Schlagwortarchiv für: src bonn

IT-Sicher­heits­re­gu­lierung im Gesund­heits­wesen: Welche Regeln für die Cyber­se­curity gelten

Die Digita­li­sierung des Gesund­heits­sektors entwi­ckelt sich dynamisch: Digitale Produkte erobern den Markt; Künst­liche Intel­ligenz hält Einzug, Innova­tionen in Bereichen wie Pflege, Medizin, Genthe­rapie oder Nanotech­no­logie sind weitere Treiber. Gleich­zeitig ist die Markt­ein­führung neuer Healthcare-Produkte an strenge IT-Sicher­heits­be­stim­mungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beein­flussen. IT-Sicherheit wird umso wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken.

Kritische Infra­struk­turen: Die KRITIS-Verordnung

Besondere Anfor­de­rungen an die IT-Sicherheit gelten bereits für bestehende Einrich­tungen des Gesund­heits­wesens, sofern sie vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) als Kritische Infra­struk­turen klassi­fi­ziert sind. Im Gesund­heits­sektor betrifft das nicht nur die stationäre medizi­nische Versorgung, sondern auch die Versorgung mit unmit­telbar lebens­er­hal­tenden Medizin­pro­dukten, verschrei­bungs­pflich­tigen Arznei­mitteln, Blut- und Plasma­kon­zen­traten sowie die Labora­to­ri­ums­dia­gnostik ab einer bestimmten Größe. Die jewei­ligen Schwel­len­werte sind in der BSI-Kritis­ver­ordnung definiert. Als Richt­größe gilt hier der Regel­schwel­lenwert von 500.000 von der Einrichtung versorgten Personen.

Laut BSI-Gesetz (§ 8a) müssen die jewei­ligen Betreiber nach Stand der Technik angemessene organi­sa­to­rische und technische Vorkeh­rungen treffen, um Störungen der Verfüg­barkeit, Integrität, Authen­ti­zität und Vertrau­lichkeit ihrer maßgeb­lichen infor­ma­ti­ons­tech­ni­schen Systeme, Kompo­nenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicher­heits­audits, Prüfungen oder Zerti­fi­zie­rungen nachzu­weisen. Zusätzlich kann das BSI auch selbst Sicher­heits­über­prü­fungen durch­führen oder durch­führen lassen. Bei Nicht­ein­haltung der gesetz­lichen Vorgaben drohen empfind­liche Geldstrafen.

Ausweitung der Verordnung auf alle Kranken­häuser: KRITIS „light“

Seit Januar 2022 gelten diese IT-Sicher­heits­vor­gaben nicht nur für stationäre medizi­nische Einrich­tungen im Sinne der KRITIS-Verordnung, sondern für alle Kranken­häuser. Auch wenn die Nachweis­pflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadens­er­satz­for­de­rungen und Haftungs­ri­siken rechnen. Daher sollten die im Sozial­ge­setzbuch V (§ 75) hinter­legten Anfor­de­rungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orien­tierung bieten dabei die branchen­spe­zi­fi­schen Sicher­heits­stan­dards für die infor­ma­ti­ons­tech­nische Sicherheit der Gesund­heits­ver­sorgung im Krankenhaus.

Wann immer also in Kranken­häusern und Einrich­tungen der Kriti­schen Infra­struktur neue Systeme oder Kompo­nenten innerhalb der Kernfunk­tionen einge­setzt werden, sind diese auch unter KRITIS-Sicher­heits­aspekten zu bewerten und in die Prüfpro­zesse einzubeziehen.

