Mitarbeiterinterview

Vom Quan­ten­phy­si­ker zum Sicher­heits­ana­lys­ten bei SRC – Ein Mit­ar­bei­ter­in­ter­view

Das nach­fol­gen­de Mit­ar­bei­ter­in­ter­view mit Dr. Max Hett­rich gewährt einen Blick hin­ter die Kulis­sen von SRC. Wir bei SRC haben immer ein offe­nes Ohr für unse­re Mitarbeiter/innen und freu­en uns, dass wir Max zu sei­nem Wer­de­gang und sei­ner Arbeit bei SRC befra­gen durf­ten.

Hal­lo Max, stei­gen wir doch direkt ein. Wel­che Aus­bil­dung hast Du?

Ich bin Phy­si­ker. Nach mei­nem Stu­di­um habe ich zunächst in der aka­de­mi­schen For­schung gear­bei­tet und zwar in der expe­ri­men­tel­len Quan­ten­op­tik. Da ging es viel um Laser, Vaku­um­kam­mern, und eben Quan­ten­phy­sik. Aber auch um Com­pu­ter­si­mu­la­tio­nen und digi­ta­le Mess­tech­nik. Das IT-The­ma war also schon immer da, wenn auch nicht an ers­ter Stel­le.

Wie bist Du auf SRC und die Stel­len­an­zei­ge auf­merk­sam gewor­den und war­um hast Du Dich bei SRC bewor­ben?

Auf SRC bin ich über einen dama­li­gen Arbeits­kol­le­gen auf­merk­sam gewor­den, der wie­der­um einen Mit­ar­bei­ter bei SRC kann­te. Nach­dem ich dann erfah­ren hat­te, dass bei SRC Phy­si­ker durch­aus ger­ne gese­hen sind, und mich IT-Sicher­heits­the­men schon immer inter­es­siert haben, war mei­ne Neu­gier geweckt.

Wie lan­ge bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC ange­fan­gen, vor einem knap­pen Jahr also.

Wie ver­lief Dei­ne Ein­ar­bei­tung?

Sehr sorg­fäl­tig durch­dacht und struk­tu­riert. Die Ver­ant­wort­li­chen haben sich wirk­lich genau über­legt, wel­che Pro­jek­te hier­für Fra­ge kom­men. Dabei hat­te ich immer genug Frei­raum, um her­aus­zu­fin­den, wel­che The­men mir am meis­ten lie­gen.

An wel­chen The­men arbei­test Du aktu­ell?

Zum einen beschäf­ti­ge ich mich viel Com­pli­an­ce-Fra­gen im IT-Sicher­heits­um­feld, zum ande­ren mit Rever­se Engi­nee­ring von Soft­ware für mobi­le Gerä­te, um deren Sicher­heit gegen ver­schie­de Angriffs­sze­na­ri­en zu bewer­ten. Das sind zwei durch­aus unter­schied­li­che The­men­fel­der, die sich aber her­vor­ra­gend ergän­zen.

Was sind Dei­ne wesent­li­chen Auf­ga­ben und Tätig­kei­ten im Arbeits­all­tag?

In Com­pli­an­ce-Pro­jek­ten geht es immer dar­um, das Sys­tem eines Kun­den zu ana­ly­sie­ren, und zu bewer­ten, ob es regu­la­to­ri­schen Anfor­de­run­gen genügt. Da kein Sys­tem dem ande­ren gleicht, wird das nie lang­wei­lig.

Beim Rever­se Engi­nee­ring ist das Ziel, die Funk­ti­on von Soft­ware zu ver­ste­hen, und evtl. vor­han­de­ne ver­bor­ge­ne Assets zu extra­hie­ren, ohne Zugriff auf den Quell­code zu haben. Das erfor­dert bei­spiels­wei­se das Lesen und ana­ly­sie­ren von nati­vem Code oder auch das Debug­gen und Instru­men­tie­ren von lau­fen­den Pro­gram­men.

Wie sieht Dein typi­scher Arbeits­all­tag aus? Bist Du viel auf Rei­sen?

Meis­tens arbei­te ich in mei­nem Büro in der SRC Geschäfts­stel­le in Wies­ba­den. Ich bin, unty­pisch für ein Bera­tungs­un­ter­neh­men, eher wenig auf Rei­sen, da sich die meis­ten Arbei­ten ein­fach am bes­ten erle­di­gen las­sen, wenn man vor Ort mit den Kol­le­gen in direk­tem Kon­takt steht.

Was gefällt Dir beson­ders bei SRC?

Beson­ders posi­tiv fin­de ich die recht fla­che Hier­ar­chie, und gro­ße Frei­heit, was die Aus­wahl der Betä­ti­gungs­fel­der betrifft.

Und wie emp­fin­dest Du die Arbeits­at­mo­sphä­re bei SRC?

