8‑stellige BINs und PCI DSS

Am 1. April 2022 werden die Karten­or­ga­ni­sa­tionen Visa und Mastercard die BIN (Bank Identi­fi­cation Number) ihrer Karten weltweit von 6 auf 8 Stellen ausdehnen. Von einer 16-stelligen Kredit­kar­ten­nummer (Primary Account Number, PAN) dienen dann in Zukunft die ersten 8 Stellen zur Identi­fi­kation des Karten­her­aus­gebers. Die BIN wird an vielen Stellen genutzt, wo die Verwendung der vollstän­digen PAN nicht nötig ist – z.B. für das Routing von Trans­ak­tionen oder für Reportings.

BINs und PCI DSS 

Überall dort, wo eine vollständige PAN genutzt wird, müssen die Systeme, Umgebungen, Prozesse und Personen die Anfor­de­rungen des Daten­si­cher­heits­stan­dards PCI DSS (Payment Card Industry Data Security Standard) erfüllen. So sinnvoll der Schutz der PAN durch den PCI DSS ist – für die BIN ist er nicht notwendig.

Im PCI DSS ist daher beschrieben, unter welchen Bedin­gungen für Teile der PAN nicht der gleiche Schutz wie für die volle PAN notwendig ist. Wird nicht die volle PAN gespei­chert, verar­beitet oder übertragen, sondern nur einige Stellen davon, spricht man im PCI DSS von „Trunkierung“. Ist zwar die volle PAN im Hinter­grund gespei­chert, aber in einer Appli­kation werden nicht alle Stellen angezeigt, spricht man im PCI DSS bei der Anzeige von „Maskierung“. Im Alltag wird für beide unter­schied­lichen Maßnahmen auch der Begriff „ausgeixt“ verwendet; aus Sicht des PCI DSS muss man diese aber unterscheiden.

Für Trunkierung und Maskierung galten bisher folgende Regeln:

  • Maskierung: PCI DSS-Anfor­derung 3.3 besagt, dass maximal die ersten sechs und letzten vier Stellen („first 6, last 4“) der PAN angezeigt werden dürfen, solange es keinen Business Need für die Einsicht in die volle PAN gibt.
  • Trunkierung: In PCI DSS-Anfor­derung 3.4 wird Trunkierung als Beispiel für die Unkennt­lich­ma­chung von PANs benannt, aber nicht genauer definiert. Die erlaubten Formate werden jeweils von den inter­na­tio­nalen Zahlkarten-Organi­sa­tionen festgelegt und vom PCI SSC im FAQ-Eintrag #1091 zusam­men­ge­fasst. Die meisten Zahlkarten-Organi­sa­tionen hatten sich dabei auf die Regel „first 6, any other 4“ geeinigt, die viele Jahre Bestand hatte.

Änderung der Regeln für Trunkierung und Maskierung 

Aufgrund der Umstellung auf 8‑stellige BINs und der Notwen­digkeit vieler Unter­nehmen, diese zu verar­beiten, haben die Zahlkarten-Organi­sa­tionen ihre Vorgaben nun aber geändert. In der aktuellen Zusam­men­fassung im FAQ-Eintrag des PCI SSC ist nun definiert, dass für 16-stellige PANs bei der Trunkierung „first 8, any other 4“ zulässig ist.
Die (Test)Kartennummer 4012888888881881 dürfte dann in Zukunft z.B. in der Form 40128888xxxx1881 gespei­chert und verar­beitet werden – es reicht aus, wenn beliebige vier Stellen hinter der BIN ausgeixt sind.
Lediglich für kürzere PANs bleibt es bei den bestehenden Regeln „first 6, any other 4“ (Discover) bzw. „first 6, last 4“ (American Express).  Bei der Maskierung wird eine entspre­chende Anpassung der PCI DSS-Anfor­derung mit der Umstellung auf PCI DSS v4.0 erwartet.

Aus Sicher­heits­sicht ist das Ausixen so weniger Stellen keine Verbes­serung – aus der Business-Perspektive ist die Änderung aber wohl notwendig. Es bleibt zu hoffen, dass dies in der Gesamt­sicht durch andere Sicher­heits­maß­nahmen ausge­glichen wird.
Auf jeden Fall stehen in Zukunft die Anfor­de­rungen des PCI DSS der Verwendung einer 8‑stelligen BIN nicht im Wege.

Vorsicht bei der Kombi­nation verschie­dener Formate 

Händler und Dienst­leister, die mit trunkierten Karten­daten arbeiten, sollten – unabhängig von der Länge der BIN – darauf achten, den Schutz der Karten­daten nicht durch die Vermi­schung verschie­dener Formate zu schwächen.

  • Es muss darauf geachtet werden, dass die erwei­terten Trunkie­rungs­formate nur für 16-stellige PANs gelten. Die Länge der PAN muss also für die Trunkierung bei der Speicherung berück­sichtigt werden.
  • Trunkie­rungs­formate wie „first 6, any other 4“ erlauben theore­tisch das Vorliegen unter­schied­licher trunkierter Versionen der gleichen PAN. Die oben angeführte Karten­nummer könnte in einem System als 40128888xxxx1881 gespei­chert sein, in einem anderen als 401288888888xxxx. Das ist nicht verboten – es muss jedoch darauf geachtet werden, dass keiner ohne entspre­chenden Business Need die beiden Versionen zusam­men­führen kann und somit weitere Stellen der PAN – bis hin zur vollstän­digen Karten­nummer – rekon­stru­ieren kann.
    Dies gilt genauso, wenn für Maskierung und Trunkierung unter­schied­liche Formate verwendet werden.
  • Werden in einer Umgebung sowohl trunkierte PANs als auch die Hash-Werte von PANs gespei­chert, so sind die beiden Werte an sich erst einmal unkri­tisch. Lassen sich die trunkierten PANs und ihre Hash-Werte jedoch in Verbindung bringen, lässt sich über Rainbow Tables leicht die ursprüng­liche volle PAN rekon­stru­ieren. Auch in diesem Fall muss also über zusätz­liche Maßnahmen die Möglichkeit der Zusam­men­führung der beiden Versionen verhindert werden.

