Beiträge

IT-Sicherheitskongress 2019

IT-Sicher­heits­kon­gress 2019 – Arne Schönbohm begrüßt SRC

Der IT-Sicher­heits­kon­gress 2019 bot SRC wieder die Plattform für Dialoge mit Herstellern, Partnern und Vertretern von Behörden. Das Motto der Veran­staltung : „IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digita­li­sierung“. Die Themen so vielfältig, wie die Besucher: Künst­liche Intel­ligenz und ihre Anwen­dungs­ge­biete, Common Criteria-Zerti­fi­zie­rungen von Micro-Kernel Betriebs­sys­temen und beruf­liche Perspek­tiven für Natur­wis­sen­schaftler und Infor­ma­tiker bei SRC. Am Stand wurden nahezu alle SRC-Dienst­leis­tungen nachge­fragt, egal ob Penetra­ti­ons­tests, Beratung und Zerti­fi­zierung von Infor­ma­ti­ons­si­cher­heits­ma­na­ge­nemt­sys­temen oder die Unter­stützung von Produkt­her­stellern bei Evalu­ie­rungen nach Common Criteria.

Rege disku­tiert wurde Sandro Amendola Vortrag auf dem IT-Sicher­heits­kon­gress 2019. Der Titel: „Gesetz­lichen Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“. Das hohe Tempo der Innovation auf der einen und die sich parallel entwi­ckelnden regula­to­ri­schen Anfor­de­rungen auf der anderen Seite bieten konti­nu­ier­lichen Stoff für Gespräche und Ausblicke auf zukünftige Trends.

Auch der Gastgeber des IT-Sicher­heits­kon­gress 2019, das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) (siehe Foto), machte an unserem Stand halt. Thilo Pannen ist für das Business Development bei SRC verant­wortlich. „Wir bei SRC freuen uns, dass wir das BSI seit vielen Jahren mit einer Bandbreite an Experten unter­stützen zu können“ sagte Thilo Pannen zur Begrüßung. Das ausführ­liche Gespräch mit dem BSI-Präsi­denten Arne Schönbohm berührte alle Punkte der umfang­reichen Koope­ration mit dem BSI. Sei es die Erstellung von Studien, die Unter­stützung bei den vielfäl­tigen BSI-Projekten oder die Arbeit von SRC als vom BSI anerkannte Prüfstelle. In seiner Funktion als Prüfstelle begut­achtet SRC nicht nur nach Common Criteria. Auch die Anfor­de­rungen zu den Techni­schen Domänen „Smart­cards and similar Devices“ und „Hardware Devices with Security Boxes“ werden von SRC erfüllt.
Eine derart umfang­reiche und komplexe Zusam­men­arbeit in einem so dynami­schen Umfeld erfordert die stetige Anpassung der Prozesse. „Wenn wir beim BSI zur weiteren guten Zusam­men­arbeit beitragen können, lassen Sie es mich wissen.“ sagte der BSI-Präsident zum Abschluss seines Besuchs auf dem Stand von SRC.

IT-Sicherheitskongress

SRC leistet Beitrag zum Deutschen IT-Sicher­heits­kon­gress 2019

IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digita­li­sierung

Unter diesem Motto steht der diesjährige Deutsche IT-Sicher­heits­kon­gress, den das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) alle zwei Jahre ausrichtet. Der Kongress findet vom 21. bis 23. Mai 2019 in der Stadt­halle Bonn – Bad Godesberg statt. Das Ziel des diesjäh­rigen Kongresses ist es, das Thema IT-Sicherheit aus unter­schied­lichen Blick­winkeln zu beleuchten, Lösungs­an­sätze vorzu­stellen und weiter­zu­ent­wi­ckeln.

SRC ist  beim Deutschen IT-Sicher­heits­kon­gress

Als vom BSI anerkannte Prüfstelle für Evalu­ie­rungen nach den Common Criteria (CC) und diversen anderen Techni­schen Richt­linien ist SRC auch 2019 mit einem Stand auf dem Deutschen IT-Sicher­heits­kon­gress vertreten. Damit bieten wir den Experten von Kunden, Partnern und denen des BSI erneut den seit vielen Jahren etablierten Anlauf­punkt auf dem Deutschen IT-Sicher­heits­kon­gress. Dieses Konzept hat sich seit Jahren bewährt. Das stabile persön­liche Netzwerk zwischen den Betei­ligten bietet die optimale Plattform zum Transfer der komplexen techni­schen und regula­to­ri­schen Aspekte.