Ich emp­fin­de die Atmo­sphä­re hier als über­aus ange­nehm. Die Tat­sa­che, dass SRC mit ca. 120 Mit­ar­bei­tern ein eher klei­nes Unter­neh­men ist, erlaubt eine recht zwang­lo­se und direk­te Kom­mu­ni­ka­ti­on unter­ein­an­der. Ich glau­be, dass vie­le Kon­flik­te dadurch erst gar nicht ent­ste­hen.

Stich­wort Work-Life-Balan­ce: Wie lässt sich bei SRC die Arbeit mit Dei­nem Pri­vat­le­ben ver­ein­ba­ren?

Das klappt wirk­lich pri­ma! Unse­re Arbeits­zei­ten bei SRC sind fle­xi­bel, ange­fal­le­ne Über­stun­den wer­den immer pro­to­kol­liert, und kön­nen spä­ter aus­ge­gli­chen wer­den.

Was müs­sen Dei­ner Mei­nung nach Bewer­ber mit­brin­gen, um bei SRC erfolg­reich zu sein?

Ich den­ke, das wich­tigs­te ist ein aus­ge­präg­tes ana­ly­ti­sches Den­ken, und star­ke Eigen­in­itia­ti­ve. Hat man in einem Tätig­keits­feld der SRC bereits Erfah­rung, ist das natür­lich umso bes­ser. Mein Ein­druck ist aber, dass auch Gene­ra­lis­ten bei der SRC ger­ne gese­hen sind. Man hat dann die Mög­lich­keit, sich je nach Bedarf das nöti­ge Spe­zi­al­wis­sen zu enger umgrenz­ten The­men anzu­eig­nen.

Eine letz­te Fra­ge: Was wür­dest Du poten­zi­el­len Bewer­bern raten?

Kei­ne fal­sche Scheu! Ob einem die Tätig­keits­fel­der von SRC zusa­gen, kann man recht gut her­aus­fin­den, wenn man sich ein biss­chen auf der Web­site und unse­rem Kar­rie­re­por­tal umsieht. Falls das der Fall ist: Ein­fach mal sei­ne Unter­la­gen vor­bei­schi­cken!

Bildhintergrund IT-Security

SRC unter­stützt aktiv lang­jäh­ri­ge Part­ner­schaft mit der Alli­anz für Cyber­si­cher­heit

Durch­füh­rung eines kos­ten­lo­sen Web App­li­ca­ti­on Secu­ri­ty Scans

SRC ist seit vie­len Jah­ren Part­ner der Alli­anz für Cyber­si­cher­heit. Als akti­ve Unter­stüt­zung die­ser Part­ner­schaft hat SRC im Jahr 2018 eine kos­ten­lo­se Durch­füh­rung eines Web App­li­ca­ti­on Secu­ri­ty Scans für maxi­mal fünf Mit­glie­der der Alli­anz ange­bo­ten.

Wis­sens­wer­tes zu den Web App­li­ca­ti­on Secu­ri­ty Scans

Web App­li­ca­ti­on Secu­ri­ty Scans haben das Ziel, Feh­ler in der Archi­tek­tur und der Kon­fi­gu­ra­ti­on der unter­such­ten Web­an­wen­dung zu iden­ti­fi­zie­ren. Sol­che Schwach­stel­len könn­ten aus­ge­nutzt wer­den, um bei­spiels­wei­se Inhal­te der Sei­te zu ver­än­dern (XSS, Cross Site Scrip­ting). Auch Inhal­te der Daten­bank könn­ten her­un­ter­ge­la­den oder admi­nis­tra­ti­ve Rech­te erlangt wer­den. Wird ein Sys­tem auf die­se Art kom­pro­mit­tiert, dann könn­te die­ses für wei­te­re Angrif­fe in Rich­tung der eige­nen inter­nen Infra­struk­tur ver­wen­det wer­den.

SRC prüft, im Gegen­satz zu voll­au­to­ma­ti­sier­ten Web App­li­ca­ti­on Secu­ri­ty Scans, auch Sei­ten, die der Benut­zer erst nach der Regis­trie­rung oder Anmel­dung ange­zeigt bekommt. Bei voll­au­to­ma­ti­sier­ten Scans ohne Berück­sich­ti­gung von Authen­ti­fi­zie­rungs­pro­zes­sen kön­nen sol­che Schwach­stel­len nicht auf­ge­deckt wer­den. Genau das erlaubt jedoch der Web App­li­ca­ti­on Secu­ri­ty Scan und bie­tet somit einen umfäng­li­che­res Sca­n­er­geb­nis.