 

 

IT-Sicher­heits­re­gu­lierung im Gesund­heits­wesen: Welche Regeln für die Cyber­se­curity gelten

Die Digita­li­sierung des Gesund­heits­sektors entwi­ckelt sich dynamisch: Digitale Produkte erobern den Markt; Künst­liche Intel­ligenz hält Einzug, Innova­tionen in Bereichen wie Pflege, Medizin, Genthe­rapie oder Nanotech­no­logie sind weitere Treiber. Gleich­zeitig ist die Markt­ein­führung neuer Healthcare-Produkte an strenge IT-Sicher­heits­be­stim­mungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beein­flussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.

Kritische Infra­struk­turen: Die KRITIS-Verordnung

Besondere Anfor­de­rungen an die IT-Sicherheit gelten bereits für bestehende Einrich­tungen des Gesund­heits­wesens, sofern sie vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) als Kritische Infra­struk­turen klassi­fi­ziert sind. Im Gesund­heits­sektor betrifft das nicht nur die stationäre medizi­nische Versorgung, sondern auch die Versorgung mit unmit­telbar lebens­er­hal­tenden Medizin­pro­dukten, verschrei­bungs­pflich­tigen Arznei­mitteln, Blut- und Plasma­kon­zen­traten sowie die Labora­to­ri­ums­dia­gnostik ab einer bestimmten Größe. Die jewei­ligen Schwel­len­werte sind in der BSI-Kritis­ver­ordnung definiert. Als Richt­größe gilt hier der Regel­schwel­lenwert von 500.000 von der Einrichtung versorgten Personen.

Laut BSI-Gesetz (§ 8a) müssen die jewei­ligen Betreiber nach Stand der Technik angemessene organi­sa­to­rische und technische Vorkeh­rungen treffen, um Störungen der Verfüg­barkeit, Integrität, Authen­ti­zität und Vertrau­lichkeit ihrer maßgeb­lichen infor­ma­ti­ons­tech­ni­schen Systeme, Kompo­nenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicher­heits­audits, Prüfungen oder Zerti­fi­zie­rungen nachzu­weisen. Zusätzlich kann das BSI auch selbst Sicher­heits­über­prü­fungen durch­führen oder durch­führen lassen. Bei Nicht­ein­haltung der gesetz­lichen Vorgaben drohen empfind­liche Geldstrafen.

Ausweitung der Verordnung auf alle Kranken­häuser: KRITIS „light“

Seit Januar 2022 gelten diese IT-Sicher­heits­vor­gaben nicht nur für stationäre medizi­nische Einrich­tungen im Sinne der KRITIS-Verordnung, sondern für alle Kranken­häuser. Auch wenn die Nachweis­pflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadens­er­satz­for­de­rungen und Haftungs­ri­siken rechnen. Daher sollten die im Sozial­ge­setzbuch V (§ 75) hinter­legten Anfor­de­rungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orien­tierung bieten dabei die branchen­spe­zi­fi­schen Sicher­heits­stan­dards für die infor­ma­ti­ons­tech­nische Sicherheit der Gesund­heits­ver­sorgung im Krankenhaus.

Wann immer also in Kranken­häusern und Einrich­tungen der Kriti­schen Infra­struktur neue Systeme oder Kompo­nenten innerhalb der Kernfunk­tionen einge­setzt werden, sind diese auch unter KRITIS-Sicher­heits­aspekten zu bewerten und in die Prüfpro­zesse einzubeziehen.

Daten­si­cherheit: Ein Ziel – unter­schied­liche Verfahren

Der Schutz der für das Gemein­wesen wichtigen Kriti­schen Infra­struk­turen ist aber nur ein Aspekt der IT-Sicherheit im Gesund­heits­wesen. Da die Sicherheit der sensiblen Daten auch im Alltags­be­trieb jederzeit gegeben sein muss, sind in allen betrof­fenen Bereichen Cyber­se­curity-Anfor­de­rungen, Zulas­sungs­vor­aus­set­zungen und Prüfpro­zesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetz­lichen Rahmen­be­din­gungen dafür sind im Sozial­ge­setzbuch zusam­men­ge­fasst. Als nationale Behörde für Cyber­si­cher­heits­zer­ti­fi­zierung ist das BSI die zentrale Instanz. Aller­dings – und das macht es für Antrag­steller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zerti­fi­zie­rungs­prozess für die IT-Sicherheit von Gesundheitsprodukten.

Die IT-Sicher­heits­prü­fungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jewei­ligen Zulas­sungs­pro­zesse der verschie­denen Services einge­gliedert. Zuständig sind jeweils unter­schied­liche Insti­tu­tionen: Etwa die Gesell­schaft für Telematik für Anwen­dungen in der Telema­tik­in­fra­struktur oder das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte für digitale Gesund­heits­an­wen­dungen, netzwerk­fähige Medizin­pro­dukte und Pflege­geräte – dazu im Folgenden einige Erläuterungen.

