hat SRC die Sicher­heits­ei­gen­schaften des Lancom 1900EF VPN Routers bewertet und dem BSI abschließend die Zulassung empfohlen.

LANCOM hat bei SRC bereits in vielen Verfahren die Sicherheit ihrer Lösungen durch Common Criteria Evalu­ie­rungen oder Penetra­ti­ons­tests prüfen und bestä­tigen bzw. zerti­fi­zieren lassen. Mit der Piloteva­lu­ierung zur BSZ haben das BSI, LANCOM und SRC gemeinsam einen weiteren Zerti­fi­zie­rungs­standard für Lösungen zur IT-Sicherheit gesetzt. Dieser hat das Ziel, bei verkürzter Zeit für die Markt­ein­führung des Produktes das erfor­der­liche Sicher­heits­niveau zu gewährleisten.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) erlaubt Herstellern in einem festge­legten Zeitraum ihre Produkte evalu­ieren und vom BSI zerti­fi­zieren zu lassen.  Dabei muss die Evalu­ierung von einer vom BSI anerkannten Prüfstelle durch­ge­führt werden. Bei der BSZ ist der Gesamt­aufwand der Evalu­ierung, im Vergleich zu z.B. Common Criteria Evalu­ie­rungen von Anfang an vorge­geben (Fixed Time). So können Hersteller den zu erwar­tenden Aufwand gut einschätzen.

Beim Design der Angriffs­sze­narien gesteht die BSZ den Evalua­toren einen relativ großen Spielraum zu. Dieser Prüfkatalog muss dem BSI ausführlich und detail­liert dargelegt werden. Dieser Gestal­tungs­spielraum fordert ein überdurch­schnitt­liches Maß an Sachkunde, Sorgfalt und Kreati­vität sowohl von der Insti­tution Prüfstelle, als auch von jedem einzelnen Evaluator. Der Prüfkatalog und die abschlie­ßende Bewertung im Prüfbe­richt schöpfen aus einem breiten Know-how an z.B. Krypto­graphie, Penetra­ti­ons­tests oder Protokoll-Angriffen. Die Umsetzung durch den Hersteller wird durch die Prüfstelle bewertet und die Verant­wort­lichen bei SRC müssen diese gegenüber der kriti­schen Betrachtung des BSI verteidigen.

„Besonders in dem Feld der IoT-Geräte wird die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung sicherlich eine große Rolle spielen“ sagt dazu Gerd Cimiotti, Geschäfts­führer der SRC Security Research & Consulting GmbH. Er bedankt sich, ebenso wie Lancom und das BSI für die Profes­sio­na­lität auf allen Seiten, mit der dieses Pilot­ver­fahren letztlich zu einem erfolg­reichen Abschluss gebracht wurde.

Ralf Koenzen, Gründer und Geschäfts­führer der LANCOM Systems GmbH, gibt die Perspektive des Herstellers wieder: „Wenn man etwas zum ersten mal tut, dann ist der Aufwand immer größer. Gerade dann empfindet man die Erfahrung und die Expertise eines Partners wie SRC als Orien­tierung und spürbare Erleichterung.“

Als langjäh­riger Partner des BSI hat SRC schon eine Vielzahl an Projekten in den unter­schied­lichsten Zulas­sungs­schemata durch­ge­führt. Derzeit befindet sich SRC im Verfahren zur Anerkennung als Prüfstelle für die Beschleu­nigte Sicherheitszertifizierung.

Gern begleiten wir auch Ihre Beschleu­nigte Sicher­heits­zer­ti­fi­zierung. Haben Sie Fragen zum BSZ, sprechen Sie uns gerne an.

KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden

KI-Sicherheit: Das richtige Maß zur Regulierung von KI

Gerade wegen ihrem enormen Potential, ihren vielfäl­tigen Anwen­dungs­be­reichen und ihrer Lernfä­higkeit müssen Systeme der Künst­lichen Intel­ligenz (KI) gleich­zeitig sicher und beherrschbar sein und bleiben. Hier gilt es das richtige Maß bei der Regulierung zu finden.

Sprach­as­sis­tenten, Überset­zungen auf Knopf­druck, Predictive Maintenance oder Bewer­ber­ma­nagement-Systeme. Trotz der vielfäl­tigen Anwen­dungs­ge­biete steht Künst­liche Intel­ligenz (KI) erst am Anfang ihrer Entwicklung. viele der künftigen Einsatz­ge­biete sind noch gar nicht abzusehen. Hier eröffnen sich große Chancen für Entwickler und Hersteller mit Verbes­se­rungen aufgrund der Nutzung künst­licher Intel­ligenz, Wettbe­werbs­vor­teile zu erzielen.

Neben weiteren Abstim­mungen steht nun in Zukunft viel Detail­arbeit an; es sind die entspre­chenden Normen und Standards auszu­ar­beiten bzw. anzupasen und Verfahren zur Konfor­mi­täts­be­wertung zu entwi­ckeln. Dabei sollte der organi­sa­to­rische und technische Aufwand für die Hersteller in einem angemes­senen Rahmen gehalten werden, um die Entwick­lungen von KI-Systemen nicht zu behindern. Gleich­zeitig gilt es aber auch, das wirtschaft­liche und gesell­schaft­liche Vertrauen in diese vielver­spre­chende Techno­logie zu gewinnen.

Unter dem Titel „KI-Sicherheit: Das richtige Maß zur Regulierung von KI finden“ gab das Magazin „it-daily“ Randolf-Heiko Skerka, Bereichs­leiter IS-Management bei der SRC Security Research & Consulting GmbH, Gelegenheit, umfassend Stellung zu nehmen.

Bei Interesse freuen wir uns über Ihre Kontakt­auf­nahme.