Neue Technologien nutzen.
Mit Sicherheit.

Konzeption, Aufbau und Betrieb sicherer Transaktions- und Informationssysteme für nationale und internationale Kunden.
Know-how-Transfer im Rahmen individueller Seminare.

Lernen Sie SRC kennen ...

TOP Thema

Projekt: Erfolgreiche Evaluierung der Protectoria Secure Mobile Platform

SRC hat die Sicherheitsevaluierung der Protectoria Secure Mobile Platform durchgeführt.
Die Fa. Protectoria hat die Protectoria Secure Mobile Platform (PSMP) entwickelt, die es Zahlungsdienstleistern ermöglichen soll, sichere Bezahl-Apps auf einem Smartphone zur Verfügung zu stellen mit der einzigen Voraussetzung, dass eine Internetverbindung verfügbar ist.
SRC wurde als unabhängiger Gutachter beauftragt, eine Überprüfung der PSMP Lösung durchzuführen. Diese Sicherheitevaluierung basierte auf den Anforderungen des "ECB Assessment Guide" und der "EBA Guidelines for the Security of Internet Payments". Untersuchungsgegenstand war die Prüfung, inwieweit das Design der PSMP Lösung geeignet ist, die Anforderungen an die Komponentenauthentisierung, starke Kundenauthentisierung, die Nachrichtenintegrität, Kryptographische Verfahren und Vertraulichkeit sensibler Daten zu erfüllen. Im einem ersten Schritt wurde hierzu das Design auf konzeptioneller Ebene untersucht. 
SRC konnte bestätigen, dass "die PSMP Lösung die anwendbaren Anforderungen der EBA erfüllt und dass alle Anforderungen an starke Kundenauthentisierung eingehalten werden. Es wurde insbesondere festgestellt, dass die dynamischen Code Blocks und die Code Obfuscation Mechanismen (Code Verschleierung) dem System eine angemessene Komplexität geben. So ist der Code sehr schwer zu analysieren, auch wenn das Gerät mit Malware infiziert wurde.  Da die Code Blocks dynamisch geladen werden, ist die Zeitspanne für Codeänderungen sehr kurz. Die Annahmen über die Implementierung der PSMP Lösung haben der Untersuchung standgehalten."
Im nächsten Schritt wird Protectoria die PSMP Lösung eingehenden Sicherheitstests unterziehen. Dabei wird eine konkrete Pilot-Umsetzung in einem Banken-Audit untersucht.

Weitere Informationen zur Pressemitteilung finden Sie hier.

Möchten Sie auch Ihr Produkt einer Evaluierung unterziehen? Bitte kontaktieren Sie uns.

MaSI und ITSiG – in 10 Schritten zur Compliance

Neue Technologien eröffnen die Chance zur weiteren Digitalisierung von Geschäftsprozessen.
Banken sehen sich zunehmend Wettbewerbern gegenüber, die diese Technologien nutzen, um traditionelle Geschäftsprozesse im Banking neu zu denken und zu erfinden. Auch die Banken selbst haben längst damit begonnen, innovative Technologien zur Digitalisierung ihrer Geschäftsprozesse zu nutzen.
Dabei gilt es, die Risiken von Schadensfällen zu minimieren. Die nahezu unbegrenzt erscheinenden Möglichkeiten neuer Technologien bedeuten nämlich auch, dass neue Risikofelder und Abhängigkeiten entstehen. Mängel in der IT-Sicherheit bedeuten nicht nur finanzielle Einbußen aufgrund von Schäden, sondern können auch zu Imageverlusten oder zu einer zurückhaltenden Marktakzeptanz neuer Services führen. Es wird daher immer wichtiger, die IT-Sicherheit speziell im Zusammenhang mit Internet-Zahlungssystemen übergreifend zu steuern.
Diese Sichtweise hat sich 2015 auch die Regulierung zu eigen gemacht:
Mit Veröffentlichung der bankaufsichtlichen Anforderungen an die Absicherung von Internet-Zahlungen (MaSI), der Überarbeitung der Zahlungsdiensterichtlinie (PSD2) und dem Inkrafttreten des IT-Sicherheitsgesetzes hat sich 2015 eine veränderte Sichtweise ergeben. Diese geht – entsprechend dem Erfordernis aus Sicht der Bank zum übergreifenden Management der IT-Risiken – von der Etablierung einer umfassenden IT-Compliance-Funktion aus.
Es ist zu erwarten, dass aufgrund des veränderten Compliance-Verständnis der BaFin und der EBA in Zukunft ein ganzheitliches IT-Compliance-Management auf Grundlage allgemein anerkannter Standards (insb. ISO 27001, PCI DSS, IDW PS 880) erwartet wird.

Wir zeigen auf, wie ein Institut die MaSI-Anforderungen umsetzten und diese Umsetzung belegen kann. Gleichzeitig schafft das Institut so die Voraussetzungen zur Umsetzung eines weitergehenden IT-Sicherheitsmanagements , wie dies im Zusammenhang mit dem IT-Sicherheitsgesetz bzw. der BAIT erforderlich wird:
Hier können Sie unser Konzept zur Umsetzung der MaSI und des ITSiG kostenfrei herunterladen.

SRC bietet Audits gemäß § 11 Abs. 1a EnWG an

Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018. Die BNetzA hat hierfür im "Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen" Anforderungen an die Auditoren definiert, welche eine zusätzliche Qualifizierung benötigen.
Mitarbeiter der SRC haben erfolgreich an der ersten Qualifizierungsveranstaltung, welche gemeinsam von VDE und DVGW durchgeführt wurde, teilgenommen. Sie sind nun qualifiziert, Audits zur Zertifizierung des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG durchzuführen.
Weitere Informationen finden Sie auf der Seiten der Bundesnetzagentur.

ZER-QMS als Zertifizierungsstelle DIN ISO/IEC 27001:2015 akkreditiert

Seit dem 8. Juli ist die ZER-QMS aus Köln akkreditiert als Zertifizierungsstelle für die DIN ISO/IEC 27001:2015. Die Grundlage für die DIN ISO/IEC 27001:2015 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) ISO/IEC 27001:2013.

Mit der DIN ISO/IEC 27001:2015 können Informationssicherheits-Managementsysteme (ISMS) nach international anerkannten Regeln zertifiziert werden. Insbesondere im Zusammenhang mit dem IT-Sicherheitskatalog sowie dem IT-Sicherheitsgesetz nimmt die bedeutung dieses Standards zu.

SRC und ZER-QMS arbeiten bereits seit vielen Jahren in diversen Projekten im Bereich der Zertifizierung zusammen. Weitere Informationen finden Sie auf der Seite der ZER-QMS.