Cloud Security

SRC baut Kompe­tenzen in Cloud Security aus

Cloud Computing stellt hohe Anfor­de­rungen an die IT-Sicherheit

Cloud Computing ist längst zur Norma­lität geworden, und immer mehr Unter­nehmen lagern Teile ihrer Infra­struk­turen und Services in die Cloud aus, um flexibler agieren zu können.

Die Heraus­for­de­rungen an Sicherheit in der Cloud gehen jedoch über herkömm­liche IT-Sicher­heits-Anfor­de­rungen hinaus. So muss beispiels­weise technisch gewähr­leistet sein, dass nur befugte Personen auf die sensi­tiven Daten zugreifen können. Besondere Sorgfalt muss auf die Absicherung der Cloud-Management-Schnitt­stelle gelegt werden. Die organi­sa­to­risch größte Heraus­for­derung besteht in der Verteilung der Sicher­heits-Verant­wort­lich­keiten auf mehrere Parteien. Genau das muss auch bei der Gestaltung von Verträgen und bei der Erfüllung von Compliance-Vorgaben berück­sichtigt werden.

Fehler­hafte Konfi­gu­ration von Cloud­konten – Milli­arden Daten frei zugänglich im Netz

Wie brisant dieses Thema ist, zeigt auch ein kürzlicher Vorfall. Aufgrund von fehler­haften Konfi­gu­ra­tionen von Amazon Cloud Simple Storage Services (Amazon S3) Speicher­ein­heiten und Webservern landeten etliche vertrau­liche Dokumente frei für jeden zugänglich im Netz. Dazu gehörten u. a. Gehalts­ab­rech­nungen, vertrau­liche Patent­an­mel­dungen und geheime Baupläne für Produkte im Entwick­lungs­prozess. Aus dem Bericht der Sicher­heits­firma „Digital Shadows“ geht hervor, dass ca. 1,5 Milli­arden Daten im Netz gelandet seien. Gerade die vertrau­lichen Daten, wie z.B. interne Berichte, Fotos von Waren­häusern oder Rechen­zentren oder Auflis­tungen von Sicher­heits­lücken in firmen­in­terner Software, können von Angreifern für Hacker­an­griffe auf die Firma oder für Diebstähle missbraucht werden.

SRC-Mitar­beiter erwerben Certi­ficate of Cloud Security Knowledge

SRC begleitet seine Kunden bei diesen Heraus­for­de­rungen mit Kompetenz. Dazu haben mehrere Mitar­beiter das Certi­ficate of Cloud Security Knowledge (CCSK) der Cloud Security Alliance erworben.

Das CCSK ist das erste Zerti­fikat für Cloud-Sicherheit, das der weltweit führende Cloud-Sicher­heits-Anbieter, die Cloud Security Alliance, anbietet. Die Cloud Security Alliance ist eine Non-Profit-Organi­sation und entwi­ckelt – in Koope­ration mit ENISA – den anbie­ter­un­ab­hän­gigen Standard für Cloud Security. Durch den Erwerb des Zerti­fikats erlangten die SRC-Mitar­beiter die notwendige Breite und Tiefe an Wissen, um ganzheit­liche Cloud-Sicher­heits­pro­gramme zum Schutz sensibler Infor­ma­tionen entspre­chend weltweit anerkannter Standards zu imple­men­tieren.

International Common Criteria Conference

SRC hält Vortrag zu JTEMS auf der Inter­na­tional Common Criteria Confe­rence in Amsterdam

Vom 30. Oktober bis zum 01. November findet die 17. Inter­na­tional Common Criteria Confe­rence in Amsterdam statt. Die Inter­na­tional Common Criteria Confe­rence wird mit Unter­stützung des Common Criteria Anwen­der­forums (CCUF) präsen­tiert. Die CCUF bietet einen Sprach- und Kommu­ni­ka­ti­ons­kanal zwischen der CC-Community und den Organi­sa­ti­ons­ko­mitees der Common Criteria, den CCRA-Mitglieds­or­ga­ni­sa­tionen (nationale Programme) und den politi­schen Entschei­dungs­trägern.

SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evalua­tions based on Common Criteria” wird das JTEMS Framework vorge­stellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basie­renden und Payment Scheme unabhän­gigen Evalu­ie­rungs- und Zerti­fi­zie­rungs­vor­ge­hens­weise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von inter­es­sierten Parteien aus der Privat­wirt­schaft (Deutsche Kredit­wirt­schaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskus­sionen der EU Kommission für ein „European Security Certi­fi­cation Scheme“ einge­gangen.

In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäi­schen Kredit­wirt­schaft von Regine Quent­meier im Austausch mit Vertretern anderer Wirtschafts­be­reiche erörtert.

CSCUBS 2018

SRC liefert Studie­renden Einblick in spannende Projekte im Rahmen der CSCUBS 2018

Die 5th Computer Science Confe­rence for University of Bonn Students im Rückblick

Die CSCUBS 2018 fand am 16. Mai in den Räumlich­keiten der Univer­sität Bonn statt.Organisiert wurde die Veran­staltung von Dokto­randen und MSc-Studenten und hatte zum Ziel, die Forschung in der Infor­matik und den wissen­schaft­lichen Austausch unter den Studie­renden zu fördern. Die Betei­ligung von Forschern und Praktikern wurde ebenfalls gefördert. Die Studie­renden hatten zudem die Möglichkeit eigene Beiträge einzu­reichen, die neue Forschungs- oder Entwick­lungs­ar­beiten im Zusam­menhang mit der Infor­matik beschreiben. Dazu gehörten auch Univer­si­täts­pro­jekte, Disser­ta­tionen und Ergeb­nisse anderer Berufs- oder Freizeit­ak­ti­vi­täten. Darüber hinaus hielten, abgesehen von den Sponsor­firmen, auch die Studenten selbst Vorträge.

SRC Mitar­beiter liefert Studie­renden Einblick in spannende Projekte

Auch Max Hettrich von SRC berichtete in einem Vortrag über die Tätig­keits­felder der Firma. Der Fokus lag dabei auf dem Thema „Payment Evolving“. Dabei geht es darum, die „Girocard ins Handy zu bringen“. Inter­essant ist dabei vor allem, wie die Sicher­heits­eva­lu­ierung für die Zahlungs­karten bisher aussieht und welche neuen Heraus­for­de­rungen sich nun in Zukunft fürs mobile Bezahlen ergeben. So wird bei der Sicher­heits­eva­lu­ierung von Smart­phone-basierten Lösungen Reverse Engineeing der verwen­deten Appli­ka­tionen eine zentrale Rolle spielen. Dabei versetzt sich der Prüfer in die Rolle eines Angreifes, und versucht, Wege zu finden um die Zahlungs­ap­pli­kation zu kompro­mit­tieren. Dies ist ein zentraler Baustein um die Wirksamkeit der imple­men­tierten Schutz­me­cha­nismen bewerten zu können. Wo in der Vergan­genheit vor allem die Prüfstelle der SRC die Sicherheit von Zahlungs­karten evaluiert hat, wird in Zukunft auch die Abteilung für Penetration Testing ihre Expertise bei der Bewertung von mobilen Lösungen einbringen.

Darüber hinaus beinhaltete der Vortrag auch allge­meinere Themen, wie z.B. die Tätig­keits­felder und Arbeits­at­mo­sphäre der SRC. Aus dem Kernge­schäft der Zahlungs­karten entstanden über die vielen Jahre, die SRC bereits besteht, auch eine Vielzahl weitere Geschäfts­felder. Es wurde außerdem darauf einge­gangen, was SRC als Arbeit­geber besonders macht und welche Quali­täten SRC liefert.

