Schlagwortarchiv für: IT Sicherheit

International Common Criteria Conference

SRC hält Vortrag zu JTEMS auf der Inter­na­tional Common Criteria Confe­rence in Amsterdam

Vom 30. Oktober bis zum 01. November findet die 17. Inter­na­tional Common Criteria Confe­rence in Amsterdam statt. Die Inter­na­tional Common Criteria Confe­rence wird mit Unter­stützung des Common Criteria Anwen­der­forums (CCUF) präsen­tiert. Die CCUF bietet einen Sprach- und Kommu­ni­ka­ti­ons­kanal zwischen der CC-Community und den Organi­sa­ti­ons­ko­mitees der Common Criteria, den CCRA-Mitglieds­or­ga­ni­sa­tionen (nationale Programme) und den politi­schen Entscheidungsträgern.

SRC wird auch in diesem Jahr aktiv an der Konferenz teilnehmen. Im Rahmen eines Vortrags unseres Experten Sven-Martin Hühne mit demTitel “JTEMS – a Payment Scheme Independent Framework for POI Terminal specific Security Evalua­tions based on Common Criteria” wird das JTEMS Framework vorge­stellt und der aktuelle „Stand der Dinge“ erläutert. Der Vortrag behandelt die Vorteile einer auf CC basie­renden und Payment Scheme unabhän­gigen Evalu­ie­rungs- und Zerti­fi­zie­rungs­vor­ge­hens­weise für POI Terminals. Das Framework ist ein gelebtes Beispiel für die aktive Nutzung der CC Methode von inter­es­sierten Parteien aus der Privat­wirt­schaft (Deutsche Kredit­wirt­schaft und UK Finance bzw. Common.SECC). Dabei wird auch auf die Möglichkeit der Einbettung des JTEMS-Framework in aktuellen Diskus­sionen der EU Kommission für ein „European Security Certi­fi­cation Scheme“ eingegangen.

In der Panel Diskussion „The Why and How of Using CC in Private Schemes“ werden diese Aspekte aus Sicht von Anwendern aus der europäi­schen Kredit­wirt­schaft von Regine Quent­meier im Austausch mit Vertretern anderer Wirtschafts­be­reiche erörtert.

Mitarbeiterinterview

Vom Quanten­phy­siker zum Sicher­heits­ana­lysten bei SRC – Ein Mitarbeiterinterview

Das nachfol­gende Mitar­bei­ter­in­terview mit Dr. Max Hettrich gewährt einen Blick hinter die Kulissen von SRC. Wir bei SRC haben immer ein offenes Ohr für unsere Mitarbeiter/innen und freuen uns, dass wir Max zu seinem Werdegang und seiner Arbeit bei SRC befragen durften.

Hallo Max, steigen wir doch direkt ein. Welche Ausbildung hast Du?

Ich bin Physiker. Nach meinem Studium habe ich zunächst in der akade­mi­schen Forschung gearbeitet und zwar in der experi­men­tellen Quanten­optik. Da ging es viel um Laser, Vakuum­kammern, und eben Quanten­physik. Aber auch um Compu­ter­si­mu­la­tionen und digitale Messtechnik. Das IT-Thema war also schon immer da, wenn auch nicht an erster Stelle.

Wie bist Du auf SRC und die Stellen­an­zeige aufmerksam geworden und warum hast Du Dich bei SRC beworben?

Auf SRC bin ich über einen damaligen Arbeits­kol­legen aufmerksam geworden, der wiederum einen Mitar­beiter bei SRC kannte. Nachdem ich dann erfahren hatte, dass bei SRC Physiker durchaus gerne gesehen sind, und mich IT-Sicher­heits­themen schon immer inter­es­siert haben, war meine Neugier geweckt.

Wie lange bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC angefangen, vor einem knappen Jahr also.

Wie verlief Deine Einarbeitung?

Sehr sorgfältig durch­dacht und struk­tu­riert. Die Verant­wort­lichen haben sich wirklich genau überlegt, welche Projekte hierfür Frage kommen. Dabei hatte ich immer genug Freiraum, um heraus­zu­finden, welche Themen mir am meisten liegen. 

An welchen Themen arbeitest Du aktuell?

Zum einen beschäftige ich mich viel Compliance-Fragen im IT-Sicher­heits­umfeld, zum anderen mit Reverse Engineering von Software für mobile Geräte, um deren Sicherheit gegen verschiede Angriffs­sze­narien zu bewerten. Das sind zwei durchaus unter­schied­liche Themen­felder, die sich aber hervor­ragend ergänzen.

Was sind Deine wesent­lichen Aufgaben und Tätig­keiten im Arbeitsalltag?

In Compliance-Projekten geht es immer darum, das System eines Kunden zu analy­sieren, und zu bewerten, ob es regula­to­ri­schen Anfor­de­rungen genügt. Da kein System dem anderen gleicht, wird das nie langweilig.