SRC-Experte Sandro Amendola spricht über Compliance, mobile Zahlver­fahren und Kunden­au­then­ti­fi­zierung

Der Siegeszug mobiler Zahlver­fahren dürfte nicht mehr aufzu­halten sein. Um die Sicherheit dieser Verfahren und die erfor­der­liche Kunden­au­then­ti­fi­zierung hat sich auch der Gesetz­geber intensiv Gedanken gemacht. Über „Gesetz­liche Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“ spricht Sandro Amendola am Donnerstag, den 23. Mai 2019 um 11:00 Uhr im großen Saal.

 

Aspects of Common Criteria Certifications

Aspects of Common Criteria Certi­fi­ca­tions – Gastvortrag an der TU Wien

Aspects of Common Criteria Certi­fi­ca­tions - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Techni­schen Univer­sität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infra­st­ruc­tures am Institute of Infor­mation Systems Engineering statt.

Common Criteria in der Wissen­schaft

Mit Hilfe der Common Criteria for Infor­mation Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allge­meinen Kriterien bezüglich ihrer Sicherheit bewerten. Als inter­na­tional anerkannter Standard steht Common Criteria im Interesse der wissen­schaft­lichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) anerkannte Prüfstelle.  SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zerti­fi­zierung vor.

Gastvortrag für die Studie­renden

Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certi­fi­ca­tions (Aspekte der Common Criteria Zerti­fi­zie­rungen). Der Vortrag infor­miert die Studie­renden über die grund­sätz­liche Heran­ge­hens­weise bei Produkt­zer­ti­fi­zie­rungen nach Common Criteria. Beleuchtet werden Infra­struk­turen in der Europäi­schen Union, bei denen auf eine Common Criteria Zerti­fi­zierung gesetzt wird. Auch die formale Seite mit den zustän­digen Zerti­fi­zie­rungs- und Anerken­nungs­stellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags.  Dabei finden Zerti­fi­zie­rungen nach Techni­schen Richt­linien des BSI, der ISO27001 bzw. den Krite­ri­en­werken der Payment Card Industry (PCI) Berück­sich­tigung.

CSCUBS 2018

SRC liefert Studie­renden Einblick in spannende Projekte im Rahmen der CSCUBS 2018

Die 5th Computer Science Confe­rence for University of Bonn Students im Rückblick

Die CSCUBS 2018 fand am 16. Mai in den Räumlich­keiten der Univer­sität Bonn statt.Organisiert wurde die Veran­staltung von Dokto­randen und MSc-Studenten und hatte zum Ziel, die Forschung in der Infor­matik und den wissen­schaft­lichen Austausch unter den Studie­renden zu fördern. Die Betei­ligung von Forschern und Praktikern wurde ebenfalls gefördert. Die Studie­renden hatten zudem die Möglichkeit eigene Beiträge einzu­reichen, die neue Forschungs- oder Entwick­lungs­ar­beiten im Zusam­menhang mit der Infor­matik beschreiben. Dazu gehörten auch Univer­si­täts­pro­jekte, Disser­ta­tionen und Ergeb­nisse anderer Berufs- oder Freizeit­ak­ti­vi­täten. Darüber hinaus hielten, abgesehen von den Sponsor­firmen, auch die Studenten selbst Vorträge.

