SRC . Security Research & Consulting GmbH

Druckversion der Seite: SRC

Allianz für Cyber-Sicherheit

SRC bietet im Rahmen der Allianz für Cyber-Sicherheit Security Scans an!

SRC unterstützt als Partner die Allianz für Cyber Sicherheit, eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Bitkom. Weitere informationen finden Sie auf den Webseiten der Allianz.

IT-Sicherheit im Gesundheitswesen

Aufgrund der Vorgaben des IT-Sicherheitsgesetzes müssen von der BSI-KritisVO betroffene Krankenhäuser dem BSI bis zum 29.12.2017 eine Kontaktstelle benennen und bis zum 29. Juni 2019 den Nachweis zu erbringen, dass ein angemessenes Maß an IT-Sicherheit erreicht ist. Wir beraten KRITIS-Betreiber im Gesundheitswesen und sind als Prüfende Stelle vom BSI befähigt, die bis zum 29.06.2019 erforderlichen Prüfungen durchzuführen.

SRC ist nun ISTQB® Silver Partner !

Das ISTQB®-Partner Programm zeichnet Unternehmen aus, die ihr Engagement bei der Etablierung von Zertifizierungen im Software Testen demonstrieren. Als GTB Premium Partner nimmt SRC am ISTQB® Partner Programm teil und ist seit 2017 ISTQB ® Silver Partner.
SRC bietet "ISTQB® Certified-Tester Foundation Level" - Kurse an.

Akkreditierungen / Programme

SRC Academy

Kompetente Referenten informieren auf hohem inhaltlichen Niveau zu aktuellen Fragestellungen der IT-Sicherheit.

SRC Newsletter

Falls Sie Interesse an unserem Newsletter haben, können Sie sich hier anmelden.

 

Newsletter-Archiv

Zu unserem Newsletter-Archiv kommen Sie hier.

TOP Thema

Informationssicherheitsbeauftragte für Kreditinstitute

Für den wirtschaftlichen Erfolg eines Kreditinstituts ist eine sichere und effiziente IT unbedingt erforderlich. Kreditinstitute haben gemäß KWG und MaRisk dafür zu sorgen, dass ihre IT-Systeme und -Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Im Rahmen der „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ konkretisiert die BaFin die Anforderungen an die Funktion des Informationssicherheitsbeauftragten und stellt die Steuerung des IT-Sicherheitsprozesses in den Vordergrund.

Das gemeinsam mit dem Bank-Verlag durchgeführte Seminar unterstützt Sie als künftige Informationssicherheitsbeauftragte bei der Erfüllung Ihrer Aufgaben.

Das nächste Seminar findet vom 07. - 10. November 2017 in den Räumlichkeiten beim Bank-Verlag statt.

Weitere Details sowie ein Anmeldeformular finden Sie hier.

Seminar für Krankenhäuser - Das IT-Sicherheitsgesetz und die Kritis-VO

Mit der am 31.05.2016 durch die Bundesregierung verabschiedeten Rechtsverordnung zum IT-Sicherheitsgesetz (KRITIS-VO) entsteht nun auch für Krankenhäuser ein konkreter Handlungsbedarf. Vom IT-Sicherheitsgesetz sind diejenigen Krankenhäuser betroffen, die eine Kapazität von 30.000 vollstationären Behandlungsfällen pro Jahr aufweisen, dies sind schätzungsweise 110 Krankenhäuser in Deutschland. Aus dem IT-Sicherheitsgesetz resultiert verschiedener Handlungsbedarf. Spätestens bis Dezember 2017 ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn eine Kontaktstelle zu benennen, über welche sicherheitsrelevante Informationen empfangen und an das BSI gemeldet werden (§ 8b BSIG). Bis Juni 2019 ist zudem ein Mindestniveau an IT-Sicherheit sicherzustellen (§ 8a (1) BSIG) und dieses dem BSI gegenüber nachzuweisen (§ 8a (3)). In unserem Seminar geben wir Ihnen die Möglichkeit sich über das Thema "IT-Sicherheitsgesetz" zu informieren. Gemeinsam mit dem Institut Prof. Dr. Becker erläutern wir Ihnen Lösungsmöglichkeiten zum Umgang mit dem IT-Sicherheitsgesetz und bieten Ihnen Raum für Diskussionen und Gespräche mit unseren Experten und den anderen Teilnehmern.

