Die Bundesnetzagentur hat gemäß § 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen erstellt und veröffentlicht, der dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dient (IT-Sicherheitskatalog).
Link: www.bundesnetzagentur.de
Als Hilfe für das Absichern von Webanwendungen hat die Non-Profit-Organisation OWASP ein Handbuch für Entwickler herausgebracht, das bislang wenig beachtete Angriffe beschreibt.
Die Non-Profit-Organisation OWASP (Open Web Application Security Project) hat ein Handbuch herausgebracht, das Software-Entwicklern, -Architekten, -Testern und anderen im Kampf gegen eine wenig beachtete Kategorie von Schwachstellen helfen soll: den relevanten automatisierbaren Bedrohungen im Zusammenhang mit dem Missbrauch gültiger Funktionen. Das 72-seitige „OWASP Automated Threat Handbook Web Applications“ steht in Version 1.0 kostenlos als PDF zum Download bereit.
Link: www.heise.de
Die Technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation.
Die Basis für die Anforderungen der Technischen Richtlinie bildet ein von dem EMDA zu erstellendes und umzusetzendes Sicherheitskonzept. Ergänzt wird dieses von weiteren technischen Anforderungen an die Kommunikationssysteme des EMDA.
Zukünftig soll ein EMDA über eine Zertifizierung nach dieser Technischen Richtlinie den Nachweis erbringen können, dass er ein definiertes Sicherheitsniveau erreicht. Insgesamt wird durch die Zertifizierung eine Vergleichbarkeit der Sicherheit von EMDAn geschaffen.
Link: www.bsi.bund.de
Der Bundesrat hat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme am 10. Juli 2015 gebilligt. Es wird nun dem Bundespräsidenten zur Unterschrift vorgelegt und tritt in großen Teilen am Tag nach der Verkündung in Kraft.
Das Gesetz soll zu einer deutlichen Verbesserung der Sicherheit informationstechnischer Systeme führen. Um Defizite im Bereich der IT-Sicherheit abzubauen, verpflichtet es insbesondere Betreiber kritischer Infrastrukturen – wie zum Beispiel Einrichtungen der Energieversorgung oder des Gesundheitswesens – ein Mindestniveau an IT-Sicherheit einzuhalten. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Sicherheitsvorfälle künftig zu melden. Zudem werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet. Das Gesetz verbessert auch den Schutz der Bürgerinnen und Bürger im Internet.
Link: www.bundesrat.de
Der Deutsche Bundestag hat heute in 2. und 3. Lesung den Entwurf der Bundesregierung für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) abschließend beraten und mit großer Mehrheit angenommen. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.
Link: www.bmi.bund.de
Die DSAG hat zwei Handlungsempfehlungen mit Beispielszenarien und praktischen Tipps veröffentlicht. Zum einen wird erläutert, welche Risiken innerhalb von SAP ERP 6.0 lauern und wie die Wirksamkeit entsprechender Kontrollen am besten geprüft werden kann. Zum anderen beschreiben die Autoren, wie sich GRC Access Control sicher und wirksam einführen lässt. Dabei werden gesetzliche und fachliche Anforderungen im Rahmen eines optimalen Projektmanagements besonders hervorgehoben.
Link: www.dsag.de
Mit BMF-Schreiben vom 14. November 2014 – IV A 4 – S 0316/13/10003, BStBl I S. 1450 („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeich-nungen und Unterlagen in elektronischer Form sowie zum Datenzugriff [GoBD]“), wurden die BMF-Schreiben vom 7. November 1995 – IV A 8 – S 0316 – 52/95, BStBl I S. 738 („Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme [GoBS]“), und vom 16. Juli 2001 – IV D 2 – S 0316 – 136/01, BStBl I S. 415 („Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen [GDPdU]“), das durch BMF-Schreiben vom 14. September 2012 – IV A 4 – S 0316/12/10001, BStBl I S. 930, geändert wurde – mit Wirkung zum 1. Januar 2015 außer Kraft gesetzt. Auf die vorgenannten BMF-Schreiben bzw. auf die „GoBS“ und „GDPdU“ wird im Umsatzsteuer-Anwendungserlass an verschiedenen Stellen Bezug genommen.
Die Europäische Zentralbank (EZB) hat heute eine Verordnung über die Meldung aufsichtlicher Finanzinformationen veröffentlicht.
Die Verordnung legt die Regelungen und Verfahren für die Meldung aufsichtlicher Finanzinformationen durch beaufsichtigte Unternehmen an die nationalen zuständigen Behörden und die EZB fest. Institute, die die internationalen Rechnungslegungsstandards (International Financial Reporting Standards – IFRS) auf konsolidierter Ebene anwenden, sind bereits heute zur Meldung aufsichtlicher Finanzinformationen verpflichtet.
Ein vom Cyber-Sicherheitsrat Deutschland e.V. (CSRD e.V) bei der renommierten Berliner Anwaltskanzlei Knauthe in Auftrag gegebenes Gutachten offenbart alarmierende Zweifel an der Verfassungsmäßigkeit des Gesetzentwurfs der Bundesregierung. Die Verfassungsrechts-Experten Christoph Ahlhaus und Endrik Holzinger führen in einer umfassenden Stellungnahme detailliert sieben verfassungsrechtliche Bedenken auf, wie beispielsweise die fehlende Einbindung der informationstechnischen Strukturen des Bundes.
Die Auswirkungen der verschärften internationalen Eigenkapitalnormen und der neuen Liquiditätsstandards (Basel III) werden seit Anfang 2011 vom Baseler Ausschuss für Bankenaufsicht und von der Europäischen Bankenaufsichtsbehörde EBA auf halbjährlicher Basis im Rahmen des „Basel III-Monitoring“ beobachtet und analysiert. Heute werden die aktuellsten Ergebnisse dieser Studie veröffentlicht. Europaweit sind 148 Banken aus 18 EU-Mitgliedsländern daran beteiligt. Die Deutsche Bundesbank erhebt und prüft in diesem Zusammenhang die Daten von 44 deutschen Instituten. Dabei werden die Institute in zwei Gruppen eingeteilt: Zur Gruppe 1 zählen acht international tätige Institute mit einem Kernkapital von mindestens 3 Mrd. € gemäß aktueller Regulierung. Die übrigen 36 kleineren Institute werden der Gruppe 2 zugeordnet.
Link: www.bundesbank.de