Die Durch­füh­rung der Scans erfolgt „non-dest­ruc­tive“ und „non-instrusi­ve“. Das bedeu­tet, dass Schwach­stel­len iden­ti­fi­ziert wer­den. Es geht, wie bei­spiels­wei­se bei den Pene­tra­ti­ons­tests, nicht um den Ver­such, die auf­ge­deck­ten Schwach­stel­len auch aus­zu­nut­zen. Die Scandurch­füh­rung erfolgt in enger Abspra­che mit dem Teil­neh­mer.

Gro­ße Nach­fra­ge bei den Mit­glie­dern der Alli­anz

Die von SRC ange­bo­te­nen Web App­li­ca­ti­on Secu­ri­ty Scans stie­ßen auf gro­ße Nach­fra­ge unter den Mit­glie­dern der Alli­anz. Aus die­sem Grund sind die fünf ange­bo­te­nen Scans bereits ver­grif­fen. Eine Nach­be­richt­erstat­tung über die Durch­füh­rung der Scans ist dem­nächst in unse­rem Blog zu fin­den. Wei­te­re Details fin­den Sie auch auf den Web­sei­ten der Alli­anz für Cyber­si­cher­heit.

KRITIS 2018

Kri­ti­scher Tag 2018 | Wis­sen und Erfah­run­gen im ange­reg­ten Aus­tausch

Der Kri­ti­sche Tag

Am 25. April 2018 fand der ers­te Kri­ti­sche Tag im Kon­fe­renz­zen­trum von SRC statt. Damit fei­er­te eine Ver­an­stal­tungs­rei­he ihre Pre­mie­re, die eine hoch­ka­rä­ti­ge Platt­form für den Aus­tausch bie­tet. Die­se rich­tet sich in ers­ter Linie an Ver­tre­ter von Unter­neh­men, die eine kri­ti­sche Infra­struk­tur (KRITIS) betrei­ben. Der Kri­ti­sche Tag dient vor allem dem Auf­bau per­sön­li­cher Kon­tak­te, sowie dem Aus­tausch von Erfah­run­gen und Best-Prac­tices zur IT- und phy­si­schen Sicher­heit kri­ti­scher Infra­struk­tu­ren.

Der Tages­ab­lauf

Schon nach Ankunft der ers­ten Teil­neh­mer begann ein reger Aus­tausch zu den The­men. Zum Start des Kri­ti­schen Tages doku­men­tier­te der aus­ge­buch­te Saal den Infor­ma­ti­ons­be­darf der Teil­neh­mer.

Hoch­ka­rä­ti­ge Spre­cher gaben einen Über­blick über das The­ma KRITIS. Isa­bel Münch, Fach­be­reichs­lei­te­rin CK3 und Ver­tre­te­rin des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), erläu­ter­te Vor­ge­hen und Abläu­fe in der Auf­sichts­be­hör­de. Ran­dolf Sker­ka, Bereichs­lei­ter bei SRC und Ver­ant­wort­li­cher für das The­ma Prü­fung nach §8a (3) BSIG, schil­der­te die ers­ten Erfah­run­gen aus Per­spek­ti­ve der prü­fen­den Stel­le. Das Kli­ni­kum Lünen hat den Nach­weis der Prü­fung nach §8a (3) BSIG als Ers­tes erbracht. Ralf Plo­mann, IT-Lei­ter des Kli­ni­kums Lünen, gab ein­drucks­vol­le Ein­bli­cke über die Ent­wick­lung der Kran­ken­haus­or­ga­ni­sa­ti­on zur Vor­be­rei­tung auf die Prü­fung. Für die fach­li­che Abrun­dung des Vor­mit­tags sorg­te Prof. Dr. med. Andre­as Becker, der ver­deut­lich­te, dass fun­dier­te Bran­chen­kom­pe­tenz ein wesent­li­cher und unver­zicht­ba­rer Grund­stein einer sinn­vol­le Prü­fung ist.

Die Exper­ten­vor­trä­ge ver­mit­tel­ten den Teil­neh­mern eine 360°-Sicht auf die wei­test­ge­hend und aus gutem Grund unscharf for­mu­lier­ten Anfor­de­run­gen der BSI-Prü­fun­gen.

Zum Abschluss des Vor­mit­tags schil­der­te der bil­den­de Künst­ler Frank Rog­ge sei­ne Sicht auf die Fra­gen der Kri­ti­ka­li­tät im Bereich künst­le­ri­schen Schaf­fens.

Der Nach­mit­tag wur­de voll­um­fäng­lich den Inter­es­sens­schwer­punk­ten der Teil­neh­mer gewid­met. Unter der Mode­ra­ti­on von Jochen Schu­ma­cher, Mit­or­ga­ni­sa­tor bei SRC, wur­de der Ablauf des Nach­mit­ta­ges gestal­tet.

Die Teil­neh­mer orga­ni­sier­ten eigen­stän­dig die viel­fäl­ti­gen Inhal­te für neun Ses­si­ons.

