Schlagwortarchiv für: IT Sicherheit

TIBER-DE
Homepage Admin

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

Novellierung der BAIT 2021
Homepage Admin

Novel­lierung der BAIT 2021– Die neuen Anfor­de­rungen an Kreditinstitute

Die Novel­lierung der BAIT für 2021 bedeutet neue Anfor­de­rungen für Kredit­in­stitute. Dagegen steht die BaFin vor der Heraus­for­derung, die Guide­lines on security measures for opera­tional and security risks under the PSD2 und die Guide­lines on ICT and security risk management der EBA in Deutschland umzusetzen. Das soll mit einer Novel­lierung der BAIT (Bankauf­sicht­liche Anfor­de­rungen an die IT) bis zum 31. Dezember 2020 abgeschlossen sein. Erste Entwürfe wurden bereits in den Insti­tuten und Verbänden disku­tiert und kommentiert.

BAIT 2021 rückt IT-Sicherheit in den Mittelpunkt

Mit einem eigenen und neuen Kapitel rückt die operative IT-Sicherheit weiter in den Mittel­punkt. Die dort formu­lierten Anfor­de­rungen sind nur mit einem Security Infor­mation and Event Management Systems (SIEM) zu erfüllen. Das umfasst auch die Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC). Operativ sind regel­mäßige Überprü­fungen gefordert. Dazu gehören:

  • interne Abwei­chungs­ana­lysen
  • Schwach­stel­len­scans
  • Penetra­ti­ons­tests
  • die Simulation von Angriffen („Red Teaming“)

Die neuen Anfor­de­rungen der BAIT 2021 münden im Aufbau einer profes­sio­nellen Cyber-Security-Infra­struktur. Das bedeutet umfang­reiche und von einander unabhängige interne Informationssicherheitsstrukturen.

Die Geschäfts­leitung übernimmt die Gesamtverantwortung

Es fällt auf, dass schon der Entwurf nicht nur auf die Verant­wort­lichkeit der Geschäfts­leitung verweist. Der Geschäfts­leitung wird sogar die explizite Anerkenntnis der Gesamt­ver­ant­wortung für die Infor­ma­ti­ons­si­cherheit abver­langt. Dazu gehören auch die regel­mäßige Infor­mation über deren Belange und die Entscheidung zum angemes­senen Umgang mit Sicherheitsrisiken.

Anfor­de­rungen an das IT-Notfall­ma­nagement werden konsolidiert

Weitere Änderungen erwarten wir im Bereich IT-Notfall­ma­nagement. Die Anfor­de­rungen aus der BAIT werden mit denen aus Abschnitt AT7.3 der MaRisk konso­li­diert. So entstehen einheit­liche nationale Vorgaben. Außerdem rechnen wir mit einer Verschärfung und Präzi­sierung der Vorgaben hinsichtlich der Notfall­planung und –vorsorge, BCM, Desaster Recovery sowie die Backup­stra­tegien. Auch das Outsourcing an Dienst­leister wird aus unserer Sicht Gegen­stand der Neufassung sein.

Kredit­in­stitute stehen vor großen Herausforderungen

Nach Einschätzung der SRC-Experten für Banken Compliance werden die zu erwar­tenden Änderungen die betrof­fenen Institute vor große Heraus­for­de­rungen stellen. Das betrifft insbe­sondere das erfor­der­liche Know-how und die begrenzten Ressourcen auf dem Arbeitsmarkt.

Unternehmenstag 2019
Janine Wolff

Unter­neh­menstag 2019 – SRC ist wieder dabei!

Unter­neh­menstag 2019 – Die Karrie­re­messe für Studie­rende und Berufseinsteiger

Das Ende des Studiums ist ersichtlich. Der Abschluss in greif­barer Nähe. Spätestens jetzt benötigen Studie­rende und Absol­venten Kontakt zu ihrem zukünf­tigen Arbeit­geber. SRC freut sich auf diesen Kontakt. Zwei Tage an der Hochschule Bonn Rhein-Sieg auf dem Campus in Sankt Augustin. Hier findet der Unter­neh­menstag 2019 am 13. und 14. November statt.