Daten­si­cherheit: Ein Ziel – unter­schied­liche Verfahren

Der Schutz der für das Gemein­wesen wichtigen Kriti­schen Infra­struk­turen ist aber nur ein Aspekt der IT-Sicherheit im Gesund­heits­wesen. Da die Sicherheit der sensiblen Daten auch im Alltags­be­trieb jederzeit gegeben sein muss, sind in allen betrof­fenen Bereichen Cyber­se­curity-Anfor­de­rungen, Zulas­sungs­vor­aus­set­zungen und Prüfpro­zesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetz­lichen Rahmen­be­din­gungen dafür sind im Sozial­ge­setzbuch zusam­men­ge­fasst. Als nationale Behörde für Cyber­si­cher­heits­zer­ti­fi­zierung ist das BSI die zentrale Instanz. Aller­dings – und das macht es für Antrag­steller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zerti­fi­zie­rungs­prozess für die IT-Sicherheit von Gesundheitsprodukten.

Die IT-Sicher­heits­prü­fungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jewei­ligen Zulas­sungs­pro­zesse der verschie­denen Services einge­gliedert. Zuständig sind jeweils unter­schied­liche Insti­tu­tionen: Etwa die Gesell­schaft für Telematik für Anwen­dungen in der Telema­tik­in­fra­struktur oder das Bundes­in­stitut für Arznei­mittel und Medizin­pro­dukte für digitale Gesund­heits­an­wen­dungen, netzwerk­fähige Medizin­pro­dukte und Pflege­geräte – dazu im Folgenden einige Erläuterungen.

Telema­tik­in­fra­struktur: Mehrstufige Prüfprozesse

Zu den Heraus­for­de­rungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungs­er­bringern, Kosten­trägern und Versi­cherten. Die Digita­li­sierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommu­ni­kation und Abläufe dadurch erheblich zu beschleu­nigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telema­tik­in­fra­struktur (§ 306 SGB). Dienste wie die elektro­nische Patien­tenakte oder der E‑Medikationsplan setzen auf dieser inter­ope­rablen Kommu­ni­ka­tions- und Sicher­heits­ar­chi­tektur auf. Für Aufbau und Weiter­ent­wicklung der Telema­tik­in­fra­struktur (TI) ist die Gesell­schaft für Telematik, gematik, verant­wortlich, zu deren Aufgaben auch die Definition und Durch­setzung verbind­licher Standards für Dienste, Kompo­nenten und Anwen­dungen gehört.

Bei der IT-Sicher­heits­be­wertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Kompo­nenten und Dienste in einem mehrstu­figen Prüfungs­ver­fahren gemeinsam mit den Anbietern umfang­reichen Tests unter­zogen, bevor Sicher­heits­eva­lua­tionen oder genaue Sicher­heits­gut­achten erstellt werden. Die einzelnen Anfor­de­rungen sind in sogenannten Produkt­steck­briefen für die Zulassung der Anbieter in Anbie­ter­steck­briefen hinterlegt.

Auch nach der Zulassung wird der sichere und störungs­freie Betrieb überwacht. Eine unberech­tigte Nutzung der Telema­tik­in­fra­struktur wie auch die Nicht­meldung von Störungen oder Sicher­heits­mängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.

Video­sprech­stunde – Anbieter von Videodiensten

Während neue TI-Dienste wie die die elektro­nische Patien­tenakte (ePA) sicher noch etwas Zeit benötigen, um auch beim Versi­cherten anzukommen, sind mit Beginn der Pandemie die Nutzer­zahlen für andere digitalen Dienst­leistung förmlich explo­diert: 1,4 Millionen Video­sprech­stunden wurden allein im ersten Halbjahr 2020 durch­ge­führt. Im Jahr 2019 waren es dagegen erst knapp 3.000.

Voraus­setzung für eine Teilnahme als Video­dienst­an­bieter ist die Erfüllung aller Anfor­de­rungen an die techni­schen Verfahren. Die Anfor­de­rungen an Anbieter, Teilnehmer und Vertrags­ärzte wurden in einer entspre­chenden Verein­barung der Kassen­ärzt­lichen Bundes­ver­ei­nigung und des Spitzen­ver­bandes Bund der Kranken­kassen festgelegt.