Fazit und Eindrücke aus Sicht der SRC

Der hohe Anteil inter­na­tio­naler Studie­render, die aktive Betei­ligung an der Veran­staltung und die durch­gängig eigen­ständige Organi­sation der CSCUBS beein­druckten uns nachhaltig“, so Jochen Schumacher von SRC. Das BSI, BC Techno­logies und SRC beglei­teten die CSCUBS 2018 mit Vorträgen. Besonders freute uns, dass der Praxis-Beitrag von SRC Stoff für eine ergiebige Diskussion lieferte. Die Sicherheit des modernen Zahlungs­ver­kehrs ist ein Thema, dass auch die Studie­renden bewegt. Das belegten die vielen gehalt­vollen Gespräche im Plenum und der persön­liche Austausch am eigens einge­rich­teten Stand von SRCDie CSCUBS 2018 war eine überaus gelungene und infor­mative Veran­staltung. SRC freut sich auf die Neuauflage 2019.

Bildquelle: https://twitter.com/CSCUBS_Bonn
Mitarbeiterinterview

Vom Quanten­phy­siker zum Sicher­heits­ana­lysten bei SRC – Ein Mitar­bei­ter­in­terview

Das nachfol­gende Mitar­bei­ter­in­terview mit Dr. Max Hettrich gewährt einen Blick hinter die Kulissen von SRC. Wir bei SRC haben immer ein offenes Ohr für unsere Mitarbeiter/innen und freuen uns, dass wir Max zu seinem Werdegang und seiner Arbeit bei SRC befragen durften.

Hallo Max, steigen wir doch direkt ein. Welche Ausbildung hast Du?

Ich bin Physiker. Nach meinem Studium habe ich zunächst in der akade­mi­schen Forschung gearbeitet und zwar in der experi­men­tellen Quanten­optik. Da ging es viel um Laser, Vakuum­kammern, und eben Quanten­physik. Aber auch um Compu­ter­si­mu­la­tionen und digitale Messtechnik. Das IT-Thema war also schon immer da, wenn auch nicht an erster Stelle.

Wie bist Du auf SRC und die Stellen­an­zeige aufmerksam geworden und warum hast Du Dich bei SRC beworben?

Auf SRC bin ich über einen damaligen Arbeits­kol­legen aufmerksam geworden, der wiederum einen Mitar­beiter bei SRC kannte. Nachdem ich dann erfahren hatte, dass bei SRC Physiker durchaus gerne gesehen sind, und mich IT-Sicher­heits­themen schon immer inter­es­siert haben, war meine Neugier geweckt.

Wie lange bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC angefangen, vor einem knappen Jahr also.

Wie verlief Deine Einar­beitung?

Sehr sorgfältig durch­dacht und struk­tu­riert. Die Verant­wort­lichen haben sich wirklich genau überlegt, welche Projekte hierfür Frage kommen. Dabei hatte ich immer genug Freiraum, um heraus­zu­finden, welche Themen mir am meisten liegen.

An welchen Themen arbeitest Du aktuell?

Zum einen beschäftige ich mich viel Compliance-Fragen im IT-Sicher­heits­umfeld, zum anderen mit Reverse Engineering von Software für mobile Geräte, um deren Sicherheit gegen verschiede Angriffs­sze­narien zu bewerten. Das sind zwei durchaus unter­schied­liche Themen­felder, die sich aber hervor­ragend ergänzen.

Was sind Deine wesent­lichen Aufgaben und Tätig­keiten im Arbeits­alltag?

In Compliance-Projekten geht es immer darum, das System eines Kunden zu analy­sieren, und zu bewerten, ob es regula­to­ri­schen Anfor­de­rungen genügt. Da kein System dem anderen gleicht, wird das nie langweilig.

Beim Reverse Engineering ist das Ziel, die Funktion von Software zu verstehen, und evtl. vorhandene verborgene Assets zu extra­hieren, ohne Zugriff auf den Quellcode zu haben. Das erfordert beispiels­weise das Lesen und analy­sieren von nativem Code oder auch das Debuggen und Instru­men­tieren von laufenden Programmen.

Wie sieht Dein typischer Arbeits­alltag aus? Bist Du viel auf Reisen?