Telema­tik­in­fra­struktur: Mehrstufige Prüfprozesse

Zu den Heraus­for­de­rungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungs­er­bringern, Kosten­trägern und Versi­cherten. Die Digita­li­sierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommu­ni­kation und Abläufe dadurch erheblich zu beschleu­nigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telema­tik­in­fra­struktur (§ 306 SGB). Dienste wie die elektro­nische Patien­tenakte oder der E‑Medikationsplan setzen auf dieser inter­ope­rablen Kommu­ni­ka­tions- und Sicher­heits­ar­chi­tektur auf. Für Aufbau und Weiter­ent­wicklung der Telema­tik­in­fra­struktur (TI) ist die Gesell­schaft für Telematik, gematik, verant­wortlich, zu deren Aufgaben auch die Definition und Durch­setzung verbind­licher Standards für Dienste, Kompo­nenten und Anwen­dungen gehört.

Bei der IT-Sicher­heits­be­wertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Kompo­nenten und Dienste in einem mehrstu­figen Prüfungs­ver­fahren gemeinsam mit den Anbietern umfang­reichen Tests unter­zogen, bevor Sicher­heits­eva­lua­tionen oder genaue Sicher­heits­gut­achten erstellt werden. Die einzelnen Anfor­de­rungen sind in sogenannten Produkt­steck­briefen für die Zulassung der Anbieter in Anbie­ter­steck­briefen hinterlegt.

Auch nach der Zulassung wird der sichere und störungs­freie Betrieb überwacht. Eine unberech­tigte Nutzung der Telema­tik­in­fra­struktur wie auch die Nicht­meldung von Störungen oder Sicher­heits­mängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.

Video­sprech­stunde – Anbieter von Videodiensten

Während neue TI-Dienste wie die die elektro­nische Patien­tenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versi­cherten anzukommen, sind mit Beginn der Pandemie die Nutzer­zahlen für andere digitalen Dienst­leistung förmlich explo­diert: 1,4 Millionen Video­sprech­stunden wurden allein im ersten Halbjahr 2020 durch­ge­führt. Im Jahr 2019 waren es dagegen erst knapp 3.000.

Voraus­setzung für eine Teilnahme als Video­dienst­an­bieter ist die Erfüllung aller Anfor­de­rungen an die techni­schen Verfahren. Die Anfor­de­rungen an Anbieter, Teilnehmer und Vertrags­ärzte wurden in einer entspre­chenden Verein­barung der Kassen­ärzt­lichen Bundes­ver­ei­nigung und des Spitzen­ver­bandes Bund der Kranken­kassen festgelegt.

Unter anderem muss die Kommu­ni­kation zwischen Patient und Arzt bzw. Pflege­kraft durch eine Ende-zu-Ende-Verschlüs­selung gesichert sein und der Video­dienst darf keine schwer­wie­genden Sicher­heits­ri­siken aufweisen. Die nötigen Nachweise und Zerti­fikate zur IT-Sicherheit sind in der Verein­barung im Einzelnen aufge­führt, Vorlagen für die Beschei­ni­gungen und der Frage­bogen mit Prüfkri­terien in der Anlage hinterlegt.

Digitale Gesund­heits­an­wen­dungen: Die App auf Rezept

Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesund­heits­an­wen­dungen (DiGA) sind definiert als Medizin­pro­dukte niedriger Risikoklassen zur Erkennung, Überwa­chung, Behandlung oder Linderung von Krank­heiten oder zur Erkennung, Behandlung, Linderung oder Kompen­sierung von Behin­de­rungen und Verlet­zungen. Die Haupt­funktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraus­setzung für eine Kosten­über­nahme durch die Kranken­kassen ist die Aufnahme im Verzeichnis des Bundes­in­stituts für Arznei­mittel und Medizin­pro­dukte (BfArM).

Für diese Beantra­gungen wurde ein dreimo­na­tiges Fast-Track-Verfahren aufge­setzt, die entspre­chenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grund­sätz­liche Vorgaben zur Daten­si­cherheit sind in der Digitalen Gesund­heits­an­wen­dungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Infor­ma­ti­ons­si­cher­heits­ma­nagement-System auf Basis des BSI-Standard 200–2: IT-Grund­schutz-Methodik. Hilfe­stellung bietet zudem die Technische Richt­linie des BSI zu Sicher­heits­an­for­de­rungen an digitale Gesund­heits­an­wen­dungen.

Regulie­rungs­bedarf bei vernetzten Medizinprodukten

Regulie­rungs­bedarf besteht derzeit noch bei netzwerk­fä­higen Medizin­pro­dukten. Anders als bei den rein digitalen Gesund­heits­an­wen­dungen sind Digital­funk­tionen hier meist als Ergän­zungen zur bestehenden medizi­ni­schen Grund­funktion integriert. Daraus ergibt sich ein äußerst breites und hetero­genes Anwen­dungs­spektrum. Zum Teil sind die IT-Sicher­heits­an­for­de­rungen auch schwie­riger zu adres­sieren, denn diese Netzwerk­funk­tionen werden häufig über Dritt­an­bieter zugekauft und sind noch nicht bei allen Unter­nehmen auch in die Quali­täts­si­che­rungs­pro­zesse einge­bunden. Gleichwohl sind sie als Anbieter haftbar.