Unter anderem muss die Kommu­ni­kation zwischen Patient und Arzt bzw. Pflege­kraft durch eine Ende-zu-Ende-Verschlüs­selung gesichert sein und der Video­dienst darf keine schwer­wie­genden Sicher­heits­ri­siken aufweisen. Die nötigen Nachweise und Zerti­fikate zur IT-Sicherheit sind in der Verein­barung im Einzelnen aufge­führt, Vorlagen für die Beschei­ni­gungen und der Frage­bogen mit Prüfkri­terien in der Anlage hinterlegt.

Digitale Gesund­heits­an­wen­dungen: Die App auf Rezept

Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesund­heits­an­wen­dungen (DiGA) sind definiert als Medizin­pro­dukte niedriger Risikoklassen zur Erkennung, Überwa­chung, Behandlung oder Linderung von Krank­heiten oder zur Erkennung, Behandlung, Linderung oder Kompen­sierung von Behin­de­rungen und Verlet­zungen. Die Haupt­funktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraus­setzung für eine Kosten­über­nahme durch die Kranken­kassen ist die Aufnahme im Verzeichnis des Bundes­in­stituts für Arznei­mittel und Medizin­pro­dukte (BfArM).

Für diese Beantra­gungen wurde ein dreimo­na­tiges Fast-Track-Verfahren aufge­setzt, die entspre­chenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grund­sätz­liche Vorgaben zur Daten­si­cherheit sind in der Digitalen Gesund­heits­an­wen­dungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Infor­ma­ti­ons­si­cher­heits­ma­nagement-System auf Basis des BSI-Standard 200–2: IT-Grund­schutz-Methodik. Hilfe­stellung bietet zudem die Technische Richt­linie des BSI zu Sicher­heits­an­for­de­rungen an digitale Gesund­heits­an­wen­dungen.

Regulie­rungs­bedarf bei vernetzten Medizinprodukten

Regulie­rungs­bedarf besteht derzeit noch bei netzwerk­fä­higen Medizin­pro­dukten. Anders als bei den rein digitalen Gesund­heits­an­wen­dungen sind Digital­funk­tionen hier meist als Ergän­zungen zur bestehenden medizi­ni­schen Grund­funktion integriert. Daraus ergibt sich ein äußerst breites und hetero­genes Anwen­dungs­spektrum. Zum Teil sind die IT-Sicher­heits­an­for­de­rungen auch schwie­riger zu adres­sieren, denn diese Netzwerk­funk­tionen werden häufig über Dritt­an­bieter zugekauft und sind noch nicht bei allen Unter­nehmen auch in die Quali­täts­si­che­rungs­pro­zesse einge­bunden. Gleichwohl sind sie als Anbieter haftbar.

Grund­le­gende Anfor­de­rungen an Cyber-Sicher­heits­ei­gen­schaften von Medizin­pro­dukten wurden erstmals in der EU-Verordnung 2017/745 über Medizin­pro­dukte definiert, die in Deutschland durch das Medizin­pro­dukte­recht-Durch­füh­rungs­gesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehal­tenen – Vorgaben zur IT-Sicherheit helfen Richt­linien und Verfah­rens­an­lei­tungen wie:

- Guideline der Medical Device Coordi­nation Group
Leitfaden zur Nutzung des MDS2 (Manufac­turer Disclosure Statement)
Herstel­ler­emp­fehlung zu Cyber-Sicher­heits­an­for­de­rungen an netzwerk­fähige Medizinprodukte.

Das BSI hat die Cyber­si­cherheit vernetzter Medizin­pro­dukte unter­sucht und in seinem Abschluss­be­richt dazu auch die anste­henden Aufgaben formu­liert. Die Weiter­ent­wicklung der Regula­torik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innova­tionen zum Durch­bruch zu verhelfen und ihre schnelle und sichere Markt­ein­führung zu fördern.