Die Jobmesse wird mit vielen Angeboten rund um das Thema Karriere und Karrie­re­planung abgerundet. Dazu gehören z.B. Vorträge, Bewer­bungs­fotos, Jobboards und vieles mehr.

Karriere in der IT – SRC gewährt einen Einblick in spannende Aufgabenbereiche

SRC gibt Studie­renden und Absol­venten auch auf dem Unter­neh­menstag 2019 gern die Möglichkeit, einen Einblick in und den Austausch über die vielfäl­tigen Themen­felder der IT-Sicherheit zu nehmen. Die SRC-Experten erläutern den Alltag und die Heraus­for­de­rungen bei der Begut­achtung sicher­heits­re­le­vanter IT-Techno­logien. Eine Auswahl aktueller Themen sind z. B. mobile Bezahl­me­thoden, künst­liche Intel­ligenz und kritische Infra­struk­turen. Von unseren neuen Kollegen erwarten wir einen ausge­prägten Instinkt für poten­zielle Fehler­quellen in komplexen Techno­logien, die Kompetenz zur Findung von Lösungen und das Durch­set­zungs­ver­mögen, das Ergebnis ihrer Arbeit gegenüber den Auftrag­gebern zu vertreten.

Aktuelle Stellen­an­gebote auf unserem Karriereportal

Ob als Werkstu­die­rende in unserem Kunden­ma­nagement oder als Scanworker im Pentestteam – vielfältige und spannende Aufgaben neben dem Studium erledigen ist bei uns kein Problem. Aber auch Absol­venten kommen bei uns auf ihre Kosten – Wir suchen Pentester, Beratende und Analytiker/innen für verschiedene Bereiche in unserem Unternehmen.

Gerne können sich Studie­rende und Absol­venten bereits vorab auf unserem Karrie­re­portal über offene Stellen­an­gebote in unserem Unter­nehmen infor­mieren. Wir stehen gerne für Rückfragen am Unter­neh­menstag zur Verfügung! Außerdem besteht die Möglichkeit, uns Bewer­bungs­un­ter­lagen direkt vor Ort zu überreichen.

ICPS 2019
Janine Wolff

SRC auf der ICPS 2019 im Dialog mit Studie­renden der Physik

SRC auf der ICPS 2019 Jobfair

Auf der ICPS 2019 in Köln treffen sich Studie­rende der Physik zum 34. Mal. Die am Dienstag, den 13. August 2019, statt­fin­dende „Jobfair“ bietet dazu den Rahmen.

SRC nutzt die ICPS 2019, um Physikern und Physi­ke­rinnen Einblicke in und den Austausch über die vielfäl­tigen Themen­felder der IT-Sicherheit zu ermög­lichen. Die SRC-Experten erläutern die Heraus­for­de­rungen der Techno­lo­gie­be­gut­achtung an Beispielen, wie mobile Bezahl­me­thoden, künst­liche Intel­ligenz und ähnlichen Themen­ge­bieten. Dazu ist eine ausge­prägter Instinkt für poten­zielle Fehler­quellen in komplexen Umfeldern, die Kompetenz zur Findung von Lösungen und der Wille zu deren Umsetzung erfor­derlich. Vor allem Studie­rende mit physi­ka­li­schem Hinter­grund bringen diese wertvollen Eigen­schaften mit. Wie aus diesen Eigen­schaften eine Karriere entstehen kann, darüber berichtete bereits Dr. Max Hettrich im Interview „Vom Quanten­phy­siker zum Sicher­heits­ana­lysten bei SRC“.