Grund­le­gende Anfor­de­rungen an Cyber-Sicher­heits­ei­gen­schaften von Medizin­pro­dukten wurden erstmals in der EU-Verordnung 2017/745 über Medizin­pro­dukte definiert, die in Deutschland durch das Medizin­pro­dukte­recht-Durch­füh­rungs­gesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehal­tenen – Vorgaben zur IT-Sicherheit helfen Richt­linien und Verfah­rens­an­lei­tungen wie:

- Guideline der Medical Device Coordi­nation Group
Leitfaden zur Nutzung des MDS2 (Manufac­turer Disclosure Statement)
Herstel­ler­emp­fehlung zu Cyber-Sicher­heits­an­for­de­rungen an netzwerk­fähige Medizinprodukte.

Das BSI hat die Cyber­si­cherheit vernetzter Medizin­pro­dukte unter­sucht und in seinem Abschluss­be­richt dazu auch die anste­henden Aufgaben formu­liert. Die Weiter­ent­wicklung der Regula­torik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innova­tionen zum Durch­bruch zu verhelfen und ihre schnelle und sichere Markt­ein­führung zu fördern.

Autor: Randolf Skerka, SRC GmbH

PCI DSS v4.0 kommt – Ein Überblick

Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfas­sender Daten­si­cher­heits­standard für Zahlkar­ten­daten der inter­na­tio­nalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwi­ckelt den Standard im Laufe der Zeit weiter, damit er mit fortschrei­tenden Risiken und Bedro­hungen, der sich ständig verän­dernden IT- und Zahlungs­ver­kehrs­land­schaft und geänderten Sicher­heits­an­for­de­rungen Schritt hält.

Das PCI SSC arbeitet seit langem an der neuen, grund­legend überar­bei­teten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurück­lie­genden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.

Neue Validie­rungs­op­tionen

Das PCI SSC plant, den Standard flexibler zu gestalten. Tradi­tionell besteht der vorge­sehene Weg zur Erfüllung einer PCI DSS-Anfor­derung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmög­lichkeit anzubieten: Für fast jede Anfor­derung kann ein Unter­nehmen entweder die tradi­tio­nelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine indivi­duelle, „custo­mized“ Validierung nutzen.

Zu jeder Anfor­derung im Standard wird das Ziel angegeben, das mit der Anfor­derung erreicht werden soll. Wenn ein Unter­nehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwört­liche Befolgung der Anfor­derung, kann sie ihren Weg dahin dokumen­tieren. Hierzu gehört auch eine Risiko­be­wertung, um die Angemes­senheit des gewählten „custo­mized“ Weges zu überprüfen. Diese Dokumen­tation, inklusive der Risiko­be­wertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identi­fi­ziert auf dieser Grundlage geeignete Testver­fahren zur Überprüfung der Umsetzung der „custo­mized“ Maßnahmen.

Änderungen an Anforderungen 

Um sicher­zu­stellen, dass die PCI DSS-Konfor­mität das ganze Jahr über aufrecht­erhalten wird, wurden zusätz­liche Anfor­de­rungen vom PCI SSC angekündigt, z.B. die Notwen­digkeit für

  • Die Definition von Rollen und Verant­wort­lich­keiten für alle PCI-DSS-relevanten Themen, und für
  • Regel­mäßige Überprü­fungen des PCI-DSS-Anwen­dungs­be­reichs (Scope).

Darüber hinaus werden bestehende Anfor­de­rungen an verän­derte Bedro­hungs­lagen und Sicher­heits­an­for­de­rungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:

  • Anfor­de­rungen an die Authentifizierung,
  • Erken­nungs­me­cha­nismen und Sensi­bi­li­sie­rungs­maß­nahmen für aktuelle Bedro­hungen, sowie
  • Risiko­be­wer­tungen.

Auch die Verwendung von 8‑stelligen BINs wird berück­sichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgül­tigen Veröf­fent­li­chung fest.

Übergangs­prozess

Das PCI SSC hat eine Übergangs­frist von zwei Jahren angekündigt, plus eine zusätz­liche Übergangszeit für grund­legend neue Anfor­de­rungen. Nehmen Sie sich also nach der Veröf­fent­li­chung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identi­fi­zieren und die Auswir­kungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unter­nehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.

Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpas­sungs­bedarf und die Validie­rungs­an­for­de­rungen zu verstehen. Bitte zögern Sie nicht, sie zu kontak­tieren. Wenn Sie noch keinen Ansprech­partner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themen­ver­ant­wort­liche.

Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kosten­losen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.

 

SRC-Experte Dr. Botermann – Smart Contracts in der Finanzwelt

Viele adminis­trative Vorgänge, wie Versi­che­rungs- und Entschä­di­gungs­zah­lungen, könnten mittels Smart Contracts automa­ti­siert und effizient abgebildet werden. Unter Smart Contracts versteht man sogenannte „selbst­er­fül­lende Verträge“, die auf der Distri­buted-Ledger-Techno­logie (DLT) basieren. Die Trans­ak­tionen werden dann dezentral für alle Teilnehmer manipu­la­ti­ons­sicher und krypto­gra­phisch abgesi­chert gespeichert.

Bereits 2016 gab es Studien, die dieses Potential erkannten und mit einem flächen­de­ckenden Einsatz bereits im Jahr 2021 rechneten. Doch der Durch­bruch lässt trotz guter Voraus­set­zungen auf sich warten. Auch die Regula­torik – immer wieder ein Hemmnis für innovative Techno­logien – birgt nur noch wenig Unsicherheiten.