Autor: Randolf Skerka, SRC GmbH

ICPS 2019

SRC auf der ICPS 2019 im Dialog mit Studie­renden der Physik

SRC auf der ICPS 2019 Jobfair

Auf der ICPS 2019 in Köln treffen sich Studie­rende der Physik zum 34. Mal. Die am Dienstag, den 13. August 2019, statt­fin­dende „Jobfair“ bietet dazu den Rahmen.

SRC nutzt die ICPS 2019, um Physikern und Physi­ke­rinnen Einblicke in und den Austausch über die vielfäl­tigen Themen­felder der IT-Sicherheit zu ermög­lichen. Die SRC-Experten erläutern die Heraus­for­de­rungen der Techno­lo­gie­be­gut­achtung an Beispielen, wie mobile Bezahl­me­thoden, künst­liche Intel­ligenz und ähnlichen Themen­ge­bieten. Dazu ist eine ausge­prägter Instinkt für poten­zielle Fehler­quellen in komplexen Umfeldern, die Kompetenz zur Findung von Lösungen und der Wille zu deren Umsetzung erfor­derlich. Vor allem Studie­rende mit physi­ka­li­schem Hinter­grund bringen diese wertvollen Eigen­schaften mit. Wie aus diesen Eigen­schaften eine Karriere entstehen kann, darüber berichtete bereits Dr. Max Hettrich im Interview „Vom Quanten­phy­siker zum Sicher­heits­ana­lysten bei SRC“.

Von Studie­renden für Studierende

Die ICPS findet in jedem Jahr eine neue Heimat. So haben mehr als 500 Studie­rende und Promo­vie­rende der Physik aus über 50 Nationen nicht nur die Möglichkeit zum fachlichen Austausch; sie lernen auch Kultur und Menta­lität des jewei­ligen Gastge­ber­landes kennen. Die ICPS wird durch die jewei­ligen Studie­ren­den­ver­ei­ni­gungen des gastge­benden Landes ausge­richtet. In diesem Jahr hat das Organi­sa­ti­onsteam aus Mitgliedern der jungen Deutschen Physi­ka­li­schen Gesell­schaft, des Instituts für Theore­tische Physik der Univer­sität zu Köln und der Bonn-Cologne Graduate School of Physics and Astronomy ein Programm vorbe­reitet, das sich über 8 Tage erstreckt.

Matthias Dahlmanns ist Projekt­ko­or­di­nator der ICPS 2019 und gleich­zeitig Werkstudent bei SRC. „Die Organi­sation der ICPS 2019 zu koordi­nieren, ist eine tolle Erfahrung. Die Teilnahme von SRC freut mich persönlich besonders!“ sagt Matthias Dahlmanns. Auch Dr. Benjamin Botermann, Senior Consultant Test & Quali­täts­si­cherung, freut sich auf den Austausch mit den vielen inter­es­sierten Physik­stu­die­renden: „Ich bin sehr gespannt auf die ICPS Jobfair. Als Physiker finde ich mich in der Arbeit bei SRC absolut wieder. Ich freue mich auf den Austausch mit den angehenden Physi­ke­rinnen und Physikern. Im persön­lichen Gespräch spreche ich gern über die vielfäl­tigen Tätig­keits­felder der SRC und stelle mich den zahlreichen und detail­lierten Fragen.“

SRC leistet Beitrag zum Deutschen IT-Sicher­heits­kon­gress 2019

IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digitalisierung

Unter diesem Motto steht der diesjährige Deutsche IT-Sicher­heits­kon­gress, den das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) alle zwei Jahre ausrichtet. Der Kongress findet vom 21. bis 23. Mai 2019 in der Stadt­halle Bonn – Bad Godesberg statt. Das Ziel des diesjäh­rigen Kongresses ist es, das Thema IT-Sicherheit aus unter­schied­lichen Blick­winkeln zu beleuchten, Lösungs­an­sätze vorzu­stellen und weiterzuentwickeln.