SRC Mitar­beiter liefert Studie­renden Einblick in spannende Projekte

Auch Max Hettrich von SRC berichtete in einem Vortrag über die Tätig­keits­felder der Firma. Der Fokus lag dabei auf dem Thema „Payment Evolving“. Dabei geht es darum, die „Girocard ins Handy zu bringen“. Inter­essant ist dabei vor allem, wie die Sicher­heits­eva­lu­ierung für die Zahlungs­karten bisher aussieht und welche neuen Heraus­for­de­rungen sich nun in Zukunft fürs mobile Bezahlen ergeben. So wird bei der Sicher­heits­eva­lu­ierung von Smart­phone-basierten Lösungen Reverse Engineeing der verwen­deten Appli­ka­tionen eine zentrale Rolle spielen. Dabei versetzt sich der Prüfer in die Rolle eines Angreifes, und versucht, Wege zu finden um die Zahlungs­ap­pli­kation zu kompro­mit­tieren. Dies ist ein zentraler Baustein um die Wirksamkeit der imple­men­tierten Schutz­me­cha­nismen bewerten zu können. Wo in der Vergan­genheit vor allem die Prüfstelle der SRC die Sicherheit von Zahlungs­karten evaluiert hat, wird in Zukunft auch die Abteilung für Penetration Testing ihre Expertise bei der Bewertung von mobilen Lösungen einbringen.

Darüber hinaus beinhaltete der Vortrag auch allge­meinere Themen, wie z.B. die Tätig­keits­felder und Arbeits­at­mo­sphäre der SRC. Aus dem Kernge­schäft der Zahlungs­karten entstanden über die vielen Jahre, die SRC bereits besteht, auch eine Vielzahl weitere Geschäfts­felder. Es wurde außerdem darauf einge­gangen, was SRC als Arbeit­geber besonders macht und welche Quali­täten SRC liefert.

Fazit und Eindrücke aus Sicht der SRC

Der hohe Anteil inter­na­tio­naler Studie­render, die aktive Betei­ligung an der Veran­staltung und die durch­gängig eigen­ständige Organi­sation der CSCUBS beein­druckten uns nachhaltig“, so Jochen Schumacher von SRC. Das BSI, BC Techno­logies und SRC beglei­teten die CSCUBS 2018 mit Vorträgen. Besonders freute uns, dass der Praxis-Beitrag von SRC Stoff für eine ergiebige Diskussion lieferte. Die Sicherheit des modernen Zahlungs­ver­kehrs ist ein Thema, dass auch die Studie­renden bewegt. Das belegten die vielen gehalt­vollen Gespräche im Plenum und der persön­liche Austausch am eigens einge­rich­teten Stand von SRCDie CSCUBS 2018 war eine überaus gelungene und infor­mative Veran­staltung. SRC freut sich auf die Neuauflage 2019.

Bildquelle: https://twitter.com/CSCUBS_Bonn
KRITIS 2018

Kriti­scher Tag 2018 | Wissen und Erfah­rungen im angeregten Austausch

Der Kritische Tag

Am 25. April 2018 fand der erste Kritische Tag im Konfe­renz­zentrum von SRC statt. Damit feierte eine Veran­stal­tungs­reihe ihre Premiere, die eine hochka­rätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unter­nehmen, die eine kritische Infra­struktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persön­licher Kontakte, sowie dem Austausch von Erfah­rungen und Best-Practices zur IT- und physi­schen Sicherheit kriti­scher Infra­struk­turen.

Der Tages­ablauf

Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kriti­schen Tages dokumen­tierte der ausge­buchte Saal den Infor­ma­ti­ons­bedarf der Teilnehmer.

Hochka­rätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbe­reichs­lei­terin CK3 und Vertre­terin des Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), erläu­terte Vorgehen und Abläufe in der Aufsichts­be­hörde. Randolf Skerka, Bereichs­leiter bei SRC und Verant­wort­licher für das Thema Prüfung nach §8a (3) BSIG, schil­derte die ersten Erfah­rungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucks­volle Einblicke über die Entwicklung der Kranken­haus­or­ga­ni­sation zur Vorbe­reitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeut­lichte, dass fundierte Branchen­kom­petenz ein wesent­licher und unver­zicht­barer Grund­stein einer sinnvolle Prüfung ist.

Die Exper­ten­vor­träge vermit­telten den Teilnehmern eine 360°-Sicht auf die weitest­gehend und aus gutem Grund unscharf formu­lierten Anfor­de­rungen der BSI-Prüfungen.

Zum Abschluss des Vormittags schil­derte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kriti­ka­lität im Bereich künst­le­ri­schen Schaffens.