In seinem Beitrag Finanz­branche im Umbruch: Wer schneller lernt, gewinnt, der bei experten Report erschienen ist, gibt der SRC-Experte Dr. Benjamin Botermann einen Ein- und Überblick über Heraus­for­de­rungen und Chancen bei der Nutzung von Smart Contracts.

Zusam­men­ge­fasst kann festge­stellt werden, dass Smart Contracts es besonders in der Finanz­branche ermög­lichen, die Digita­li­sierung von Geschäfts­pro­zessen voran­zu­treiben. Klassische Finanz­in­stitute, die von den neuen dezen­tralen Modellen profi­tieren wollen, müssen sich jetzt ins Spiel bringen und nicht mehr nur vom Rande zuschauen. Institute, die jetzt den Aufbruch in die Welt des Krypto­ver­wahr­ge­schäfts wagen, erweitern ihre Kompe­tenzen , die für den Digita­li­sie­rungs­fort­schritt von hohem Wert sind.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der DLT, Smart Contracts, Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

5G Security High Assurance

SRC-Experte Oberender | 5G Security High Assurance

Im Rahmen des CAST-Forums hot topic: 5G-Security hält SRC-Experte Oberender einen Beitrag zu 5G Security High Assurance. Der CAST-Workshop wird vom BSI Referat SZ32 veran­staltet und findet am 11. November 2021 online statt.

5G wird zukünftig das digitale Leben in Deutschland bestimmen und damit schützen dessen Sicher­heits­ei­gen­schaften direkt die Integrität der Gesell­schaft und seiner Bürger. Das derzeit vom BSI entwi­ckelte Prüfver­fahren soll aus drei Teilen bestehen: einer Prüfung die auf der 3GPP definierte SECAM Evaluation Metho­do­logie TS 33.916 basiert und beim BSI als Technische Richt­linie NESAS CCS-GI verfeinert wird. Mögli­chere weitere Prüfungen nutzen die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) sowie das Common Criteria (CC) Zertif­zie­rungs­schema. Die Perspektive des Sicher­heits­gut­achters ist hier eine ganz besondere. Die SRC hat zu allen Prüfver­fahren weitrei­chende Erfah­rungen und gibt in diesem Vortrag Einblick in die Vor- und Nachteile der Prüfme­thoden hinsicht­licht der Prüfung der 5G bzw. 6G Kommu­ni­ka­ti­ons­platt­formen. Dr. Jens Oberender stellt die verschie­denen Prüfme­thoden SECAM, BSZ und CC für die Zulassung von 5G Sicherheit vor und disku­tiert deren Zielsetzung und Schwerpunkte.

Die Mobil­funk­netze in Deutschland gehen derzeit mit 5G-Techno­logie in ihre nächste Evolu­ti­ons­stufe. Dieser Prozess wird durch Sicher­heits­vor­gaben und damit verbundene Zerti­fi­zie­rungs­ak­ti­vi­täten begleitet. Deutschland benötigt sichere und souveräne Infra­struk­turen für die Kommu­ni­kation. Sicher­heits­merkmale, wie Zuver­läs­sigkeit und Verfüg­barkeit sind dabei wesent­liche Faktoren für die wirtschaft­liche Entwicklung Deutschland. Der CAST-Workshop hot topic: 5G-Security erlaubt gleich­zeitig Überblick und Ausblick über den aktuellen Status der 5G-Security und deren zukünftige Entwicklung.

BSZ Zertifikat

SRC als Prüfstelle für Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ) anerkannt

Am 01. Oktober ist die „Beschleu­nigte Sicher­heits­zer­ti­fi­zierung (BSZ)“, das neue Zerti­fi­zie­rungs­ver­fahren des Bundes­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI) gestartet. Bereits am 28. September wurde SRC vom BSI als Prüfstelle für dieses neue Verfahren anerkannt. Sandro Amendola leitet beim BSI die Abteilung Standar­di­sierung, Zerti­fi­zierung und Sicherheit von Telekom­mu­ni­ka­ti­ons­netzen. Stell­ver­tretend für das BSI überreichte er die Anerken­nungs­ur­kunde an Peter Jung, der bei SRC für die BSZ verant­wortlich ist.

Die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung ist das neue leicht­ge­wichtige Verfahren des BSI zur Zerti­fi­zierung der Sicherheit von IT-Produkten. Im Gegensatz zu einer CC-Zerti­fi­zierung hat eine Zerti­fi­zierung nach BSZ einige Vorteile: einen erheblich gerigeren Dokumen­ta­tion­aufwand, eine deutlich verkürzte Durch­führung und dadurch einen gerin­geren Kostenaufwand.

Das Zerti­fi­zie­rungs­schema verfolgt einen risiko­ba­sierten Ansatz. Die Sicher­heits­leis­tungen des IT-Produkts werden dabei von einer anerkannten Prüfstelle wie SRC innerhalb eines festen Zeitrahmens mittels Konfor­mitäts- und Penetra­ti­ons­tests auf ihre Sicher­heits­leis­tungen und ihre Wider­stands­fä­higkeit gegen Angriffe geprüft.

Auch für den Anwender entsteht Nutzen. Er erhält eine verständ­liche Dokumen­tation der Sicher­heits­leistung und das Versprechen, dass auftre­tende Schwach­stellen innerhalb des Gültig­keits­zeit­raums des Zerti­fikats garan­tiert behoben werden.