Agenda und Anmeldeformular finden Sie hier.

Strukturierte Tests bei defizitärer Dokumentation - Wie man zwei Fliegen mit einer Klappe schlägt

Kennen Sie diese Situation? Unter hohem Zeitdruck soll ein Abnahmetest für ein historisch gewachsenes System vorgenommen werden. Die Ansprüche an die Testabdeckung sind hoch, die Dokumentation des Systems aber stellenweise leider lückenhaft. Dies sind häufig die Vorzeichen, unter denen fachliche Abnahmetests stattfinden.
Unsere Antwort auf diese Ansprüche ist eine spezielle Methodik der Testdokumentation, die eine Prüfvorschrift und eine daraus abgeleitete Testspezifikation vorsieht.
Mit dieser Methodik werden

SRC Experte Dr. Johannes Ueberberg hat zu diesem Thema einen Vortrag bei den " Software Quality Days" in Wien gehalten. Den Artikel zu seinem Vortrag finden Sie in unserem Downloadbereich.

Risikobewertung nach der EU Datenschutz-Grundverordnung

Im April dieses Jahres wurde ein neues Datenschutzrecht für den gesamten europäischen Rechtsraum geschaffen, die EU Datenschutz-Grundverordnung (DSGVO). Ab Mai 2018 findet dieses neue Rechtsregime unmittelbare Anwendung in allen Mitgliedstaaten der Europäischen Union und ersetzt nationales Datenschutzrecht. Datenverarbeitende Stellen in ganz Europa haben die neuen Vorschriften zu beachten.

Das neue Datenschutzrecht birgt sowohl Chancen als auch Risiken. Der Haftungsrahmen für Unternehmen bei Datenschutzverstößen oder Nichtbeachtung bestimmter Vorschriften der DSGVO wurde erheblich angehoben. Datenschutzrisiken richtig einzuschätzen und die entsprechenden Maßnahmen zu ergreifen, vermeidet aufwendige und kostenintensive Umstrukturierungen Ihrer IT-Landschaft, verringert Haftungs- und Bußgeldrisiken und sorgt so für Compliance im Datenschutz. Dafür sollten frühzeitig die richtigen Weichen gestellt werden!

Ein modernes Risikomanagement beinhaltet eine Analyse der Datenverarbeitungsprozesse Ihres Unternehmens unter Berücksichtigung der Anforderungen der DSGVO. Datenverarbeitungsprozesse, für die eine Datenschutz-Folgenabschätzung bzw. ein Privacy-Impact Assessment (PIA) nach der DSGVO zwingend vorgeschrieben ist, sollten identifiziert werden und die erforderlichen Datenschutz-Folgenabschätzungen zeitnah durchgeführt werden. Wir haben ein spezielles Konzept entwickelt, um sie dabei zu unterstützen! Nähere Informationenn finden Sie hier. Bei Fragen sprechen Sie uns gerne an.

Audits nach TR-03145 für Smart Meter Gateway Betreiber

Die Technische Richtlinie TR-03145 des Bundesamt für Sicherheit in der Informationstechnik definiert Anforderungen an sog. Certification Authorities (CAs) in einer Public Key Infrastruktur (PKI). Zudem dient die TR als Grundlage für den Audit- und Zertifizierungsprozess.

Die TR-03145 ist insbesondere für den Betrieb von Smart Meter Gateways relevant, da für die sichere Kommunikation mit den Gateways eine PKI genutzt wird. Smart Meter-CAs müssen sowohl

und sich nach beiden Normen zertifizieren lassen. Die BSI TR-03145 ist so ausgestaltet, dass die Zertifizierung nach der TR-03145 auf ein vorhandenes ISO 27001 Zertifikat aufsetzt.

Gemeinsam mit der ZER-QMS ist SRC in der Lage, Betreiber einer Smart Meter-CA in nur einem Prozessschritt sowohl nach ISO27001 als auch nach der TR-03145 zu zertifizieren. Bei Interesse setzen Sie sich bitte mit uns in Verbindung.

