Message

Thursday, 30-11-2017, 07:19 am

TeleTrusT-Information: Mitglieder und Aktivitäten

Verbandsnachrichten, 30.11.2017

1) TeleTrusT begrüßt 8 neue Verbandsmitglieder
2) Digitalisierung von Wirtschaft und Behörden absichern: IT-Sicherheitsbranche und Wirtschaftsverbände fordern Milliardeninvestitionen
3) Anforderungen an einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit: TeleTrusT kritisiert Pläne der EU-Kommission und fordert Änderungen
4) Europaweite Anerkennung der Online-Ausweisfunktion erfolgreich abgeschlossen
5) ETSI publishes cybersecurity advice on NIS Directive
6) ISO-Verschlüsselungsstandardisierung: Misstrauen gegen NSA-Vorschläge
7) IEEE eröffnet Europa-Sitz bei Austrian Standards in Wien
8) 100 Jahre DIN
9) TeleTrusT: Politische Aktivitäten (Auswahl)
10) Personalie: Dirk Weiler/ETSI
11) Neuer Leitfaden: IT-Sicherheit im Gesundheitswesen
12) TeleTrusT-Tagungsband zum "Informationstag 'Blockchain'" veröffentlicht
13) Bundesverband Blockchain veröffentlicht Positionspapier
14) TeleTrusT+Cluster Automation & Mechatronik: Workshop zu "Industrial Security" (Rückschau)
15) TeleTrusT auf it-sa 2017: Blockchain, ITSiG, Deutsch-Französischer Workshop (Rückschau)
16) Ab 2018 it-sa India in Mumbai mit Unterstützung von TeleTrusT
17) TeleTrusT/BvD: IT-Sicherheitsrechtstag 2017 in Berlin (Rückschau)
18) TeleTrusT-Innovationspreis 2017 für Steen Harbach AG
19) Vorträge im Namen von TeleTrusT
20) Medienbeiträge mit TeleTrusT-Bezugnahme
21) Nächste TeleTrusT-Gremiensitzungen

---

Sehr geehrte Damen und Herren,

► 1) TeleTrusT begrüßt 8 neue Verbandsmitglieder

Mit 47 Neumitgliedern 2017 verzeichnet TeleTrusT den größten jährlichen Mitgliederzuwachs in der Verbandshistorie. TeleTrusT hat jetzt 317 Mitglieder.

■ CGM Deutschland AG, Koblenz
Die CompuGroup Medical Deutschland AG ist eine Tochtergesellschaft der CompuGroup Medical SE, einem international operierenden eHealth-Unternehmen. Die CGM Deutschland richtet ihre Kerntätigkeiten auf die Konzeption und Entwicklung effizienzsteigernder Produkte, Dienstleistungen und Technologien für das gesamte deutsche Gesundheitswesen, insbesondere für die Ärzteschaft. Darüber hinaus bietet die CGM Deutschland eHealth-Managementlösungen für die Bereiche MVZ, Soziale Einrichtungen, Labore sowie Fach- und Rehakliniken. www.cgm.com

■ PIO Security GmbH (Patronus), Berlin
PIO Security ist ein innovationsgetriebenes Technologieunternehmen im Bereich Websicherheit. Kernexpertise ist die Untersuchung von Webseiten, -applikationen und -servern auf Schwachstellen und kritische Sicherheitslücken. Die Produkte der PIO Security helfen Webseitenbetreibern, ihre Applikationen zu prüfen und erkannte Schwachstellen zu schließen. www.patronus.io

■ comcrypto GmbH, Chemnitz
comcrypto entwickelt Lösungen für hochsichere digitale Kommunikation. Kryptografielösungen von comcrypto umfassen sowohl die Erzeugung von hochwertigen Chiffraten, die Bereitstellung von Schlüsselmaterial, manipulationssichere Authentifizierung von Kommunikationsteilnehmern sowie das comcrypto Einmal-Schlüssel-Prinzip (CESP) zur Sicherstellung einer Chiffrate-Unabhängigkeit. Comcrypto liefert Komponenten und Anwendungen, die sich auf Basis von Standardprotokollen - wie beispielsweise IMAP - in bestehende IT-Infrastrukturen integrieren lassen. www.comcrypto.de

■ signotec GmbH, Ratingen
signotec ist Technologieanbieter für den Bereich von digitalen Unterschriften innerhalb von beweis- und manipulationssicheren Prozessen. signotec bietet Kunden unterschiedlichste Hard- und Softwarelösungen, die eigenständig und von mittelständischen Partnern in Deutschland entwickelt und gefertigt werden. Zu den Kunden gehören neben großen Bankinstituten auch namhafte Versicherungen, Gesundheits-, Industrie- sowie Dienstleistungsunternehmen jeglicher Größe. www.signotec.com