Von Studie­renden für Studierende

Die ICPS findet in jedem Jahr eine neue Heimat. So haben mehr als 500 Studie­rende und Promo­vie­rende der Physik aus über 50 Nationen nicht nur die Möglichkeit zum fachlichen Austausch; sie lernen auch Kultur und Menta­lität des jewei­ligen Gastge­ber­landes kennen. Die ICPS wird durch die jewei­ligen Studie­ren­den­ver­ei­ni­gungen des gastge­benden Landes ausge­richtet. In diesem Jahr hat das Organi­sa­ti­onsteam aus Mitgliedern der jungen Deutschen Physi­ka­li­schen Gesell­schaft, des Instituts für Theore­tische Physik der Univer­sität zu Köln und der Bonn-Cologne Graduate School of Physics and Astronomy ein Programm vorbe­reitet, das sich über 8 Tage erstreckt.

Matthias Dahlmanns ist Projekt­ko­or­di­nator der ICPS 2019 und gleich­zeitig Werkstudent bei SRC. „Die Organi­sation der ICPS 2019 zu koordi­nieren, ist eine tolle Erfahrung. Die Teilnahme von SRC freut mich persönlich besonders!“ sagt Matthias Dahlmanns. Auch Dr. Benjamin Botermann, Senior Consultant Test & Quali­täts­si­cherung, freut sich auf den Austausch mit den vielen inter­es­sierten Physik­stu­die­renden: „Ich bin sehr gespannt auf die ICPS Jobfair. Als Physiker finde ich mich in der Arbeit bei SRC absolut wieder. Ich freue mich auf den Austausch mit den angehenden Physi­ke­rinnen und Physikern. Im persön­lichen Gespräch spreche ich gern über die vielfäl­tigen Tätig­keits­felder der SRC und stelle mich den zahlreichen und detail­lierten Fragen.“

IT Sicherheit in Krankenhäusern
Janine Wolff

Wie sicher ist die IT in unseren Krankenhäusern?

Digita­li­sierung stellt Kranken­häuser in puncto IT-Sicherheit vor Herausforderungen

Cloud Computing, vernetzte Kommu­ni­kation, virtu­elles Teamwork – Die Digita­li­sierung bietet für das Krankenhaus und andere Gesund­heits­ein­rich­tungen enorme Poten­ziale zur Optimierung. Die Auswir­kungen für die Renta­bi­lität der medizi­ni­schen Einrich­tungen und für die Versorgung der Patienten sind nachhaltig positiv. Wäre da nicht das Thema IT-Sicherheit. Wie gut geschützt sind die Netzwerke im Gesund­heits­wesen? Können sensible Daten bei der Übertragung oder im Zuge von Kolla­bo­ration verloren gehen? Oder schlimmer noch: abgefangen werden? Kann die IT Sicherheit in Kranken­häusern mit dem Tempo der Digita­li­sierung Schritt halten?

Schutz sensibler Patien­ten­in­for­ma­tionen ist geboten

Sinniert man über die sensi­belsten Daten einer Gesell­schaft, dann gehören Patien­ten­in­for­ma­tionen mit Sicherheit dazu. Das Schutz­be­dürfnis ist folglich besonders hoch. Das hat mittler­weile auch der Gesetz­geber erkannt und dazu eine eindeutige Geset­zeslage geschaffen. Spätestens damit wird die IT-Sicherheit im Gesund­heits­wesen zu einem Spielfeld der Haftungs­ri­siken und Schaden­er­satz­an­sprüche. Daher ist IT-Sicherheit in Kranken­häusern oberstes Gebot. Dass absolute Sicherheit kaum zu erzielen ist, mussten einige Kranken­häuser bereits schmerzlich feststellen. Insbe­sondere die Attacke mit der Ransomware „Wannacry“ im Jahr 2017 beein­träch­tigte die Krankenhaus-IT weltweit enorm. Unter­su­chungen mussten verschoben werden, Opera­tionen abgesagt werden und auch der finan­zielle Schaden war immens.