SRC ist  beim Deutschen IT-Sicherheitskongress

Als vom BSI anerkannte Prüfstelle für Evalu­ie­rungen nach den Common Criteria (CC) und diversen anderen Techni­schen Richt­linien ist SRC auch 2019 mit einem Stand auf dem Deutschen IT-Sicher­heits­kon­gress vertreten. Damit bieten wir den Experten von Kunden, Partnern und denen des BSI erneut den seit vielen Jahren etablierten Anlauf­punkt auf dem Deutschen IT-Sicher­heits­kon­gress. Dieses Konzept hat sich seit Jahren bewährt. Das stabile persön­liche Netzwerk zwischen den Betei­ligten bietet die optimale Plattform zum Transfer der komplexen techni­schen und regula­to­ri­schen Aspekte.

SRC-Experte Sandro Amendola spricht über Compliance, mobile Zahlver­fahren und Kundenauthentifizierung

Der Siegeszug mobiler Zahlver­fahren dürfte nicht mehr aufzu­halten sein. Um die Sicherheit dieser Verfahren und die erfor­der­liche Kunden­au­then­ti­fi­zierung hat sich auch der Gesetz­geber intensiv Gedanken gemacht. Über „Gesetz­liche Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“ spricht Sandro Amendola am Donnerstag, den 23. Mai 2019 um 11:00 Uhr im großen Saal.

 

Tagung der Deutschen Physikalischen Gesellschaft

SRC bei Tagung der Deutschen Physi­ka­li­schen Gesellschaft

Die Tagung der Deutschen Physi­ka­li­schen Gesell­schaft e.V. (DPG) wurde vom 2. bis zum 5. April 2019 in Regensburg abgehalten. Diese Plattform nutzten verschiedene Unter­nehmen, um den Teilneh­menden ihre Arbeits­ge­biete und Karrie­re­mög­lich­keiten vorzustellen.

SRC wurde durch Dr. Benjamin Botermann und Jochen Schumacher vertreten. Die beide gaben den vielen inter­es­sierten Studie­renden aus dem In- und Ausland bereit­willig Auskunft über die vielfäl­tigen Karrie­re­mög­lich­keiten bei SRC. Der Vortrag „Vom Labor zur sicheren Trans­aktion – Vom Physiker zum SRC-Experten“ von Benjamin Botermann ermög­lichte detail­liertere Einblicke in einzelne Themen­felder. Mit gespanntem Interesse folgten die angehenden Physi­ke­rinnen und Physiker den vielfäl­tigen Karrie­re­mög­lich­keiten in der Infor­ma­ti­ons­si­cherheit. Das Interesse der Studie­renden schlug sich dann in den zahlreichen Gesprächen nieder, die nachfolgend am Infostand von SRC geführt wurden.

Tagung der Deutschen Physikalischen Gesellschaft

„Bargeld­loser Zahlungs­verkehr ist für viele ein unbekanntes Terrain, obwohl es jeder beinahe täglich nutzt“, stellte Jochen Schumacher fest. Umso mehr an Bedeutung gewinnt die Möglichkeit für Studie­rende, sich im Rahmen der Tagung der Deutschen Physi­ka­li­schen Gesell­schaft über die spannenden Themen­felder einer Infor­ma­ti­ons­si­cher­heits­firma und ihrer komplexen Tätig­keits­ge­biete infor­mieren zu können.

Unsere Themen & Lösungen finden Sie auf unserer Website. Sie inter­es­sieren sich für eine Karriere bei SRC? Hier gelangen Sie zu unseren aktuellen Stellen­an­ge­boten.

Informationssicherheitsbeauftragte für Kreditinstitute

Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 19. bis 22. November 2019

BAIT-Compliance: Einsatz eines Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB)

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in ihren IT-Systeme und ‑Prozessen. Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) in ihrer Richt­linie die neu einzu­rich­tende Funktion  “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte für Kredit­in­stitute” (ISB). Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäftsleitung.