Die wich­tigs­ten Ergeb­nis­se des Nach­mit­tags

Aus der Ses­si­on „Zer­ti­fi­zie­rungs­fin­dings an das BSI über­sen­den“ wur­de deut­lich, dass das BSI zum Bei­spiel kei­ne „klas­si­schen“ und bis ins letz­te tech­ni­sche Detail aus­for­mu­lier­ten Fin­dings bzw. Abwei­chun­gen erwar­tet. Sinn­voll ist ein grob beschrie­be­ner Rah­men der Abwei­chun­gen und die Beschrei­bung eines Hand­lungs­we­ges im Prüf­be­richt. Den­noch muss für jedes Risi­ko inner­halb einer kri­ti­schen Infra­struk­tur eine ent­spre­chen­de Maß­nah­me vor­han­den sein. Das hat für das BSI enor­me Bedeu­tung.

Das BSI wünscht sich die enge Koope­ra­ti­on mit den ver­schie­de­nen Kri­tis-Unter­neh­men. Das Ziel ist, die Sicher­heit der IT in Deutsch­land zu stär­ken.

In der Ses­si­on „Awa­reness für IT-Sicher­heit im Unter­neh­men“ stell­te Ralf Plo­mann die Metho­de und Maß­nah­men­um­set­zung im Kli­ni­kum Lünen vor. Wich­tig sei hier der indi­vi­du­el­le Ansatz. Jeder Ein­zel­ne im Unter­neh­men sei für die IT-Sicher­heit ver­ant­wort­lich. In der per­sön­li­chen Anspra­che müs­se jeder Mit­ar­bei­ter dort abge­holt wer­den, wo er gera­de ste­he. Das gilt nach Plo­mann beson­ders, weil fast nie­mand mehr Richt­li­ni­en lesen wür­de. Des­halb sei­en krea­ti­ve­re Ansät­ze zu wäh­len. Ralf Plo­manns Wunsch für die Zukunft: „Awa­reness für IT-Sicher­heit soll­te bereits in der Schu­le ab Sekun­dar­stu­fe II begin­nen.“ Im Ver­lauf der wei­te­ren Ses­si­on kris­tal­li­sier­te sich ein kla­rer Trend zu eLear­ning-Platt­for­men für die Ver­bes­se­rung der Awa­reness her­aus.

In einer wei­te­ren Ses­si­on wid­me­ten sich die Teil­neh­mer der siche­ren und ein­fa­chen Ein­gren­zung des Scopes. In der Dis­kus­si­on wur­de vor allem das Pyra­mi­den-Modell favo­ri­siert. Die als kri­tisch ein­ge­stuf­te Dienst­leis­tung ist der bes­te Start­punkt zur Defi­ni­ti­on des Scope. Geht es bei­spiels­wei­se um die kri­ti­sche Infra­struk­tur Klär­werk, muss zur Defi­ni­ti­on des Scope her­aus­ge­fun­den und fest­ge­hal­ten wer­den, wel­che Sys­te­me das Was­ser klä­ren, wel­che Aus­wir­kun­gen ein Aus­fall hät­te und wie die­ser Aus­fall durch ande­re Metho­den kom­pen­siert und somit die kri­ti­sche Dienst­leis­tung auf­recht erhal­ten wer­den kann.

Mit die­ser Metho­de bewegt man sich sys­te­ma­tisch zum äuße­ren Peri­me­ter. Gelangt man zu nicht mehr kri­ti­schen Sys­te­men, ist die Gren­ze des Scopes erreicht.

Fazit des ers­ten „Kri­ti­schen Tag“ aus Sicht von SRC

Aus­druck der fas­zi­nie­ren­den Atmo­sphä­re war die Wei­ter­füh­rung der bila­te­ra­len Kom­mu­ni­ka­ti­on der Teil­neh­mer zwi­schen den ein­zel­nen Ses­si­ons. Die Rück­mel­dun­gen beleg­ten, dass die Teil­neh­mer vie­le neue Kon­tak­te knüp­fen und Erkennt­nis­se aus ande­ren KRI­TIS-Pro­jek­ten gewin­nen konn­ten.

Die ins­ge­samt posi­ti­ve Reso­nanz der Teil­neh­mer zeigt uns als SRC, dass der Kri­ti­sche Tag ein sinn­vol­ler Hub für den Aus­tausch von Infor­ma­tio­nen zu KRI­TIS-Pro­jek­ten zwi­schen den beteilg­ten Akteu­ren ist. Unser Dank gilt allen Teil­neh­mern, die mit Ihrer Offen­heit und ihrem Enga­ge­ment fun­da­men­tal zum Gelin­gen des kri­ti­schen Tages bei­tru­gen.