Meistens arbeite ich in meinem Büro in der SRC Geschäfts­stelle in Wiesbaden. Ich bin, untypisch für ein Beratungs­un­ter­nehmen, eher wenig auf Reisen, da sich die meisten Arbeiten einfach am besten erledigen lassen, wenn man vor Ort mit den Kollegen in direktem Kontakt steht.

Was gefällt Dir besonders bei SRC?

Besonders positiv finde ich die recht flache Hierarchie, und große Freiheit, was die Auswahl der Betäti­gungs­felder betrifft.

Und wie empfindest Du die Arbeits­at­mo­sphäre bei SRC?

Ich empfinde die Atmosphäre hier als überaus angenehm. Die Tatsache, dass SRC mit ca. 120 Mitar­beitern ein eher kleines Unter­nehmen ist, erlaubt eine recht zwanglose und direkte Kommu­ni­kation unter­ein­ander. Ich glaube, dass viele Konflikte dadurch erst gar nicht entstehen.

Stichwort Work-Life-Balance: Wie lässt sich bei SRC die Arbeit mit Deinem Privat­leben verein­baren?

Das klappt wirklich prima! Unsere Arbeits­zeiten bei SRC sind flexibel, angefallene Überstunden werden immer proto­kol­liert, und können später ausge­glichen werden.

Was müssen Deiner Meinung nach Bewerber mitbringen, um bei SRC erfolg­reich zu sein?

Ich denke, das wichtigste ist ein ausge­prägtes analy­ti­sches Denken, und starke Eigen­in­itiative. Hat man in einem Tätig­keitsfeld der SRC bereits Erfahrung, ist das natürlich umso besser. Mein Eindruck ist aber, dass auch Genera­listen bei der SRC gerne gesehen sind. Man hat dann die Möglichkeit, sich je nach Bedarf das nötige Spezi­al­wissen zu enger umgrenzten Themen anzueignen.

Eine letzte Frage: Was würdest Du poten­zi­ellen Bewerbern raten?

Keine falsche Scheu! Ob einem die Tätig­keits­felder von SRC zusagen, kann man recht gut heraus­finden, wenn man sich ein bisschen auf der Website und unserem Karrie­re­portal umsieht. Falls das der Fall ist: Einfach mal seine Unter­lagen vorbei­schicken!

Bildhintergrund IT-Security

SRC unter­stützt aktiv langjährige Partner­schaft mit der Allianz für Cyber­si­cherheit

Durch­führung eines kosten­losen Web Appli­cation Security Scans

SRC ist seit vielen Jahren Partner der Allianz für Cyber­si­cherheit. Als aktive Unter­stützung dieser Partner­schaft hat SRC im Jahr 2018 eine kostenlose Durch­führung eines Web Appli­cation Security Scans für maximal fünf Mitglieder der Allianz angeboten.

Wissens­wertes zu den Web Appli­cation Security Scans

Web Appli­cation Security Scans haben das Ziel, Fehler in der Archi­tektur und der Konfi­gu­ration der unter­suchten Weban­wendung zu identi­fi­zieren. Solche Schwach­stellen könnten ausge­nutzt werden, um beispiels­weise Inhalte der Seite zu verändern (XSS, Cross Site Scripting). Auch Inhalte der Datenbank könnten herun­ter­ge­laden oder adminis­trative Rechte erlangt werden. Wird ein System auf diese Art kompro­mit­tiert, dann könnte dieses für weitere Angriffe in Richtung der eigenen internen Infra­struktur verwendet werden.

SRC prüft, im Gegensatz zu vollau­to­ma­ti­sierten Web Appli­cation Security Scans, auch Seiten, die der Benutzer erst nach der Regis­trierung oder Anmeldung angezeigt bekommt. Bei vollau­to­ma­ti­sierten Scans ohne Berück­sich­tigung von Authen­ti­fi­zie­rungs­pro­zessen können solche Schwach­stellen nicht aufge­deckt werden. Genau das erlaubt jedoch der Web Appli­cation Security Scan und bietet somit einen umfäng­li­cheres Scaner­gebnis.