6. Zerti­fi­kats­lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kreditinstitute”

In Koope­ration mit dem Bank-Verlag hat SRC bereits fünf Zerti­fi­kats­lehr­gänge zu “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 19. bis 22. November 2019 haben Sie erneut die Möglichkeit, sich in den Räumen der Bank-Verlag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Schulung durch erfahrene Experten

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Deutschland) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Dr. Deniz Ulucay. Die Experten infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 18. November 2019 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

 

Webseite zum Lehrgang

Online-Anmeldung
NextGenPSD2-Zertifizierung

NextGenPSD2-Zerti­fi­zierung | SRC startet Audits für XS2A

Sind Sie bereit für eine Zerti­fi­zierung Ihrer NextGenPSD2-Implementierung?

Die überar­beitete Zahlungs­ver­kehrs­diens­te­richt­linie (PSD2) verpflichtet Banken, autori­sierten Dritt­an­bietern den Zugang zu Kunden­daten zu ermög­lichen. Diese Dritt­an­bieter (TPP) sollen über eine Program­mier­schnitt­stelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungs­in­iti­ie­rungs- und Konto­in­for­ma­ti­ons­dienste anzubieten. Die NextGenPSD2-Zerti­fi­zierung fördert die Imple­men­tierung auf eines einheit­lichen Standards.

Die meisten Banken und API-Anbieter in Europa imple­men­tieren die XS2A-Schnitt­stelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmo­ni­sierte Lösung zur Imple­men­tierung der PSD2 Vorgaben für die XS2A-Schnittstelle.

Die korrekte Imple­men­tierung der XS2A-Schnitt­stelle befreit das Institut von der Imple­men­tierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Imple­men­tation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfall­ka­talog, Compliance Best Practices und Testtool-Anfor­de­rungen. Das imple­men­tie­rende Institut bewertet seine Arbeit selbst. Damit ist die Imple­men­tierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigen­be­wertung gegenüber der Aufsichts­be­hörde (NCA) als ausrei­chend betrachtet wird.

Warum Sie eine NextGenPSD2-Zerti­fi­zierung durch­führen sollten?

Die Eigen­be­wertung der NextGenPSD2-Imple­men­tierung bietet bereits ein hohes Maß an Qualität. Unter­schied­liche Inter­pre­ta­tionen der Spezi­fi­kation können jedoch zu Inter­ope­ra­bi­li­täts­pro­blemen führen. Zwischen Banken und Dritt­an­bietern existiert derzeit kein dokumen­tiertes Verständnis über die genaue Imple­men­tierung der XS2A-Schnitt­stelle. Damit steigt die Wahrschein­lichkeit, dass die zuständige Aufsichts­be­hörde der Banken die Freistellung von der Imple­men­tierung einer Fallback-Schnitt­stel­len­lösung verweigert.

Aus dem Engagement bei Spezi­fi­kation und Imple­men­tierung der XS2A-Schnitt­stelle im Rahmen von NISP verfügt SRC über eine umfang­reiche und detail­lierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zerti­fi­zierung erarbeitet.

Wie läuft der Prozess zur NextGenPSD2-Zerti­fi­zierung ab?

Voraus­setzung für die NextGenPSD2-Zerti­fi­zierung sind der Testfall­ka­talog, das Imple­men­tie­rungs­profil und die Testspe­zi­fi­kation des imple­men­tie­renden Instituts. Diese Voraus­set­zungen nutzt SRC, um ein vollstän­diges Funktions‑, Sicher­heits- und Belas­tungs­audit der NextGenPSD2-Imple­men­tierung durchzuführen.

Audit-Validierung

In der Validierung wird die Imple­men­tierung gegen die Anfor­de­rungen der Dokumen­tation geprüft.

Funktio­naler Teil

Im Funkti­onsteil werden die Testspe­zi­fi­ka­tionen ausge­führt und die Ergeb­nisse überprüft.