■ aumass GmbH, Regensburg
aumass betreibt eine digitale Ausschreibungsplattform für E-Vergabe und Vergabemanagement in verschiedenen Bereichen. Mit der e-Vergabe (webbasierte SaaS-Lösung) bietet aumass eine Softwareanwendung, mit der ausschreibende Stellen der öffentlichen Hand und Unternehmen als Bieter elektronische Vergaben vollständig webbasiert mit elektronischen Mitteln durchführen können. Alle Felder und Bedienelemente können online sowohl vom Bieter als auch durch Auftraggeber bzw. Vergabestellen bedient und ausgefüllt werden. www.aumass.de

■ DomainTools (DE), Eggstätt
DomainTools hilft Security-Analysten, Threat-Daten in Threat-lnformationen zu transferieren. Dabei werden Netzwerk-lndikatoren mit fast jeder aktiven Domain im Internet verglichen. Diese Vergleiche ermöglichen Risikoeinschätzungen, helfen Angreifer einzuordnen, unterstützen Online-Ermittlungen und erlauben es, Cyber-Aktivitäten angreifenden lnfrastrukturen zuzuordnen. Sowohl die webbasierte Oberfläche als auch die APls werden von "Fortune 1000"-Unternehmen, Regierungsinstitutionen, nationalen und internationalen Polizeiorganisationen sowie von Firmen im kommerziellen Umfeld genutzt, um kritische lnformationen zur Ermittlung der Herkunft eines Angriffes und zur adäquaten, vorbeugenden Abwehr zu erhalten. www.domaintools.com

■ Geick IT Consulting, Berlin
Geick IT Consulting bietet Beratung im Bereich Berechtigungs- und Benutzermanagement hinsichtlich fachlicher, organisatorischer, prozessualer und technischer Aspekte in Zusammenhang mit IT-Sicherheit, Datenschutz, Compliance- und Prüfungsanforderungen.

■ Keyp GmbH, München
Keyp bietet die Infrastruktur für eine digitale Identity Factor Federation, die dem Erstellen und Austausch von verifizierten Identitätsmerkmalen von Kunden, Mitarbeitern, Firmen und Objekten dient. Die einzelnen Identitätsfaktoren werden dezentral in einer Wallet App auf dem Gerät des Identitätsinhabers gespeichert. Der Login mit Keyp ist eine konfigurierbare Kombination aus klassischer Authentifizierung mit verifizierten Identitätsfaktoren. Bestehende Authentifizierungs- und Verifizierungsanbieter können sich mit einem SDK gegen Keyp integrieren, um mit ihren Lösungen Teil von Keyp's Authentifizierungs-Marktplatz-Ökosystems zu werden. Jeder Keyp-Partner kann eine eigene Identitätsplattform mit eigenem Branding und eigenen Compliance-Richtlinien anbieten. Die Partner entscheiden, welche Authentifizierungs- und Verifizierungsanbieter sie ihren Kunden zur Verfügung stellen oder ob sie eine spezielle Zertifizierung anbieten. www.keyp.io

---

► 2) Digitalisierung von Wirtschaft und Behörden absichern: IT-Sicherheitsbranche und Wirtschaftsverbände fordern Milliardeninvestitionen

Bisherige Umsetzung in Deutschland unzureichend

Die in TeleTrusT organisierte IT-Sicherheitsbranche fordert die regierungsbildenden Parteien auf, ein jährliches Budget von mindestens 1 Milliarde Euro für die Stärkung der Cybersicherheit von Behörden und Wirtschaft in den Koalitionsvertrag aufzunehmen. Mit dem Geld sollen dringend erforderliche finanzielle und organisatorische Maßnahmen ermöglicht werden, die das Cybersicherheitsniveau in Unternehmen und Behörden deutlich erhöhen. Der Verband begründet seine Forderungen mit der zunehmenden Digitalisierung in allen Branchen und der gleichzeitig unzureichenden Ausstattung von Behörden und Wirtschaft hinsichtlich der Absicherung ihrer IT-Systeme. 

Die digitale Agenda der bisherigen Bundesregierung hat zwar die politischen Handlungsstränge für die digitale Transformation formuliert. Konkrete Ziele und Umsetzungspläne bezüglich Cybersicherheitsstrategien von Behörden und Wirtschaft sind jedoch nicht in Sicht. Für eine deutliche Erhöhung des Cybersicherheitsniveaus sind daher konkrete Schritte und Maßnahmen erforderlich, die über Regulierungen hinausgehen.