Beim Reverse Engineering ist das Ziel, die Funktion von Software zu verstehen, und evtl. vorhandene verborgene Assets zu extra­hieren, ohne Zugriff auf den Quellcode zu haben. Das erfordert beispiels­weise das Lesen und analy­sieren von nativem Code oder auch das Debuggen und Instru­men­tieren von laufenden Programmen. 

Wie sieht Dein typischer Arbeits­alltag aus? Bist Du viel auf Reisen?

Meistens arbeite ich in meinem Büro in der SRC Geschäfts­stelle in Wiesbaden. Ich bin, untypisch für ein Beratungs­un­ter­nehmen, eher wenig auf Reisen, da sich die meisten Arbeiten einfach am besten erledigen lassen, wenn man vor Ort mit den Kollegen in direktem Kontakt steht.

Was gefällt Dir besonders bei SRC?

Besonders positiv finde ich die recht flache Hierarchie, und große Freiheit, was die Auswahl der Betäti­gungs­felder betrifft.

Und wie empfindest Du die Arbeits­at­mo­sphäre bei SRC?

Ich empfinde die Atmosphäre hier als überaus angenehm. Die Tatsache, dass SRC mit ca. 120 Mitar­beitern ein eher kleines Unter­nehmen ist, erlaubt eine recht zwanglose und direkte Kommu­ni­kation unter­ein­ander. Ich glaube, dass viele Konflikte dadurch erst gar nicht entstehen.

Stichwort Work-Life-Balance: Wie lässt sich bei SRC die Arbeit mit Deinem Privat­leben vereinbaren?

Das klappt wirklich prima! Unsere Arbeits­zeiten bei SRC sind flexibel, angefallene Überstunden werden immer proto­kol­liert, und können später ausge­glichen werden.

Was müssen Deiner Meinung nach Bewerber mitbringen, um bei SRC erfolg­reich zu sein?

Ich denke, das wichtigste ist ein ausge­prägtes analy­ti­sches Denken, und starke Eigen­in­itiative. Hat man in einem Tätig­keitsfeld der SRC bereits Erfahrung, ist das natürlich umso besser. Mein Eindruck ist aber, dass auch Genera­listen bei der SRC gerne gesehen sind. Man hat dann die Möglichkeit, sich je nach Bedarf das nötige Spezi­al­wissen zu enger umgrenzten Themen anzueignen.

Eine letzte Frage: Was würdest Du poten­zi­ellen Bewerbern raten?

Keine falsche Scheu! Ob einem die Tätig­keits­felder von SRC zusagen, kann man recht gut heraus­finden, wenn man sich ein bisschen auf der Website und unserem Karrie­re­portal umsieht. Falls das der Fall ist: Einfach mal seine Unter­lagen vorbeischicken!

KRITIS 2018

Kriti­scher Tag 2018 | Wissen und Erfah­rungen im angeregten Austausch

Der Kritische Tag

Am 25. April 2018 fand der erste Kritische Tag im Konfe­renz­zentrum von SRC statt. Damit feierte eine Veran­stal­tungs­reihe ihre Premiere, die eine hochka­rätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unter­nehmen, die eine kritische Infra­struktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persön­licher Kontakte, sowie dem Austausch von Erfah­rungen und Best-Practices zur IT- und physi­schen Sicherheit kriti­scher Infrastrukturen.

Der Tages­ablauf

Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kriti­schen Tages dokumen­tierte der ausge­buchte Saal den Infor­ma­ti­ons­bedarf der Teilnehmer.

Hochka­rätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbe­reichs­lei­terin CK3 und Vertre­terin des Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), erläu­terte Vorgehen und Abläufe in der Aufsichts­be­hörde. Randolf Skerka, Bereichs­leiter bei SRC und Verant­wort­licher für das Thema Prüfung nach §8a (3) BSIG, schil­derte die ersten Erfah­rungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucks­volle Einblicke über die Entwicklung der Kranken­haus­or­ga­ni­sation zur Vorbe­reitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeut­lichte, dass fundierte Branchen­kom­petenz ein wesent­licher und unver­zicht­barer Grund­stein einer sinnvolle Prüfung ist.

Die Exper­ten­vor­träge vermit­telten den Teilnehmern eine 360°-Sicht auf die weitest­gehend und aus gutem Grund unscharf formu­lierten Anfor­de­rungen der BSI-Prüfungen.

Zum Abschluss des Vormittags schil­derte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kriti­ka­lität im Bereich künst­le­ri­schen Schaffens.

Der Nachmittag wurde vollum­fänglich den Inter­es­sens­schwer­punkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitor­ga­ni­sator bei SRC, wurde der Ablauf des Nachmit­tages gestaltet.