Die elektro­nische Patien­tenakte, Teleme­dizin und sektoren­über­grei­fende Infor­ma­ti­ons­lo­gistik machen es überaus anspruchsvoll Daten sicher zu verwalten. IT-Sicherheit ist aber nicht mehr nur eine technische Frage. Sie betrifft auch die Sensi­bi­li­sierung der Mitar­beiter, den verschärften Daten­schutz und die wachsenden Anfor­de­rungen des Gesetz­gebers. Beispiele sind die Medizin­pro­duk­te­ver­ordnung (MDR) und die Prüfungen nach § 8a des BSI-Gesetzes.

SRC Experte Dr. Deniz Ulucay im Fachge­spräch mit dem KU Gesund­heits­ma­nagement Magazin

Im Interview mit Birgit Sander, Redak­teurin des Magazins KU Gesund­heits­ma­nagement, gibt Dr. Deniz Ulucay, SRC-Experte für IT-Sicherheit im Gesund­heits­wesen, detail­lierte Einblicke in poten­zielle Gefähr­dungs­sze­narien und adäquate Abwehr­stra­tegien. Der Titel des Beitrags fragt: „Wie sicher ist die IT in unseren Kranken­häusern?“. Dieser kann hier abgerufen werden.

IT-Sicherheitskongress 2019
Homepage Admin

IT-Sicher­heits­kon­gress 2019 – Arne Schönbohm begrüßt SRC

Der IT-Sicher­heits­kon­gress 2019 bot SRC wieder die Plattform für Dialoge mit Herstellern, Partnern und Vertretern von Behörden. Das Motto der Veran­staltung : „IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digita­li­sierung“. Die Themen so vielfältig, wie die Besucher: Künst­liche Intel­ligenz und ihre Anwen­dungs­ge­biete, Common Criteria-Zerti­fi­zie­rungen von Micro-Kernel Betriebs­sys­temen und beruf­liche Perspek­tiven für Natur­wis­sen­schaftler und Infor­ma­tiker bei SRC. Am Stand wurden nahezu alle SRC-Dienst­leis­tungen nachge­fragt, egal ob Penetra­ti­ons­tests, Beratung und Zerti­fi­zierung von Infor­ma­ti­ons­si­cher­heits­ma­na­ge­nemt­sys­temen oder die Unter­stützung von Produkt­her­stellern bei Evalu­ie­rungen nach Common Criteria.

Rege disku­tiert wurde Sandro Amendola Vortrag auf dem IT-Sicher­heits­kon­gress 2019. Der Titel: „Gesetz­lichen Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“. Das hohe Tempo der Innovation auf der einen und die sich parallel entwi­ckelnden regula­to­ri­schen Anfor­de­rungen auf der anderen Seite bieten konti­nu­ier­lichen Stoff für Gespräche und Ausblicke auf zukünftige Trends.

Auch der Gastgeber des IT-Sicher­heits­kon­gress 2019, das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) (siehe Foto), machte an unserem Stand halt. Thilo Pannen ist für das Business Develo­pment bei SRC verant­wortlich. „Wir bei SRC freuen uns, dass wir das BSI seit vielen Jahren mit einer Bandbreite an Experten unter­stützen zu können“ sagte Thilo Pannen zur Begrüßung. Das ausführ­liche Gespräch mit dem BSI-Präsi­denten Arne Schönbohm berührte alle Punkte der umfang­reichen Koope­ration mit dem BSI. Sei es die Erstellung von Studien, die Unter­stützung bei den vielfäl­tigen BSI-Projekten oder die Arbeit von SRC als vom BSI anerkannte Prüfstelle. In seiner Funktion als Prüfstelle begut­achtet SRC nicht nur nach Common Criteria. Auch die Anfor­de­rungen zu den Techni­schen Domänen „Smart­cards and similar Devices“ und „Hardware Devices with Security Boxes“ werden von SRC erfüllt.
Eine derart umfang­reiche und komplexe Zusam­men­arbeit in einem so dynami­schen Umfeld erfordert die stetige Anpassung der Prozesse. „Wenn wir beim BSI zur weiteren guten Zusam­men­arbeit beitragen können, lassen Sie es mich wissen.“ sagte der BSI-Präsident zum Abschluss seines Besuchs auf dem Stand von SRC.