„Nachdem SRC bereits die erste erfolg­reiche Evalu­ierung nach BSZ durch­ge­führt hat, freuen wir uns sehr über die nun erfolgte Anerkennung als Prüfstelle für dieses innovative Zerti­fi­zie­rungs­schema“ sagt Peter Jung als Vertreter der Prüfstelle und Themen­ver­ant­wort­licher für die Beschleu­nigte Sicher­heits­zer­ti­fi­zierung BSZ bei SRC.

SRC wurde als eine der ersten Prüfstellen für BSZ anerkannt. SRC hat die Evalu­ierung des LANCOM-1900EF durch­ge­führt, dem ersten zerti­fi­zierten BSZ-Produkte überhaupt.
eWpG

Das elektro­nische Wertpapier: Ein zukunfts­wei­sender Schritt in Richtung digitaler Kapitalanlagen

Bislang konnten Wertpa­piere ausschließlich als physische Urkunde erworben werden. Seit Anfang Juni 2021 bietet sich nun mit Inkraft­treten des Gesetzes zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG) eine papierlose, digitale Alter­native für Anleger und Emittenten.

Das Gesetz zur Einführung von elektro­ni­schen Wertpa­pieren (eWpG)

Das kürzlich in Kraft getretene Gesetz zur Einführung elektro­ni­scher Wertpa­piere (eWpG) soll insbe­sondere das deutsche Recht für elektro­nische Wertpa­piere öffnen. Anleger und Emittenten können nun frei zwischen der klassi­schen Papier­ur­kunde oder der digita­li­sierten Form wählen. Das Gesetz sieht darüber hinaus ein zentrales elektro­ni­sches Wertpa­pier­re­gister für die Eintragung der digita­li­sierten Wertpa­piere vor. Das derzeit stark in den Vorder­grund tretende Krypto­ver­wahr­ge­schäft blieb im eWpG keineswegs unberück­sichtigt. Dieses sieht die gesetz­liche Einführung von Kryptowert­pa­pieren, etwa z.B. auf Block­chain- oder allgemein auf DLT-Basis, ausdrücklich vor. Dafür wird ein eigenes Kryptowert­pa­pier­re­gister geschaffen, dessen Führung nun als weitere Finanz­dienst­leistung unter Aufsicht der BaFin im Sinne des Kredit­we­sen­ge­setzes (KWG) reguliert ist. Zur Schaffung von Rechts­si­cherheit soll das eWpG durch eine „Verordnung über Anfor­de­rungen an elektro­nische Wertpa­pier­re­gister (eWpRV)“ konkre­ti­siert werden. Ein Referen­ten­entwurf der eWpRV des Bundes­mi­nis­te­riums der Finanzen und des Bundes­mi­nis­te­riums der Justiz und für Verbrau­cher­schutz liegt bereits vor.

Neue Chancen durch das Zusam­men­spiel innova­tiver Technologien

Krypto­wäh­rungen und insbe­sondere Krypto­ver­wahr­ge­schäfte gehören nach wie vor zu den brand­heißen Digita­li­sie­rungs­themen. Durch das Gesetz zur Umsetzung der Änderungs­richt­linie zur vierten EU-Geldwä­sche­richt­linie wurde das Krypto­ver­wahr­ge­schäft Anfang 2020 als neue Finanz­dienst­leistung in das KWG aufge­nommen. Damit wurden neue Markt­chancen im Bereich der Dienst­leis­tungen rund um Krypto­wäh­rungen für Banken und Finanz­dienst­leister geschaffen. Die Emission von elektro­ni­schen Wertpa­pieren kann durch das neue eWpG auch durch Nutzung der Block­chain- oder DLT-Techno­logie erfolgen (Kryptowert­pa­piere). Damit verbunden sind neue (Finanz-)Dienstleistungen, für die einschlägige Fintechs schon bereit­stehen. Aller­dings bieten DLT-Anwen­dungen insbe­sondere IT-Dienst­leistern im Banken­umfeld neue Chancen, zukunfts­wei­sende Geschäfts­felder zu erschließen. Des Weiteren fiel im Sommer 2021 auch endgültig der Start­schuss für den Digitalen Euro, dessen Einführung als Ergänzung zu etablierten Zahlver­fahren dienen soll. Der Trend in Richtung einer weiteren Digita­li­sierung der Finanz­wirt­schaft wird durch die Einführung elektro­ni­scher Wertpa­piere nun fortgesetzt.

Darüber hinaus hat die EU-Kommission kürzlich ein digitales Finanz­paket auf den Weg gebracht, zu dessen Inhalt unter anderem ein eigener Regulie­rungs­vor­schlag für Krypto-Assets oder auch ein Pilot-Projekt für DLT-basierte Wertpa­piere gehört.

Markt­chancen erschließen und Heraus­for­de­rungen gemeinsam meistern

Nicht nur Anleger sollten sich schon jetzt intensiv mit dieser neuen Thematik befassen. Insbe­sondere bietet sich Banken und Finanz­dienst­leister nun erneut die Chance, dieses zukunfts­trächtige Markt­segment zu besetzen. Diese neuen Chancen führen jedoch auch zu neuen Heraus­for­de­rungen. Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der elektro­ni­schen Wertpa­piere, Krypto­wäh­rungen und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihrer Dienst­leis­tungen. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzu­bringen und die neuen Heraus­for­de­rungen gemeinsam zu meistern.