Mit der geforderten Investition von 1 Milliarde Euro jährlich würde der digitale Standort Deutschland nachhaltig attraktiver werden - auch für ausländische Investoren. Denn Investitionen in Cybersicherheit wirken flächendeckend auf die Verfügbarkeit aller digital vernetzten Infrastrukturen. Gleichzeitig würde die neue Bundesregierung die Chance nutzen, die eigene IT-Sicherheitswirtschaft zu stärken und europäische und internationale Kooperationsprojekte aufzubauen.

Die Industrie unterstützt die Forderungen von TeleTrusT. Dr. Klaus Mittelbach, Vorsitzender der Geschäftsführung des Zentralverbands Elektrotechnik- und Elektronikindustrie e.V. (ZVEI): "Cybersicherheit ist ein entscheidender Faktor für die zukünftige internationale Wettbewerbsfähigkeit der deutschen Elektroindustrie. Unsere Lösungen für Industrie 4.0, intelligente Energienetze, digitalisierte Gesundheitswirtschaft, Smart Home und autonomes Fahren werden sich nur dann durchsetzen, wenn sie sowohl innovativ als auch cybersicher sind. Die nächste Bundesregierung muss Cybersicherheit deshalb zu einem Schwerpunkt ihrer Politik machen." 

TeleTrusT-Vorsitzender Prof. Norbert Pohlmann ergänzt: "Nachhaltige Digitalisierung kann nur mit umfassender IT-Sicherheit gelingen. Denn gezielte Attacken auf die IT-Systeme können ganze Wirtschaftszweige manipulieren oder gänzlich lahmlegen. Die bisherige Umsetzung der IT-Sicherheitsstrategien ist in Deutschland allerdings unzureichend. Um das Sicherheitsniveau zu erhöhen, sind dringend Investitionen seitens des Bundes notwendig."

TeleTrusT fordert daher folgende Maßnahmen: 

- Personelle Stärkung des Bundesamtes für Sicherheit in der Informationstechnik" (BSI) - Zulassungs- und Zertifizierungsverfahren müssen beschleunigt werden, um so nachweislich sichere digitale Prozesse, Produkte und Lösungen schneller den Anwendern zur Verfügung stellen zu können. Auch Beratung und Unterstützung von Behörden und Wirtschaft müssen ausgebaut werden, damit diese sich im Vorfeld oder bei akuten Angriffen besser schützen können.
- Neue Anreizsysteme, mit denen Behörden und Unternehmen die vom BSI empfohlenen, dem Stand der Technik entsprechenden IT-Sicherheitsmaßnahmen aufbauen können
- Erhöhung des BSI-Budgets für die Entwicklung neuer gesamtwirtschaftlicher und staatlich erforderlicher Basis-Sicherheitsprodukte
- Etablierung breiter Programme für Wirtschaft und Behörden, um die vorhandenen Cybersicherheits-Lösungen der deutschen IT-Sicherheitswirtschaft besser bekannt zu machen
- Investitionen in Kooperationsprogramme zwischen Anwendern und Industrie - Bei der Erarbeitung von innovativen Lösungen, Maßnahmen und Produkten rund um die Cybersicherheit sollten verstärkt Synergien zwischen Anwendern und IT-Sicherheitsindustrie genutzt werden. Usability- und Betriebsanforderungen großer IT-Architekturen müssen zudem an den Bedürfnissen des Mittelstandes ausgerichtet werden.

Zum Vergleich: Großbritannien hat in seiner aktuellen nationalen Cybersicherheitsstrategie beschlossen, in den nächsten fünf Jahren rund zwei Milliarden Euro in Cybersicherheit zu investieren, bei einem Bruttoinlandsprodukt von etwa 2,2 Billionen Euro im Jahr 2016. Das deutsche Bruttoinlandsprodukt lag im gleichen Jahr bei etwa 2,94 Billionen Euro, Tendenz steigend. Die Zielsetzung der neuen Bundesregierung müsste also höher liegen, um Europa hinsichtlich Cybersicherheit wegweisend zu gestalten.