Nicht-funktio­naler Teil

Im nicht-funktio­nalen Teil wird die Verfüg­barkeit der Imple­men­tierung (Stresstest) an relevanten Punkten ermittelt und bewertet.

Security Test

Im Security Test werden Methoden des Penetra­ti­ons­testens genutzt. Es wird überprüft, ob die Imple­men­tierung der XS2A-Schnitt­stelle Kunden­daten und Trans­ak­tionen ausrei­chenden Schutz vor Betrugs­ver­suchen bietet.

Die Zerti­fi­zierung wird in einem abschlie­ßenden Bericht dokumen­tiert. Wenn alle Anfor­de­rungen mindestens ausrei­chend erfüllt sind, erhält das Institut ein SRC-Zerti­fikat. Mit diesem Zerti­fikat kann die Konfor­mität der imple­men­tierten XS2A-Schnitt­stelle gegenüber Dritten und der Aufsichts­be­hörde nachge­wiesen werden. Auf Basis der ersten Zerti­fi­zierung können zukünftig ggf. Regres­si­ons­audits durch­ge­führt werden.

SRC-Beratungs­leis­tungen zur Entwick­lungs­op­ti­mierung oder zur Erstellung der Testspe­zi­fi­kation können zur Vorbe­reitung der NextGenPSD-Zerti­fi­zierung genutzt werden.

Warum SRC?

Als Mither­aus­geber des NextGenPSD2 Frame­works und des NISP Testing Frame­works verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbun­denen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testum­ge­bungen mit vielen lizen­zierten Auditoren für mehrere Funktions- und Sicher­heits­be­wer­tungen nach formalen Zerti­fi­zie­rungs­schemata. Infol­ge­dessen ist SRC in der Lage, mit überschau­barem Aufwand ein quali­tativ hochwer­tiges Audit durchzuführen.

Sie sind an einer NextGenPSD2 Zerti­fi­zierung inter­es­siert? Dann schreiben Sie an info@src-gmbh.de.

CDCVM

CDCVM | SRC als Sicher­heits­gut­achter für CDCVM-Lösungen zugelassen

Bei jeder Zahlung muss die Identität des Bezah­lenden zweifelsfrei sicher­ge­stellt sein. Dazu fordern etablierte karten­ba­sierte Bezahl­ver­fahren den Bezah­lenden in der Regel zur Eingabe seiner PIN auf. Mobile, auf Smart­phones imple­men­tierte Bezahl­systeme verlagern diese Prüfung vom Terminal des Händlers auf das Smart­phone des Bezah­lenden. Dabei kommen zunehmend biome­trische Verfahren, wie die Prüfung des Finger­ab­drucks, der Iris, der Stimme oder der Abgleich mit dem Gesicht des Benutzers, zum Einsatz. CDCVM widmet sich der Sicherheit dieser Technologie.

Die Verei­nigung der inter­na­tio­nalen Zahlungs­systeme EMVCo treibt die Umsetzung von Standards für weltweite Inter­ope­ra­bi­lität, Akzeptanz und Sicherheit von Zahlungen voran. EMVCo hat am 15. März 2019 einen neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen (Consumer Devicer Cardholder Verifi­cation Method) – pdf auf Basis ihrer Sicher­heits­an­for­de­rungen – pdf angekündigt. Das zugehörige Best Practices-Dokument – pdf legt die Richt­linien für Funktions- und Leistungs­ver­halten von biome­tri­schen Authen­ti­fi­zie­rungs­ver­fahren im Zahlungs­verkehr fest. So wird eine einheit­liche Benut­zer­er­fahrung und globale Inter­ope­ra­bi­lität gefördert.