SRC Artikel zur Implementierung eines ISMS erscheint in "ew"

Die Einführung intelligenter Messtechnik stellt Smart Meter Gateway Administratoren (GWA) vor neue Herausforderungen mit Hinblick auf den Schutz und die Sicherung von Daten. Durch die neuen Messsysteme und deren Anbindung über öffentliche Kommunikationsnetzte entstehen nicht nur Vorteile, sondern auch Risiken, die es somit zu beachten gilt. Aktuell veröffentlicht die "ew",  die traditionsreichste Fachzeitschrift für die Energiewirtschaft Deutschlands, eine Spezial-Ausgabe zum Thema "Intelligente Messsysteme". SRC steuert einen informativen Artikel zur schrittweisen Implementierung eines ISMS nach ISO/IEC 27001 bei, den Sie ebenfalls hier lesen können.

MaSI und ITSiG – in 10 Schritten zur Compliance

Neue Technologien eröffnen die Chance zur weiteren Digitalisierung von Geschäftsprozessen.
Banken sehen sich zunehmend Wettbewerbern gegenüber, die diese Technologien nutzen, um traditionelle Geschäftsprozesse im Banking neu zu denken und zu erfinden. Auch die Banken selbst haben längst damit begonnen, innovative Technologien zur Digitalisierung ihrer Geschäftsprozesse zu nutzen.
Dabei gilt es, die Risiken von Schadensfällen zu minimieren. Die nahezu unbegrenzt erscheinenden Möglichkeiten neuer Technologien bedeuten nämlich auch, dass neue Risikofelder und Abhängigkeiten entstehen. Mängel in der IT-Sicherheit bedeuten nicht nur finanzielle Einbußen aufgrund von Schäden, sondern können auch zu Imageverlusten oder zu einer zurückhaltenden Marktakzeptanz neuer Services führen. Es wird daher immer wichtiger, die IT-Sicherheit speziell im Zusammenhang mit Internet-Zahlungssystemen übergreifend zu steuern.
Diese Sichtweise hat sich 2015 auch die Regulierung zu eigen gemacht:
Mit Veröffentlichung der bankaufsichtlichen Anforderungen an die Absicherung von Internet-Zahlungen (MaSI), der Überarbeitung der Zahlungsdiensterichtlinie (PSD2) und dem Inkrafttreten des IT-Sicherheitsgesetzes hat sich 2015 eine veränderte Sichtweise ergeben. Diese geht – entsprechend dem Erfordernis aus Sicht der Bank zum übergreifenden Management der IT-Risiken – von der Etablierung einer umfassenden IT-Compliance-Funktion aus.
Es ist zu erwarten, dass aufgrund des veränderten Compliance-Verständnis der BaFin und der EBA in Zukunft ein ganzheitliches IT-Compliance-Management auf Grundlage allgemein anerkannter Standards (insb. ISO 27001, PCI DSS, IDW PS 880) erwartet wird.

Wir zeigen auf, wie ein Institut die MaSI-Anforderungen umsetzten und diese Umsetzung belegen kann. Gleichzeitig schafft das Institut so die Voraussetzungen zur Umsetzung eines weitergehenden IT-Sicherheitsmanagements , wie dies im Zusammenhang mit dem IT-Sicherheitsgesetz bzw. der BAIT erforderlich wird:
Hier können Sie unser Konzept zur Umsetzung der MaSI und des ITSiG kostenfrei herunterladen.

SRC bietet Audits gemäß § 11 Abs. 1a EnWG an

Der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018. Die BNetzA hat hierfür im "Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen" Anforderungen an die Auditoren definiert, welche eine zusätzliche Qualifizierung benötigen.
Mitarbeiter der SRC haben erfolgreich an der ersten Qualifizierungsveranstaltung, welche gemeinsam von VDE und DVGW durchgeführt wurde, teilgenommen. Sie sind nun qualifiziert, Audits zur Zertifizierung des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG durchzuführen.
Weitere Informationen finden Sie auf der Seiten der Bundesnetzagentur.


SRC . Security Research & Consulting GmbH . Graurheindorfer Straße 149a . D-53117 Bonn
Tel.: +49(0)228 / 2806 - 0 . Fax: +49(0)228 / 2806 - 199 . info@src-gmbh.de . www.src-gmbh.de