Janine Wolff

SRC leistet Beitrag zum Deutschen IT-Sicher­heits­kon­gress 2019

IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digitalisierung

Unter diesem Motto steht der diesjährige Deutsche IT-Sicher­heits­kon­gress, den das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) alle zwei Jahre ausrichtet. Der Kongress findet vom 21. bis 23. Mai 2019 in der Stadt­halle Bonn – Bad Godesberg statt. Das Ziel des diesjäh­rigen Kongresses ist es, das Thema IT-Sicherheit aus unter­schied­lichen Blick­winkeln zu beleuchten, Lösungs­an­sätze vorzu­stellen und weiterzuentwickeln.

SRC ist  beim Deutschen IT-Sicherheitskongress

Als vom BSI anerkannte Prüfstelle für Evalu­ie­rungen nach den Common Criteria (CC) und diversen anderen Techni­schen Richt­linien ist SRC auch 2019 mit einem Stand auf dem Deutschen IT-Sicher­heits­kon­gress vertreten. Damit bieten wir den Experten von Kunden, Partnern und denen des BSI erneut den seit vielen Jahren etablierten Anlauf­punkt auf dem Deutschen IT-Sicher­heits­kon­gress. Dieses Konzept hat sich seit Jahren bewährt. Das stabile persön­liche Netzwerk zwischen den Betei­ligten bietet die optimale Plattform zum Transfer der komplexen techni­schen und regula­to­ri­schen Aspekte.

SRC-Experte Sandro Amendola spricht über Compliance, mobile Zahlver­fahren und Kundenauthentifizierung

Der Siegeszug mobiler Zahlver­fahren dürfte nicht mehr aufzu­halten sein. Um die Sicherheit dieser Verfahren und die erfor­der­liche Kunden­au­then­ti­fi­zierung hat sich auch der Gesetz­geber intensiv Gedanken gemacht. Über „Gesetz­liche Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“ spricht Sandro Amendola am Donnerstag, den 23. Mai 2019 um 11:00 Uhr im großen Saal.

 

Tagung der Deutschen Physikalischen Gesellschaft
Janine Wolff

SRC bei Tagung der Deutschen Physi­ka­li­schen Gesellschaft

Die Tagung der Deutschen Physi­ka­li­schen Gesell­schaft e.V. (DPG) wurde vom 2. bis zum 5. April 2019 in Regensburg abgehalten. Diese Plattform nutzten verschiedene Unter­nehmen, um den Teilneh­menden ihre Arbeits­ge­biete und Karrie­re­mög­lich­keiten vorzustellen.

SRC wurde durch Dr. Benjamin Botermann und Jochen Schumacher vertreten. Die beide gaben den vielen inter­es­sierten Studie­renden aus dem In- und Ausland bereit­willig Auskunft über die vielfäl­tigen Karrie­re­mög­lich­keiten bei SRC. Der Vortrag „Vom Labor zur sicheren Trans­aktion – Vom Physiker zum SRC-Experten“ von Benjamin Botermann ermög­lichte detail­liertere Einblicke in einzelne Themen­felder. Mit gespanntem Interesse folgten die angehenden Physi­ke­rinnen und Physiker den vielfäl­tigen Karrie­re­mög­lich­keiten in der Infor­ma­ti­ons­si­cherheit. Das Interesse der Studie­renden schlug sich dann in den zahlreichen Gesprächen nieder, die nachfolgend am Infostand von SRC geführt wurden.