DLT für IT-Dienstleiter im Bankenumfeld

SRC-Experte Botermann | DLT für IT-Dienst­leiter im Bankenumfeld

Kryptowerte auf der Basis von Block­chains bewegen viele Staaten, Unter­nehmen und die Welt der Banken und deren IT-Dienstleister.

Als Distri­buted Ledger Techno­logie (kurz: DLT) bezeichnet man die Technik der „verteilten Kassen­bücher“. Der wichtigste Unter­schied: Trans­ak­tionen werden dezentral legiti­miert und bei den Teilnehmern gespei­chert. Als disruptive Techno­logie macht DLT zahlreiche Vermitt­lungs- und Clearing­punkte überflüssig. Banken droht der Verlust ihrer Stellung als Anker für vertrau­ens­würdige Transaktionen.

Genau darin liegt aber auch die Perspektive für zukünftige Geschäfts­mo­delle, sind es doch gerade die Banken, die tradi­tionell über Expertise bei der sicheren Verwahrung vertrau­licher Infor­ma­tionen verfügen. Der entschei­dende technische Vertrau­ens­anker jeder Trans­aktion über DLT ist nämlich der private Schlüssel des Kunden. Die vertrau­ens­würdige Verwaltung dieses privaten Schlüssels kann sich als Perspektive für die Evolution der Geschäfts­mo­delle der Banken erweisen.

Zusam­men­ge­fasst: DLT Anwen­dungen bieten IT-Dienst­leistern im Banken­umfeld gute Chancen, die eigenen Geschäfts­mo­delle anzupassen und sich auch für die Zukunft zu positio­nieren. Als geeig­neter Einstiegs­punkt sind Dienst­leis­tungen im Rahmen des Krypto­ver­wahr­ge­schäfts zu sehen, die künftig erweitert und ergänzt werden können.

Wie können Geschäfts­mo­delle im Banken­umfeld an diese Entwick­lungen angepasst werden? Welche Chancen bietet das Krypto­ver­wahr­ge­schäft? Welche techni­schen und regula­to­ri­schen Voraus­set­zungen müssen erfüllt sein?

In den in der gi GELDINSTITUTE, auf cash.online und auf it-daily.net erschie­nenen Beiträgen DLT für IT-Dienst­leiter im Banken­umfeld, Krypto­ver­wahr­ge­schäft: Start­punkt für die Geschäfts­fel­der­wei­terung und Krypto­ver­wahr­ge­schäft als Geschäfts­fel­der­wei­terung für Banken gibt der SRC-Experte Dr. Benjamin Botermann Ein- und Überblick über Heraus­for­de­rungen, Chancen und Stolper­steine des Krypto­ver­wahr­ge­schäfts mit der Distri­buted Ledger Techno­logie (DLT).

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.

Inten­siv­se­minar | Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker am 15. November 2021

Inten­siv­se­minar (online)
Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker

Gerade die Banken-IT ist gefordert, sensible Infor­ma­tionen und Daten mit einem hohen Maß an Sicherheit zu schützen und gleich­zeitig für Berech­tigte verfügbar zu machen. Dazu müssen sich Infor­ma­ti­ons­si­cher­heits­be­auf­tragte, Daten­schutz­be­auf­tragte, IT-Verant­wort­liche und weitere Mitar­beiter der Bank eng abstimmen. Trotz unter­schied­licher fachlicher Hinter­gründe muss eine gemeinsame „Sprache“ gefunden werden. Dazu ist es von Vorteil, wenn man sich die Begriffswelt der IT im Kontext ihrer Prozesse und Zusam­men­hänge verge­gen­wär­tigen kann. Nur so gelingt der inter­dis­zi­plinäre Austausch mit den IT-Experten über IT-Sicher­heits­maß­nahmen und deren Auswir­kungen im Unter­nehmen und seine vielfäl­tigen internen und externen Kommunikationsstrukturen.

Das Inten­siv­se­minar „Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Infor­ma­tiker“ vermittelt das erfor­der­liche Wissen über Infor­ma­ti­ons­technik und Sicher­heits­maß­nahmen. Die Zielgruppe sind Nicht-Infor­ma­ti­ke­rInnen in Kreditinstituten.

Der Referent Florian Schumann ist IT-Leiter bei der SRC Security Research & Consulting GmbH. In dieser Position verant­wortet er die konti­nu­ier­liche Weiter­ent­wicklung der IT. Außerdem ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infrastrukturen.

Modul 1: IT-Begriffe und ‑Grund­lagen

  • Netzwerke
  • Kommu­ni­ka­ti­ons­medien und ‑proto­kolle
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Netzen
  • grund­le­gende IT-Sicher­heits­maß­nahmen in Rechenzentren
  • Backup & Restore
  • Virtua­li­sierung
  • Konzepte der Benutzerverwaltung

Modul 2: Verschlüsselung

  • symme­trische und asymme­trische Verfahren
  • Key Management
  • Signatur
  • Authen­ti­kation (z. B. Multi-Faktor-Authen­ti­sierung gemäß PSD2) und Integritätssicherung
Darüber hinaus erhalten die Teilnehmer einen Überblick über neue Techno­logien und Trends z.B. Big Data, Cloud, Künst­liche Intel­ligenz, Beson­der­heiten im mobilen Arbeiten / Homeoffice. Das Inensiv­se­minar bietet ausrei­chend Raum, um die bevor­ste­henden Heraus­for­de­rungen für die Sicherheit zu reflektieren.