Den Kri­ti­schen Tag betrach­ten wir als gelun­ge­nes Expe­ri­ment. Das moti­viert uns, in die Vor­be­rei­tun­gen für eine Neu­auf­la­ge ein­zu­stei­gen.

Mobile Payment EBA RTS

Trans­akt ent­spricht dem EBA-RTS

SRC bestä­tigt der Mobi­le Ban­king Lösung Trans­akt von Enter­sekt Kon­for­mi­tät zur PSD2

Wei­ter­le­sen

Informationssicherheitsbeauftragte/r für Kreditinstitute

Zer­ti­fi­kats-Lehr­gang „Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” – 6. bis 9. Novem­ber 2018

Mit dem KWG und der MaRisk ver­pflich­tet der Gesetz­ge­ber Kre­dit­in­sti­tu­te zur Sicher­stel­lung von Inte­gri­tät, Ver­füg­bar­keit, Authen­ti­zi­tät und Ver­trau­lich­keit der Daten in  ihren IT-Sys­te­me und -Pro­zes­sen . Aber auch für den wirt­schaft­li­chen Erfolg eines Kre­dit­in­sti­tuts ist eine siche­re und effi­zi­en­te IT unbe­dingt erfor­der­lich.

Die neu­en „Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT“ (BAIT) for­mu­lie­ren kon­kre­te Erwar­tun­gen. Unter ande­rem for­dert die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in Ihrer Richt­li­nie die neu ein­zu­rich­ten­de Funk­ti­on des “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten”. Der steu­ert den Infor­ma­ti­ons­si­cher­heits­pro­zess und  berich­tet direkt an die Geschäfts­lei­tung.

In Koope­ra­ti­on mit dem Bank-Ver­lag hat SRC bereits drei Zer­ti­fi­kats­lehr­gän­ge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” erfolg­reich durch­ge­führt. Nach der gro­ßen Reso­nanz und der anhal­ten­den Nach­fra­ge freu­en wir uns, dass der Bank-Ver­lag einen wei­te­ren Ter­min für die­sen vier­tä­gi­gen Zer­ti­fi­kats­lehr­gang mög­lich gemacht hat.

Vom 6. bis zum 9. Novem­ber 2018 haben Sie erneut die Mög­lich­keit sich in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) für Kre­dit­in­sti­tu­te” fort­bil­den zu las­sen.

Im Team mit Hein­rich Lott­mann (TARGOBANK AG & Co. KGaA) und Alex­an­dros Mana­kos (HSBC Trin­kaus & Burk­hardt AG) refe­rie­ren die SRC-Exper­ten San­dro Amen­do­la, Flo­ri­an Schu­mann und Ran­dolf Sker­ka und infor­mie­ren Sie in die­sem Lehr­gang umfas­send über die Nor­men und Stan­dards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB rele­van­ten gesetzlichen/regulatorischen Anfor­de­run­gen. Zudem wird auf die The­men IT-Risi­ken und -Not­fall­vor­sor­ge sowie Busi­ness Con­ti­nui­ty Manage­ment ein­ge­gan­gen.

Nach bestan­de­ner Abschluss­prü­fung erhal­ten Sie das Zer­ti­fi­kat „Informationssicherheitsbeauftragte/r für Kre­dit­in­sti­tu­te“.

Optio­nal haben Sie die Mög­lich­keit sich am 5. Novem­ber 2018 in Köln das für den Lehr­gang erfor­der­li­che IT-Grund­la­gen­wis­sen in einem ein­tä­gi­gen Inten­siv­se­mi­nar im Vor­feld der Ver­an­stal­tung anzu­eig­nen. Hier geht es um Grund­la­gen, Begrif­fe, Ver­schlüs­se­lungs- und IT-Sicher­heits­tech­ni­ken in der Infor­ma­ti­ons­tech­nik.

CSCUBS 2018

SRC unter­stützt die 5th Com­pu­ter Sci­ence Con­fe­rence for Uni­ver­si­ty of Bonn Stu­dents – CSCUBS 2018

SRC freut sich, die 5th Com­pu­ter Sci­ence Con­fe­rence for Uni­ver­si­ty of Bonn Stu­dents  – CSCUBS 2018, die am 16. Mai 2018 statt­fin­det, zu unter­stüt­zen.

För­de­rung der For­schung und des wis­sen­schaft­li­chen Aus­tauschs

Die CSCUBS 2018 wird von Dok­to­ran­den und Mas­ter-Stu­den­ten orga­ni­siert. Ihr Ziel ist die För­de­rung der For­schung in der Infor­ma­tik, so wie der wis­sen­schaft­li­chen Aus­tausch zwi­schen Stu­die­ren­den, For­schern und Prak­ti­kern. „Die CSCUBS ist eine Initia­ti­ve aus der Mit­te der Stu­die­ren­den, die SRC gern unter­stützt“, sagt Det­lef Kraus, Pro­ku­rist bei SRC. „Und gera­de der fach­li­che Aus­tausch zwi­schen For­schung, Pra­xis und Leh­re ist drin­gend gebo­ten, wenn unse­re Gesell­schaft den Her­aus­for­de­run­gen der IT-Sicher­heit sou­ve­rän begeg­nen will“, so Kraus wei­ter.