Die Teilnehmer organi­sierten eigen­ständig die vielfäl­tigen Inhalte für neun Sessions.

Die wichtigsten Ergeb­nisse des Nachmittags

Aus der Session „Zerti­fi­zie­rungs­fin­dings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassi­schen“ und bis ins letzte technische Detail ausfor­mu­lierten Findings bzw. Abwei­chungen erwartet. Sinnvoll ist ein grob beschrie­bener Rahmen der Abwei­chungen und die Beschreibung eines Handlungs­weges im Prüfbe­richt. Dennoch muss für jedes Risiko innerhalb einer kriti­schen Infra­struktur eine entspre­chende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.

Das BSI wünscht sich die enge Koope­ration mit den verschie­denen Kritis-Unter­nehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.

In der Session „Awareness für IT-Sicherheit im Unter­nehmen“ stellte Ralf Plomann die Methode und Maßnah­men­um­setzung im Klinikum Lünen vor. Wichtig sei hier der indivi­duelle Ansatz. Jeder Einzelne im Unter­nehmen sei für die IT-Sicherheit verant­wortlich. In der persön­lichen Ansprache müsse jeder Mitar­beiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richt­linien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekun­dar­stufe II beginnen.“ Im Verlauf der weiteren Session kristal­li­sierte sich ein klarer Trend zu eLearning-Platt­formen für die Verbes­serung der Awareness heraus.

In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favori­siert. Die als kritisch einge­stufte Dienst­leistung ist der beste Start­punkt zur Definition des Scope. Geht es beispiels­weise um die kritische Infra­struktur Klärwerk, muss zur Definition des Scope heraus­ge­funden und festge­halten werden, welche Systeme das Wasser klären, welche Auswir­kungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompen­siert und somit die kritische Dienst­leistung aufrecht erhalten werden kann.

Mit dieser Methode bewegt man sich syste­ma­tisch zum äußeren Perimeter. Gelangt man zu nicht mehr kriti­schen Systemen, ist die Grenze des Scopes erreicht.

Fazit des ersten „Kriti­schen Tag“ aus Sicht von SRC

Ausdruck der faszi­nie­renden Atmosphäre war die Weiter­führung der bilate­ralen Kommu­ni­kation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmel­dungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkennt­nisse aus anderen KRITIS-Projekten gewinnen konnten.

Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Infor­ma­tionen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement funda­mental zum Gelingen des kriti­schen Tages beitrugen.

Den Kriti­schen Tag betrachten wir als gelun­genes Experiment. Das motiviert uns, in die Vorbe­rei­tungen für eine Neuauflage einzusteigen.

SmartCard Workshop

SmartCard Workshop am 21. und 22. Februar 2018 in Darmstadt

Fokus des SmartCard Workshops

Der SmartCard Workshop findet am 21. und 22. Februar 2018 in Darmstadt statt. Er zählt zu den bedeu­tendsten Veran­stal­tungen für das Themenfeld Chipkarte in Deutschland. Die Teilnehmer stammen aus allen Bereichen der Industrie, der Wissen­schaft und der Politik. Sie schätzen insbe­sondere die technische Ausrichtung des Workshops und seine weitge­hende Neutra­lität. Der Workshop bietet Teilnehmern und Experten ein Forum, um neue Betriebs­sys­tem­kon­zepte und denkbare neue Features und Anwen­dungen vorzu­stellen, so wie den aktuellen Stand der Entwicklung, der Krypto­grafie, der Infor­ma­ti­ons­si­cherheit und der Normung zu diskutieren.

SRC Experte erläutert Authentifikationsverfahren

In diesem Jahr wird der SRC-Experte Sandro Amendola einen Vortrag zu sicher­heits­re­le­vanten und regula­to­ri­schen Frage­stel­lungen bei der „Regis­trierung von App-basierten Authen­ti­fi­ka­ti­ons­ver­fahren“ halten. Solche Authen­ti­ka­ti­ons­ver­fahren spielen in vielen digitalen Anwen­dungen ein große Rolle und haben insbe­sondere durch die Regulierung des Banken­marktes durch die PSD2 eine große Bedeutung für alle Nutzer von Online Banking Systemen erhalten.

Abend­ver­an­staltung mit Preisverleihung

Ein beson­deres Highlight bildet die Abend­ver­an­staltung. Hier wird in jedem Jahr jeweils ein Experte mit dem SmartCard-Preis für besondere Leistungen geehrt. Der Preis wird von Fraun­hofer SIT gestiftet.

SRC gestaltet SmartCard Workshop aktiv mit

SRC unter­stützt den Workshop als Sponsor und durch aktive Mitarbeit im Programm­beirat.

Bildquelle: Fraun­hofer SIT

Schlagwortarchiv für: IT Sicherheit