Inten­siv­se­minar (online)

Basis­wissen IT-Grund­lagen und ‑Sicher­heits­maß­nahmen für Nicht-Informatiker
am Montag, 15. November 2021, 10:00 bis 17:00 Uhr

Startschuss für den Digitalen Euro

Start­schuss für den Digitalen Euro

Nach langer und inten­siver Diskussion auf europäi­scher Ebene erfolgte am 14. Juli 2021 der Start­schuss für den Digitalen Euro.  Zunächst werden im Rahmen einer zweijäh­rigen Unter­su­chungs­phase Kernfragen zu den Auswir­kungen auf die Finanz­sta­bi­lität und die Geldpo­litik sowie zu recht­lichen Rahmen­be­dingung und einer möglichen techni­schen Umsetzung geklärt. Ziel der Einführung des Digitalen Euros ist nach wie vor, den „Bedürf­nissen der Menschen in Europa“ gerecht zu werden und als Ergänzung zu bereits etablierten Zahlver­fahren zu dienen.

Eine finale Entscheidung über die Ausge­staltung des Digitalen Euros wird dann nach der Unter­su­chungs­phase Mitte 2023 erwartet.

„Wir werden mit dem Europäi­schen Parlament und anderen europäi­schen Entschei­dungs­trägern in einen Dialog treten und sie regel­mäßig über unsere Ergeb­nisse infor­mieren. Privat­per­sonen, Händler und der Zahlungs­ver­kehrs­sektor werden ebenfalls einbe­zogen“, sagte Fabio Panetta (Mitglied des EZB-Direk­to­riums und Vorsit­zender der Taskforce zum Digitalen Euro)

Ergeb­nisse der prakti­schen Erprobung

Vorbe­rei­tende Grundlage für die richtungs­wei­sende Entscheidung waren die Ergeb­nisse einer prakti­schen Erpro­bungs­phase über neun Monate, die u. a. technische Aspekte der Distri­buted-Ledger-Techno­logie (kurz DLT), Daten­schutz, Geldwä­sche­be­kämpfung sowie die Nutzung vorhan­dener Systeme (z. B. TARGET Instant Payment Settlement – kurz: TIPS) unter­suchten. Auch energe­tische Aspekte möglicher Archi­tek­tur­kon­zepte wurden mit dem Ziel unter­sucht, den Energie­ver­brauch deutlich unter den derzei­tigen Anfor­de­rungen bekannter Krypto­wäh­rungen, z. B. Bitcoin, zu limitieren.

Daten­schutz steht im Fokus

Der Verbrau­cher­schutz sowie Daten­schutz­aspekte sind neben der techni­schen Umsetzung zentrale Aspekte der Diskussion um den Digitalen Euro. Das Digitale Zentral­bankgeld stellt für Verbraucher eine direkte Forderung gegen die Notenbank dar, die unter Umständen durch eine Obergrenze in der „Wallet“ limitiert werden kann. Die Konkurrenz des Digitalen Euros zum Bargeld wird in der Diskussion um die Anony­mität von Zahlungen deutlich. Klar scheint, dass es – auch im Hinblick auf die Geldwä­sche­be­kämpfung – keinen vollkommen anonymen Digitalen Euro geben wird.

Einschätzung der Deutschen Kreditwirtschaft

Die „Deutsche Kredit­wirt­schaft“ hebt in einer Stellung­nahme den Digitalen Euro vor allem in seiner Wahrung der monetären Souve­rä­nität der Eurozone hervor. Der Digitale Euro wird als zukunfts­wei­sendes Zahlungs­mittel in einer Digitalen Wirtschaft bewertet, das die bestehenden und bewährten Systeme und Struk­turen stimmig ergänzt. Angestrebt werden sollten größt­mög­liche Synergien mit den bestehenden Zahlungs­ver­kehrs­lö­sungen, damit der Zugang zum Digitalen Zentral­bankgeld für die Endver­braucher gesichert werden kann. Es besteht Einigkeit dahin­gehend, dass die Digita­li­sierung den Zahlungs­verkehr verändert und zur Gewähr­leistung der Finanz­sta­bi­lität eine sorgfältige Konzeption des Digitalen Euros seitens der EZB erfor­derlich ist. Zur Umsetzung der angestrebten Aktivi­täten sind hohe Inves­ti­tionen sowohl für die Institute als auch für die Wirtschaft unumgänglich.

Werden Krypto­wäh­rungen mehr als Spekulationsobjekte?

Etablierte Krypto­wäh­rungen wie Bitcoin und Co. gewinnen zwar als Speku­la­ti­ons­ob­jekte in den Vermö­gens­ver­wal­tungen an Bedeutung, doch sind sie derzeit im Zahlungs­verkehr eher bedeu­tungslos. Trotzdem hat die anhal­tende Diskussion über private Krypto­wäh­rungen, z. B. Diem aus dem Facebook-Universum, die Diskussion um den Digitalen Euro sicherlich vorangetrieben.

Die SRC-Experten verfolgen für Sie die spannende Entwicklung im Bereich der Krypto­währung und des Digitalen Euros und unter­stützen Sie bei der Reali­sierung Ihres Krypto­ver­wahr­dienstes. Wir infor­mieren Sie gerne zu den Möglich­keiten, sich in diesem innova­tiven Sektor einzubringen.