Anknüp­fungs­punkt für per­sön­li­chen und fach­li­chen Aus­tausch

Die 5. Infor­ma­tik­kon­fe­renz für Stu­die­ren­de der Uni­ver­si­tät Bonn (CSCUBS 2018) gibt Uni­ver­si­täts­pro­jek­ten, Dis­ser­ta­tio­nen und Ergeb­nis­sen aus For­schung, Ent­wick­lung und Pra­xis im Bereich der Infor­ma­tik eine Platt­form. Die Kon­fe­renz fin­det am 16. Mai 2018 an der Uni­ver­si­tät Bonn statt. SRC unter­stützt die Ver­an­stal­tung nicht nur als Spon­sor. Wir wer­den auch mit einem Stand prä­sent sein, um dem per­sön­li­chen und fach­li­chen Aus­tausch einen Anknüp­fungs­punkt zu bie­ten.

Prä­sen­ta­ti­on eines Pro­jekt­er­geb­nis­ses bei der CSCUBS 2018 inklu­si­ve

Außer­dem wird SRC aus der Viel­zahl sei­ner Pro­jek­te ein Ergeb­nis anläss­lich der CSCUBS vor­stel­len. Die Pra­xis lie­fert oft­mals über­ra­schen­de For­schungs­an­sät­ze und span­nen­de Erkennt­nis­se. Die CSCUBS ist SRC eine will­kom­me­ne Platt­form, um unse­re Arbeit einem inter­es­sier­ten, jun­gen und fach­kun­di­gen Exper­ten­kreis vor­zu­stel­len und dar­über in Aus­tausch zu tre­ten. Viel­leicht erge­ben sich aus den vie­len Gesprä­chen auch qua­li­fi­zier­te Ansatz­punk­te, um die auf der CSCUBS 2018 ver­sam­mel­te Exper­ti­se in gemein­sa­mer Pro­jekt­ar­beit zu nut­zen.

Kritische Tag

Kri­ti­scher Tag 2018 | am 25. April 2018 tref­fen sich die Betrei­ber kri­ti­scher Infra­struk­tu­ren bei SRC

Kri­ti­sche Infra­struk­tu­ren und deren Bedeu­tung | Kri­ti­scher Tag 2018 ermög­licht Aus­tausch 

Kri­ti­sche Infra­struk­tu­ren (KRITIS) sind Orga­ni­sa­tio­nen und Ein­rich­tun­gen mit wich­ti­ger Bedeu­tung für das staat­li­che Gemein­we­sen, bei deren Aus­fall oder Beein­träch­ti­gung nach­hal­tig wir­ken­de Ver­sor­gungs­eng­päs­se, erheb­li­che Stö­run­gen der öffent­li­chen Sicher­heit oder ande­re dra­ma­ti­sche Fol­gen ein­tre­ten wür­den. Die­se Kri­ti­schen Infra­struk­tu­ren sind ver­schie­dens­ten Gefah­ren aus­ge­setzt. Unter ande­rem gibt es auch viel­fäl­ti­ge Sze­na­ri­en, in denen die Sicher­heit der infor­ma­ti­ons­tech­ni­schen Sys­te­me in kri­ti­schen Infra­struk­tu­ren in den Mit­tel­punkt rückt. Der Ansatz­punkt für die Kon­fe­renz „Kri­ti­scher Tag 2018“ mit beglei­ten­dem Bar­camp.

Mit­ein­an­der fach­lich „Netz­wer­ken“

Mit dem Ziel per­sön­li­che Kon­tak­te auf­zu­bau­en und fach­li­chen Aus­tausch anzu­re­gen, bie­tet der kri­ti­sche Tag den Men­schen einen regel­mä­ßi­gen Treff­punkt, die für den Schutz kri­ti­scher Infra­struk­tu­ren ver­ant­wort­lich sind. Die Ziel­grup­pe des  kri­ti­schen Tages sind dabei jene Men­schen, die in einem Unter­neh­men oder einer Ein­rich­tung arbei­ten, wel­ches die Bevöl­ke­rung mit lebens­wich­ti­gen Gütern und Dienst­leis­tun­gen ver­sorgt. Dar­über hin­aus spricht der kri­ti­sche Tag Men­schen an, die sich prak­tisch, bera­tend, regu­la­to­risch oder wis­sen­schaft­lich mit dem The­ma kri­ti­sche Infra­struk­tu­ren aus­ein­an­der­set­zen. Der ers­te kri­ti­sche Tag fin­det am 25. April 2018 im SRC Kon­fe­renz­zen­trum mit beglei­ten­dem Bar­camp statt. Tickets sind ab sofort erhält­lich.