Mit der langjäh­rigen Akkre­di­tierung bei EMVCo, MasterCard und VISA greift SRC auf einen umfang­reichen Erfah­rungs­schatz bei der Sicher­heits­be­gut­achtung von Bezahl­lö­sungen zurück. SRC unter­stützt selbst­ver­ständlich auch den neuen Sicher­heits­eva­lu­ie­rungs­prozess für CDCVM-Lösungen. Lösungs­an­bietern im Mobile Payment-Bereich haben damit die Möglichkeit, SRC-Expertise ganzheitlich für die Begut­achtung ihrer mobilen Software-Imple­men­tie­rungen zu nutzen und eine erfolg­reiche Zerti­fi­zierung bei EMVCo zu durchlaufen.

Transakt

Transakt entspricht dem EBA-RTS

SRC bestätigt der Mobile Banking Lösung Transakt von Entersekt Konfor­mität mit dem EBA-RTS

Weiter­lesen

Informationssicherheitsbeauftragte/r für Kreditinstitute

Zerti­fikats-Lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 6. bis 9. November 2018

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in  ihren IT-Systeme und ‑Prozessen . Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in Ihrer Richt­linie die neu einzu­rich­tende Funktion “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte”. Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichten direkt an die Geschäftsleitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits drei Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 6. bis zum 9. November 2018 haben Sie erneut die Möglichkeit sich in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Trinkaus & Burkhardt AG) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Randolf Skerka und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management eingegangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kreditinstitute“.

Optional haben Sie die Möglichkeit sich am 5. November 2018 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Informationstechnik.

Web-Seite zum Lehrgang
Online-Anmeldung
Flyer zum Lehrgang
CSCUBS 2018

SRC unter­stützt die 5th Computer Science Confe­rence for University of Bonn Students – CSCUBS 2018

SRC freut sich, die 5th Computer Science Confe­rence for University of Bonn Students  – CSCUBS 2018, die am 16. Mai 2018 statt­findet, zu unterstützen.

Förderung der Forschung und des wissen­schaft­lichen Austauschs

Die CSCUBS 2018 wird von Dokto­ran­dinnen, Dokto­randen und Master-Studie­renden organi­siert. Ihr Ziel ist die Förderung der Forschung in der Infor­matik, so wie der wissen­schaft­lichen Austausch zwischen Studie­renden, Forschenden und Praktikern. „Die CSCUBS ist eine Initiative aus der Mitte der Studie­renden, die SRC gern unter­stützt“, sagt Detlef Kraus, Prokurist bei SRC. „Und gerade der fachliche Austausch zwischen Forschung, Praxis und Lehre ist dringend geboten, wenn unsere Gesell­schaft den Heraus­for­de­rungen der IT-Sicherheit souverän begegnen will“, so Kraus weiter.

Anknüp­fungs­punkt für persön­lichen und fachlichen Austausch

Die 5. Infor­ma­tik­kon­ferenz für Studie­rende der Univer­sität Bonn (CSCUBS 2018) gibt Univer­si­täts­pro­jekten, Disser­ta­tionen und Ergeb­nissen aus Forschung, Entwicklung und Praxis im Bereich der Infor­matik eine Plattform. Die Konferenz findet am 16. Mai 2018 an der Univer­sität Bonn statt. SRC unter­stützt die Veran­staltung nicht nur als Sponsor. Wir werden auch mit einem Stand präsent sein, um dem persön­lichen und fachlichen Austausch einen Anknüp­fungs­punkt zu bieten.

Präsen­tation eines Projekt­er­geb­nisses bei der CSCUBS 2018 inklusive

Außerdem wird SRC aus der Vielzahl ihrer Projekte ein Ergebnis anlässlich der CSCUBS vorstellen. Die Praxis liefert oftmals überra­schende Forschungs­an­sätze und spannende Erkennt­nisse. Die CSCUBS ist SRC eine willkommene Plattform, um unsere Arbeit einem inter­es­sierten, jungen und fachkun­digen Exper­ten­kreis vorzu­stellen und darüber in Austausch zu treten. Vielleicht ergeben sich aus den vielen Gesprächen auch quali­fi­zierte Ansatz­punkte, um die auf der CSCUBS 2018 versam­melte Expertise in gemein­samer Projekt­arbeit zu nutzen.