Die Durch­führung der Scans erfolgt „non-destructive“ und „non-instrusive“. Das bedeutet, dass Schwach­stellen identi­fi­ziert werden. Es geht, wie beispiels­weise bei den Penetra­ti­ons­tests, nicht um den Versuch, die aufge­deckten Schwach­stellen auch auszu­nutzen. Die Scandurch­führung erfolgt in enger Absprache mit dem Teilnehmer.

Große Nachfrage bei den Mitgliedern der Allianz

Die von SRC angebo­tenen Web Appli­cation Security Scans stießen auf große Nachfrage unter den Mitgliedern der Allianz. Aus diesem Grund sind die fünf angebo­tenen Scans bereits vergriffen. Eine Nachbe­richt­erstattung über die Durch­führung der Scans ist demnächst in unserem Blog zu finden. Weitere Details finden Sie auch auf den Webseiten der Allianz für Cyber­si­cherheit.

KRITIS 2018

Kriti­scher Tag 2018 | Wissen und Erfah­rungen im angeregten Austausch

Der Kritische Tag

Am 25. April 2018 fand der erste Kritische Tag im Konfe­renz­zentrum von SRC statt. Damit feierte eine Veran­stal­tungs­reihe ihre Premiere, die eine hochka­rätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unter­nehmen, die eine kritische Infra­struktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persön­licher Kontakte, sowie dem Austausch von Erfah­rungen und Best-Practices zur IT- und physi­schen Sicherheit kriti­scher Infra­struk­turen.

Der Tages­ablauf

Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kriti­schen Tages dokumen­tierte der ausge­buchte Saal den Infor­ma­ti­ons­bedarf der Teilnehmer.

Hochka­rätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbe­reichs­lei­terin CK3 und Vertre­terin des Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), erläu­terte Vorgehen und Abläufe in der Aufsichts­be­hörde. Randolf Skerka, Bereichs­leiter bei SRC und Verant­wort­licher für das Thema Prüfung nach §8a (3) BSIG, schil­derte die ersten Erfah­rungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucks­volle Einblicke über die Entwicklung der Kranken­haus­or­ga­ni­sation zur Vorbe­reitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeut­lichte, dass fundierte Branchen­kom­petenz ein wesent­licher und unver­zicht­barer Grund­stein einer sinnvolle Prüfung ist.

Die Exper­ten­vor­träge vermit­telten den Teilnehmern eine 360°-Sicht auf die weitest­gehend und aus gutem Grund unscharf formu­lierten Anfor­de­rungen der BSI-Prüfungen.

Zum Abschluss des Vormittags schil­derte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kriti­ka­lität im Bereich künst­le­ri­schen Schaffens.

Der Nachmittag wurde vollum­fänglich den Inter­es­sens­schwer­punkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitor­ga­ni­sator bei SRC, wurde der Ablauf des Nachmit­tages gestaltet.

Die Teilnehmer organi­sierten eigen­ständig die vielfäl­tigen Inhalte für neun Sessions.

Die wichtigsten Ergeb­nisse des Nachmittags

Aus der Session „Zerti­fi­zie­rungs­fin­dings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassi­schen“ und bis ins letzte technische Detail ausfor­mu­lierten Findings bzw. Abwei­chungen erwartet. Sinnvoll ist ein grob beschrie­bener Rahmen der Abwei­chungen und die Beschreibung eines Handlungs­weges im Prüfbe­richt. Dennoch muss für jedes Risiko innerhalb einer kriti­schen Infra­struktur eine entspre­chende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.

Das BSI wünscht sich die enge Koope­ration mit den verschie­denen Kritis-Unter­nehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.