Der Anspruch des kri­ti­schen Tages

Der kri­ti­sche Tag hat den Anspruch, Ver­tre­tern betrof­fe­ner Unter­neh­men, des öffent­li­chen Sek­tors und von Wis­sen­schaft und For­schung eine hoch­ka­rä­ti­ge Platt­form zu bie­ten, um sich über Ent­wick­lun­gen und Best Prac­tices zur IT- und phy­si­schen Sicher­heit von kri­ti­schen Infra­struk­tu­ren zu ver­net­zen und Erfah­run­gen aus­zu­tau­schen. Dabei spielt auch eine Rol­le, dass die Teil­neh­mer ange­hal­ten wer­den, den zwei­ten Teil des kri­ti­schen Tages als Bar­camp zu gestal­ten. Ein Bar­camp ist eine offe­ne Tagung mit offe­nen Work­shops, deren Inhal­te von den Teil­neh­mern zu Beginn der Tagung selbst ent­wi­ckelt und im wei­te­ren Ver­lauf gestal­tet wird. Bar­camps die­nen dem­nach dem inhalt­li­chen Aus­tausch und der Dis­kus­si­on.

 

SmartCard Workshop

Smart­Card Work­shop am 21. und 22. Febru­ar 2018 in Darm­stadt

Fokus des Smart­Card Work­shops

Der Smart­Card Work­shop fin­det am 21. und 22. Febru­ar 2018 in Darm­stadt statt. Er zählt zu den bedeu­tends­ten Ver­an­stal­tun­gen für das The­men­feld Chip­kar­te in Deutsch­land. Die Teil­neh­mer stam­men aus allen Berei­chen der Indus­trie, der Wis­sen­schaft und der Poli­tik. Sie schät­zen ins­be­son­de­re die tech­ni­sche Aus­rich­tung des Work­shops und sei­ne weit­ge­hen­de Neu­tra­li­tät. Der Work­shop bie­tet Teil­neh­mern und Exper­ten ein Forum, um neue Betriebs­sys­tem­kon­zep­te und denk­ba­re neue Fea­tures und Anwen­dun­gen vor­zu­stel­len, so wie den aktu­el­len Stand der Ent­wick­lung, der Kryp­to­gra­fie, der Infor­ma­ti­ons­si­cher­heit und der Nor­mung zu dis­ku­tie­ren.

SRC Exper­te erläu­tert Authen­ti­fi­ka­ti­ons­ver­fah­ren

In die­sem Jahr wird der SRC-Exper­te San­dro Amen­do­la einen Vor­trag zu sicher­heits­re­le­van­ten und regu­la­to­ri­schen Fra­ge­stel­lun­gen bei der „Regis­trie­rung von App-basier­ten Authen­ti­fi­ka­ti­ons­ver­fah­ren“ hal­ten. Sol­che Authen­ti­ka­ti­ons­ver­fah­ren spie­len in vie­len digi­ta­len Anwen­dun­gen ein gro­ße Rol­le und haben ins­be­son­de­re durch die Regu­lie­rung des Ban­ken­mark­tes durch die PSD2 eine gro­ße Bedeu­tung für alle Nut­zer von Online Ban­king Sys­te­men erhal­ten.

Abend­ver­an­stal­tung mit Preis­ver­lei­hung

Ein beson­de­res High­light bil­det die Abend­ver­an­stal­tung. Hier wird in jedem Jahr jeweils ein Exper­te mit dem Smart­Card-Preis für beson­de­re Leis­tun­gen geehrt. Der Preis wird von Fraun­ho­fer SIT gestif­tet.

SRC gestal­tet Smart­Card Work­shop aktiv mit

SRC unter­stützt den Work­shop als Spon­sor und durch akti­ve Mit­ar­beit im Pro­gramm­bei­rat.

Bild­quel­le: Fraun­ho­fer SIT

SRC-Exper­te San­dro Amen­do­la leis­tet Bei­trag zum PSD2-Tisch­ge­spräch

Inkraft­tre­ten der zwei­ten EU-Zah­lungs­dienst­e­richt­li­nie PSD2

Banken+Partner“ Exper­ten­run­de zur PSD2

Die zwei­te EU-Zah­lungs­dienst­e­richt­li­nie PSD2 tritt im Janu­ar in Kraft. Der geschäfts­po­li­ti­sche, tech­ni­sche und regu­la­to­ri­sche Hand­lungs­be­darf für Kre­dit­in­sti­tu­te ist viel­fäl­tig und gleich­zei­tig bank­in­di­vi­du­ell. Unter ande­rem müs­sen dann die Insti­tu­te stren­ge­re Sicher­heits­an­for­de­run­gen für die Authen­ti­fi­zie­rung ihrer Kun­den beach­ten, umset­zen und gegen­über der natio­na­len Auf­sichts­be­hör­de nach­wei­sen. Für Ban­ken und Spar­kas­sen als Dienst­leis­ter und für Kun­den als Nut­zer besteht die Gefahr, dass Log­in und Zah­lungs­frei­ga­be unbe­que­mer wer­den. Gleich­zei­tig muss die Schnitt­stel­le für den Zugriff berech­tig­ter Dritt­an­bie­ter imple­men­tiert wer­den.