Tagung der Deutschen Physikalischen Gesellschaft

„Bargeld­loser Zahlungs­verkehr ist für viele ein unbekanntes Terrain, obwohl es jeder beinahe täglich nutzt“, stellte Jochen Schumacher fest. Umso mehr an Bedeutung gewinnt die Möglichkeit für Studie­rende, sich im Rahmen der Tagung der Deutschen Physi­ka­li­schen Gesell­schaft über die spannenden Themen­felder einer Infor­ma­ti­ons­si­cher­heits­firma und ihrer komplexen Tätig­keits­ge­biete infor­mieren zu können.

Unsere Themen & Lösungen finden Sie auf unserer Website. Sie inter­es­sieren sich für eine Karriere bei SRC? Hier gelangen Sie zu unseren aktuellen Stellen­an­ge­boten.

International Common Criteria Conference
Janine Wolff

SRC hält Vortrag zu JTEMS auf der Inter­na­tional Common Criteria Confe­rence in Amsterdam

Vom 30. Oktober bis zum 01. November findet die 17. Inter­na­tional Common Criteria Confe­rence in Amsterdam statt. Die Inter­na­tional Common Criteria Confe­rence wird mit Unter­stützung des Common Criteria Anwen­der­forums (CCUF) präsen­tiert. Die CCUF bietet einen Sprach- und Kommu­ni­ka­ti­ons­kanal zwischen der CC-Community und den Organi­sa­ti­ons­ko­mitees der Common Criteria, den CCRA-Mitglieds­or­ga­ni­sa­tionen (nationale Programme) und den politi­schen Entscheidungsträgern.

SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evalua­tions based on Common Criteria” wird das JTEMS Framework vorge­stellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basie­renden und Payment Scheme unabhän­gigen Evalu­ie­rungs- und Zerti­fi­zie­rungs­vor­ge­hens­weise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von inter­es­sierten Parteien aus der Privat­wirt­schaft (Deutsche Kredit­wirt­schaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskus­sionen der EU Kommission für ein „European Security Certi­fi­cation Scheme“ eingegangen.

In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäi­schen Kredit­wirt­schaft von Regine Quent­meier im Austausch mit Vertretern anderer Wirtschafts­be­reiche erörtert.

Mitarbeiterinterview
Janine Wolff

Vom Quanten­phy­siker zum Sicher­heits­ana­lysten bei SRC – Ein Mitarbeiterinterview

Das nachfol­gende Mitar­bei­ter­interview mit Dr. Max Hettrich gewährt einen Blick hinter die Kulissen von SRC. Wir bei SRC haben immer ein offenes Ohr für unsere Mitarbeiter/innen und freuen uns, dass wir Max zu seinem Werdegang und seiner Arbeit bei SRC befragen durften.

Hallo Max, steigen wir doch direkt ein. Welche Ausbildung hast Du?

Ich bin Physiker. Nach meinem Studium habe ich zunächst in der akade­mi­schen Forschung gearbeitet und zwar in der experi­men­tellen Quanten­optik. Da ging es viel um Laser, Vakuum­kammern, und eben Quanten­physik. Aber auch um Compu­ter­si­mu­la­tionen und digitale Messtechnik. Das IT-Thema war also schon immer da, wenn auch nicht an erster Stelle.

Wie bist Du auf SRC und die Stellen­an­zeige aufmerksam geworden und warum hast Du Dich bei SRC beworben?

Auf SRC bin ich über einen damaligen Arbeits­kol­legen aufmerksam geworden, der wiederum einen Mitar­beiter bei SRC kannte. Nachdem ich dann erfahren hatte, dass bei SRC Physiker durchaus gerne gesehen sind, und mich IT-Sicher­heits­themen schon immer inter­es­siert haben, war meine Neugier geweckt.

Wie lange bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC angefangen, vor einem knappen Jahr also.