In der Session „Awareness für IT-Sicherheit im Unter­nehmen“ stellte Ralf Plomann die Methode und Maßnah­men­um­setzung im Klinikum Lünen vor. Wichtig sei hier der indivi­duelle Ansatz. Jeder Einzelne im Unter­nehmen sei für die IT-Sicherheit verant­wortlich. In der persön­lichen Ansprache müsse jeder Mitar­beiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richt­linien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekun­dar­stufe II beginnen.“ Im Verlauf der weiteren Session kristal­li­sierte sich ein klarer Trend zu eLearning-Platt­formen für die Verbes­serung der Awareness heraus.

In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favori­siert. Die als kritisch einge­stufte Dienst­leistung ist der beste Start­punkt zur Definition des Scope. Geht es beispiels­weise um die kritische Infra­struktur Klärwerk, muss zur Definition des Scope heraus­ge­funden und festge­halten werden, welche Systeme das Wasser klären, welche Auswir­kungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompen­siert und somit die kritische Dienst­leistung aufrecht erhalten werden kann.

Mit dieser Methode bewegt man sich syste­ma­tisch zum äußeren Perimeter. Gelangt man zu nicht mehr kriti­schen Systemen, ist die Grenze des Scopes erreicht.

Fazit des ersten „Kriti­schen Tag“ aus Sicht von SRC

Ausdruck der faszi­nie­renden Atmosphäre war die Weiter­führung der bilate­ralen Kommu­ni­kation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmel­dungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkennt­nisse aus anderen KRITIS-Projekten gewinnen konnten.

Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Infor­ma­tionen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement funda­mental zum Gelingen des kriti­schen Tages beitrugen.

Den Kriti­schen Tag betrachten wir als gelun­genes Experiment. Das motiviert uns, in die Vorbe­rei­tungen für eine Neuauflage einzu­steigen.

Transakt

Transakt entspricht dem EBA-RTS

SRC bestätigt der Mobile Banking Lösung Transakt von Entersekt Konfor­mität mit dem EBA-RTS

Weiter­lesen

Informationssicherheitsbeauftragte/r für Kreditinstitute

Zerti­fikats-Lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 6. bis 9. November 2018

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in  ihren IT-Systeme und ‑Prozessen . Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in Ihrer Richt­linie die neu einzu­rich­tende Funktion “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte”. Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichten direkt an die Geschäfts­leitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits drei Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 6. bis zum 9. November 2018 haben Sie erneut die Möglichkeit sich in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Trinkaus & Burkhardt AG) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Randolf Skerka und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 5. November 2018 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

CSCUBS 2018

SRC unter­stützt die 5th Computer Science Confe­rence for University of Bonn Students – CSCUBS 2018

SRC freut sich, die 5th Computer Science Confe­rence for University of Bonn Students  – CSCUBS 2018, die am 16. Mai 2018 statt­findet, zu unter­stützen.

Förderung der Forschung und des wissen­schaft­lichen Austauschs

Die CSCUBS 2018 wird von Dokto­ran­dinnen, Dokto­randen und Master-Studie­renden organi­siert. Ihr Ziel ist die Förderung der Forschung in der Infor­matik, so wie der wissen­schaft­lichen Austausch zwischen Studie­renden, Forschenden und Praktikern. „Die CSCUBS ist eine Initiative aus der Mitte der Studie­renden, die SRC gern unter­stützt“, sagt Detlef Kraus, Prokurist bei SRC. „Und gerade der fachliche Austausch zwischen Forschung, Praxis und Lehre ist dringend geboten, wenn unsere Gesell­schaft den Heraus­for­de­rungen der IT-Sicherheit souverän begegnen will“, so Kraus weiter.

Anknüp­fungs­punkt für persön­lichen und fachlichen Austausch

Die 5. Infor­ma­tik­kon­ferenz für Studie­rende der Univer­sität Bonn (CSCUBS 2018) gibt Univer­si­täts­pro­jekten, Disser­ta­tionen und Ergeb­nissen aus Forschung, Entwicklung und Praxis im Bereich der Infor­matik eine Plattform. Die Konferenz findet am 16. Mai 2018 an der Univer­sität Bonn statt. SRC unter­stützt die Veran­staltung nicht nur als Sponsor. Wir werden auch mit einem Stand präsent sein, um dem persön­lichen und fachlichen Austausch einen Anknüp­fungs­punkt zu bieten.