Der Nachmittag wurde vollum­fänglich den Inter­es­sens­schwer­punkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitor­ga­ni­sator bei SRC, wurde der Ablauf des Nachmit­tages gestaltet.

Die Teilnehmer organi­sierten eigen­ständig die vielfäl­tigen Inhalte für neun Sessions.

Die wichtigsten Ergeb­nisse des Nachmittags

Aus der Session „Zerti­fi­zie­rungs­fin­dings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassi­schen“ und bis ins letzte technische Detail ausfor­mu­lierten Findings bzw. Abwei­chungen erwartet. Sinnvoll ist ein grob beschrie­bener Rahmen der Abwei­chungen und die Beschreibung eines Handlungs­weges im Prüfbe­richt. Dennoch muss für jedes Risiko innerhalb einer kriti­schen Infra­struktur eine entspre­chende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.

Das BSI wünscht sich die enge Koope­ration mit den verschie­denen Kritis-Unter­nehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.

In der Session „Awareness für IT-Sicherheit im Unter­nehmen“ stellte Ralf Plomann die Methode und Maßnah­men­um­setzung im Klinikum Lünen vor. Wichtig sei hier der indivi­duelle Ansatz. Jeder Einzelne im Unter­nehmen sei für die IT-Sicherheit verant­wortlich. In der persön­lichen Ansprache müsse jeder Mitar­beiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richt­linien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekun­dar­stufe II beginnen.“ Im Verlauf der weiteren Session kristal­li­sierte sich ein klarer Trend zu eLearning-Platt­formen für die Verbes­serung der Awareness heraus.

In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favori­siert. Die als kritisch einge­stufte Dienst­leistung ist der beste Start­punkt zur Definition des Scope. Geht es beispiels­weise um die kritische Infra­struktur Klärwerk, muss zur Definition des Scope heraus­ge­funden und festge­halten werden, welche Systeme das Wasser klären, welche Auswir­kungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompen­siert und somit die kritische Dienst­leistung aufrecht erhalten werden kann.

Mit dieser Methode bewegt man sich syste­ma­tisch zum äußeren Perimeter. Gelangt man zu nicht mehr kriti­schen Systemen, ist die Grenze des Scopes erreicht.

Fazit des ersten „Kriti­schen Tag“ aus Sicht von SRC

Ausdruck der faszi­nie­renden Atmosphäre war die Weiter­führung der bilate­ralen Kommu­ni­kation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmel­dungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkennt­nisse aus anderen KRITIS-Projekten gewinnen konnten.

Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Infor­ma­tionen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement funda­mental zum Gelingen des kriti­schen Tages beitrugen.

Den Kriti­schen Tag betrachten wir als gelun­genes Experiment. Das motiviert uns, in die Vorbe­rei­tungen für eine Neuauflage einzu­steigen.

EMVCo-Zertifizierung

SRC’s ITSEF-Labor erhält eine erwei­terte EMVCo-Zerti­fi­zierung

Das zerti­fi­zierte Common Criteria Sicher­heits­labor von SRC wurde kürzlich durch eine weitere EMVCo-Zerti­fi­zierung berei­chert. Das SRC-Labor ist bereits seit langem für die Evalu­ierung von Hardware- und Software­aus­wer­tungen für Smart­cards und ähnliche Geräte durch das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) zugelassen. Nachdem SRC nun eine erfolg­reiche Evaluation von Chip-Hardware eines namen­haften und ebenfalls EMVCo zerti­fi­zierten Herstellers durch­ge­führt hat, bestä­tigte EMVCo nach einer Überprüfung der neuesten Erkennt­nisse, die im Rahmen eines IC-Sicher­heits­be­wer­tungs­pro­jektes bereit­ge­stellt wurden, die EMVCo-Zerti­fi­zierung des SRC Sicher­heits­labors als EMVCo Security Evaluation IC Labor, welches des Weiteren als solches nun auch auf der EMVCo-Webseite aufge­listet wird.

Weiter­füh­rende Infor­ma­tionen zu den für SRC durch EMVCo erfolgten Zerti­fi­zie­rungen erhalten Sie  hier.

Portfolio Einträge