Wie verlief Deine Einarbeitung?

Sehr sorgfältig durch­dacht und struk­tu­riert. Die Verant­wort­lichen haben sich wirklich genau überlegt, welche Projekte hierfür Frage kommen. Dabei hatte ich immer genug Freiraum, um heraus­zu­finden, welche Themen mir am meisten liegen. 

An welchen Themen arbeitest Du aktuell?

Zum einen beschäftige ich mich viel Compliance-Fragen im IT-Sicher­heits­umfeld, zum anderen mit Reverse Engineering von Software für mobile Geräte, um deren Sicherheit gegen verschiede Angriffs­sze­narien zu bewerten. Das sind zwei durchaus unter­schied­liche Themen­felder, die sich aber hervor­ragend ergänzen.

Was sind Deine wesent­lichen Aufgaben und Tätig­keiten im Arbeitsalltag?

In Compliance-Projekten geht es immer darum, das System eines Kunden zu analy­sieren, und zu bewerten, ob es regula­to­ri­schen Anfor­de­rungen genügt. Da kein System dem anderen gleicht, wird das nie langweilig.

Beim Reverse Engineering ist das Ziel, die Funktion von Software zu verstehen, und evtl. vorhandene verborgene Assets zu extra­hieren, ohne Zugriff auf den Quellcode zu haben. Das erfordert beispiels­weise das Lesen und analy­sieren von nativem Code oder auch das Debuggen und Instru­men­tieren von laufenden Programmen. 

Wie sieht Dein typischer Arbeits­alltag aus? Bist Du viel auf Reisen?

Meistens arbeite ich in meinem Büro in der SRC Geschäfts­stelle in Wiesbaden. Ich bin, untypisch für ein Beratungs­un­ter­nehmen, eher wenig auf Reisen, da sich die meisten Arbeiten einfach am besten erledigen lassen, wenn man vor Ort mit den Kollegen in direktem Kontakt steht.

Was gefällt Dir besonders bei SRC?

Besonders positiv finde ich die recht flache Hierarchie, und große Freiheit, was die Auswahl der Betäti­gungs­felder betrifft.

Und wie empfindest Du die Arbeits­at­mo­sphäre bei SRC?

Ich empfinde die Atmosphäre hier als überaus angenehm. Die Tatsache, dass SRC mit ca. 120 Mitar­beitern ein eher kleines Unter­nehmen ist, erlaubt eine recht zwanglose und direkte Kommu­ni­kation unter­ein­ander. Ich glaube, dass viele Konflikte dadurch erst gar nicht entstehen.

Stichwort Work-Life-Balance: Wie lässt sich bei SRC die Arbeit mit Deinem Privat­leben vereinbaren?

Das klappt wirklich prima! Unsere Arbeits­zeiten bei SRC sind flexibel, angefallene Überstunden werden immer proto­kol­liert, und können später ausge­glichen werden.

Was müssen Deiner Meinung nach Bewerber mitbringen, um bei SRC erfolg­reich zu sein?

Ich denke, das wichtigste ist ein ausge­prägtes analy­ti­sches Denken, und starke Eigen­in­itiative. Hat man in einem Tätig­keitsfeld der SRC bereits Erfahrung, ist das natürlich umso besser. Mein Eindruck ist aber, dass auch Genera­listen bei der SRC gerne gesehen sind. Man hat dann die Möglichkeit, sich je nach Bedarf das nötige Spezi­al­wissen zu enger umgrenzten Themen anzueignen.

Eine letzte Frage: Was würdest Du poten­zi­ellen Bewerbern raten?

Keine falsche Scheu! Ob einem die Tätig­keits­felder von SRC zusagen, kann man recht gut heraus­finden, wenn man sich ein bisschen auf der Website und unserem Karrie­re­portal umsieht. Falls das der Fall ist: Einfach mal seine Unter­lagen vorbeischicken!