Präsen­tation eines Projekt­er­geb­nisses bei der CSCUBS 2018 inklusive

Außerdem wird SRC aus der Vielzahl ihrer Projekte ein Ergebnis anlässlich der CSCUBS vorstellen. Die Praxis liefert oftmals überra­schende Forschungs­an­sätze und spannende Erkennt­nisse. Die CSCUBS ist SRC eine willkommene Plattform, um unsere Arbeit einem inter­es­sierten, jungen und fachkun­digen Exper­ten­kreis vorzu­stellen und darüber in Austausch zu treten. Vielleicht ergeben sich aus den vielen Gesprächen auch quali­fi­zierte Ansatz­punkte, um die auf der CSCUBS 2018 versam­melte Expertise in gemein­samer Projekt­arbeit zu nutzen.

Kritische Tag

Kriti­scher Tag 2018 | am 25. April 2018 treffen sich die Betreiber kriti­scher Infra­struk­turen bei SRC

Kritische Infra­struk­turen und deren Bedeutung | Kriti­scher Tag 2018 ermög­licht Austausch 

Kritische Infra­struk­turen (KRITIS) sind Organi­sa­tionen und Einrich­tungen mit wichtiger Bedeutung für das staat­liche Gemein­wesen, bei deren Ausfall oder Beein­träch­tigung nachhaltig wirkende Versor­gungs­eng­pässe, erheb­liche Störungen der öffent­lichen Sicherheit oder andere drama­tische Folgen eintreten würden. Diese Kriti­schen Infra­struk­turen sind verschie­densten Gefahren ausge­setzt. Unter anderem gibt es auch vielfältige Szenarien, in denen die Sicherheit der infor­ma­ti­ons­tech­ni­schen Systeme in kriti­schen Infra­struk­turen in den Mittel­punkt rückt. Der Ansatz­punkt für die Konferenz „Kriti­scher Tag 2018“ mit beglei­tendem Barcamp.

Mitein­ander fachlich „Netzwerken“

Mit dem Ziel persön­liche Kontakte aufzu­bauen und fachlichen Austausch anzuregen, bietet der kritische Tag den Menschen einen regel­mä­ßigen Treff­punkt, die für den Schutz kriti­scher Infra­struk­turen verant­wortlich sind. Die Zielgruppe des  kriti­schen Tages sind dabei jene Menschen, die in einem Unter­nehmen oder einer Einrichtung arbeiten, welches die Bevöl­kerung mit lebens­wich­tigen Gütern und Dienst­leis­tungen versorgt. Darüber hinaus spricht der kritische Tag Menschen an, die sich praktisch, beratend, regula­to­risch oder wissen­schaftlich mit dem Thema kritische Infra­struk­turen ausein­an­der­setzen. Der erste kritische Tag findet am 25. April 2018 im SRC Konfe­renz­zentrum mit beglei­tendem Barcamp statt. Tickets sind ab sofort erhältlich.

Der Anspruch des kriti­schen Tages

Der kritische Tag hat den Anspruch, Vertretern betrof­fener Unter­nehmen, des öffent­lichen Sektors und von Wissen­schaft und Forschung eine hochka­rätige Plattform zu bieten, um sich über Entwick­lungen und Best Practices zur IT- und physi­schen Sicherheit von kriti­schen Infra­struk­turen zu vernetzen und Erfah­rungen auszu­tau­schen. Dabei spielt auch eine Rolle, dass die Teilnehmer angehalten werden, den zweiten Teil des kriti­schen Tages als Barcamp zu gestalten. Ein Barcamp ist eine offene Tagung mit offenen Workshops, deren Inhalte von den Teilnehmern zu Beginn der Tagung selbst entwi­ckelt und im weiteren Verlauf gestaltet wird. Barcamps dienen demnach dem inhalt­lichen Austausch und der Diskussion.