SRC-Exper­te erör­tert die kom­ple­xen Her­aus­for­de­run­gen und eva­lu­iert Lösungs­an­sät­ze

SRC-Exper­te San­dro Amen­do­la

San­dro Amen­do­la, Divi­si­on Mana­ger bei der SRC Secu­ri­ty Rese­arch & Con­sul­ting GmbH, war einer der Exper­ten beim Tisch­ge­spräch von „Banken+Partner“. Herr Amen­do­la erör­ter­te In hoch­ka­rä­ti­ger Run­de Chan­cen und Her­aus­for­de­run­gen der PSD2 und umriss mög­li­che Lösungs­an­sät­ze für Ban­ken und Spar­kas­sen.

Die Her­aus­for­de­run­gen für Ban­ken und Spar­kas­sen

Ein Bei­spiel für die­se Her­aus­for­de­run­gen sind die Schnitt­stel­len für berech­tig­te Dritt­an­bie­ter, deren Bereit­stel­lung für Ban­ken mit der PSD2 zur Pflicht wird. Ein wei­te­res Bei­spiel ist die Zwei-Fak­tor-Authen­ti­fi­zie­rung, die Sicher­heit beim Kon­to­zu­griff noch wei­ter in den Vor­der­grund rückt. Gestei­ger­te Sicher­heit auf der einen Sei­te ist häu­fig nicht ohne zu gro­ße Abstri­che in Punk­to Bequem­lich­keit und Kun­den­freund­lich­keit auf der ande­ren Sei­te zu machen. Wie die­se Sicher­heit mög­lichst ohne Kom­fort- und Kun­den­ver­lust bewerk­stel­ligt wer­den kann, wur­de eben­falls von den anwe­sen­den Exper­ten erläu­tert. Abschlie­ßend ging es noch um die Chan­cen, die durch Koope­ra­tio­nen mit den agi­len Fin­Techs genutzt wer­den kön­nen.

Die mög­li­chen Lösungs­an­sät­ze für Ban­ken und Spar­kas­sen

Das gesam­te Exper­ten­ge­spräch, sowie die The­men und Lösun­gen, kön­nen im kos­ten­lo­sen E-Paper von „Banken+Partner“ nach­ge­le­sen wer­den. Dar­über hin­aus steht San­dro Amen­do­la für indi­vi­du­el­le Work­shops und Bera­tun­gen zu PSD2 und sei­nen Aus­wir­kun­gen bereit.

Bild­quel­le: Banken+Partner/Fotografie Schepp

EMVCo-Zertifizierung

SRC’s ITS­EF-Labor erhält eine erwei­ter­te EMV­Co-Zer­ti­fi­zie­rung

Das zer­ti­fi­zier­te Com­mon Cri­te­ria Sicher­heits­la­bor von SRC wur­de kürz­lich durch eine wei­te­re EMV­Co-Zer­ti­fi­zie­rung berei­chert. Das SRC-Labor ist bereits seit lan­gem für die Eva­lu­ie­rung von Hard­ware- und Soft­ware­aus­wer­tun­gen für Smart­cards und ähn­li­che Gerä­te durch das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zuge­las­sen. Nach­dem SRC nun eine erfolg­rei­che Eva­lua­ti­on von Chip-Hard­ware eines namen­haf­ten und eben­falls EMV­Co zer­ti­fi­zier­ten Her­stel­lers durch­ge­führt hat, bestä­tig­te EMV­Co nach einer Über­prü­fung der neu­es­ten Erkennt­nis­se, die im Rah­men eines IC-Sicher­heits­be­wer­tungs­pro­jek­tes bereit­ge­stellt wur­den, die Zer­ti­fi­zie­rung des SRC Sicher­heits­la­bors als EMV­Co Secu­ri­ty Eva­lua­ti­on IC Labor, wel­ches des Wei­te­ren als sol­ches nun auch auf der EMV­Co-Web­sei­te auf­ge­lis­tet wird.

Wei­ter­füh­ren­de Infor­ma­tio­nen zu den für SRC durch EMV­Co erfolg­ten Zer­ti­fi­zie­run­gen erhal­ten Sie  hier.