Siehe auch:
www.teletrust.de/it-sicherheitsstrategie/
www.teletrust.de/arbeitsgremien/recht/stand-der-technik/
www.teletrust.de/it-sicherheitsstrategie/manifest-it-sicherheit/

---

► 3) Anforderungen an einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit: TeleTrusT kritisiert Pläne der EU-Kommission und fordert Änderungen

Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus fehlt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

TeleTrusT-Positionen:
Der Vorschlag wird als notwendiger und grundlegender Beitrag zur Cyber-Sicherheit in digitalen Infrastrukturen angesehen. Die Entwicklung und der Einsatz der neuen Digitaltechnologien mit ihren erhöhten inhärenten Risiken bedürfen eines nachhaltigen Rahmenplans, der einschlägige technische Normen und Zertifizierungsdienste im "Digitalen Binnenmarkt" bereitstellt. Dies führt zu sicheren Produkten, Systemen und Diensten bereits vor Markteintritt und während ihres gesamten Lebenszyklus.
Der Vorschlag orientiert auf umfassende Befugnisse für die EU-Kommission, zu entscheiden, welche Cybersicherheits-Schemata innerhalb der EU erforderlich sind, welche Normen für ein Schema gelten und welche Produkt- oder Dienstetypen erfasst werden. Ein Schema kann Smart Meters, IoT-tragbare Geräte, Datenbanken, Cloud-Dienste, Smartphones etc. umfassen, in der Tat also jedes IKT-Produkt. Sollten keine anwendbaren Normen für ein Schema vorhanden sein, werden die Anforderungen, die zur Zertifizierung eines Schemas erfüllt werden müssen, ohne Konsultation in das Schema integriert.
Der EU-Agentur für Network and Information Security (ENISA) wird das Vorschlagsrecht für Schemata zugeschrieben, aber die endgültige Entscheidung, wann ein neues EU-Schema erforderlich ist und welche Produkte und Dienste erfasst werden, bleibt ausschließlich in der Hand der EU-Kommission. Es gibt keine Beteiligung der Mitgliedstaaten, des Europäischen Rates, des Europäischen Parlaments, nationaler Normenorganisationen, gesellschaftlicher Interessengruppen oder der Industrie. Dass ein Schema zunächst freiwillig anzuwenden ist, ist ein schwaches Argument zur Verteidigung einer Verordnung, die der EU-Kommission zu viel Macht verleiht.

Der neue Rahmenplan kann nur unter folgenden Voraussetzungen gelingen:

1. Der Rahmenplan migriert vorhandene Zertifizierungsinfrastrukturen ohne Betriebsunterbrechung, besonders SOGIS-MRA ("Senior Officials Group Information Systems Security - Mutual Recognition Arrangement", aktuell mit 14 Mitgliedstaaten, kompetenten Schemata und privaten Prüfstellen; initiiert Anfang der neunziger Jahre durch die EU-Kommission, große Industrieanerkennung und Weltmarktposition).
2. Zertifizierung muss auf offene Normen setzen, die Wettbewerb zwischen Prüfstellen bzw. Schemata sowie zwischen den geeignetsten Sicherheitslösungen für ein festgelegtes Sicherheitsproblem ermöglichen.
3. Der Rahmenplan kann Ergebnisse analog zum rasanten Tempo technologischer Änderungen erzielen und die Marktbedürfnisse rechtzeitig und wirtschaftlich befriedigen.
4. Eine leistungsstarke Beziehung zwischen dem Rahmenplan und den Europäischen Normungsorganisationen (ESO) kann aufgebaut werden.
5. Was die IKT-Sicherheitsaspekte betrifft, werden die Richtlinien und Verordnungen der EU-Kommission für jeden vertikalen Digitalmarkt die Anforderungen an geeignete technische Sicherheitsnormen und Zertifizierungen prüfen und das Certification Board entsprechend regelmäßig einbeziehen. Falls ein Vertikalsektor nicht harmonisiert werden kann, wird die Vereinheitlichung der technischen Normen und Zertifizierungen schwer erreichbar sein. IT-Sicherheit betrifft auch Netzwerksicherheit, die öffentliche bzw. nationale Sicherheit sowie die digitale Souveränität. IT-Sicherheit ist nicht nur Anliegen des Digitalbinnenmarktes, sondern auch der Mitgliedsstaaten. Das gilt insbesondere für Kryptonormen und die Qualifikation der Prüfstellen.

Deshalb muss ein künftiges Europäisches IKT-Zertifizierungs- und Kennzeichnungsrahmenwerk
- ein "European Cyber Security Certification Board" etablieren, besetzt mit Vertretern der Mitglieds-staaten in Abstimmung mit den ESO und dem European Data Protection Board (EDPB), mit der Verantwortung, seine Themenbereiche sowie Arbeitsgruppen aufzubauen,
- die Generaldirektionen der EU-Kommission bei der Entwicklung der Kommunikationen, Richtlinien und Verordnungen für Vertikalsektoren unterstützen, so dass Standardisierung und Zertifizierung in einer sehr frühen Phase vorbereitet werden und Synergien zwischen den vertikalen Digitalisierungssektoren erzeugt werden können,
- SOGIS-MRA von einer Aktivität einzelner Mitgliedsstaaten in eine gesamteuropäische Aktivität migrieren,
- die Unabhängigkeit der Standardisierung und Auswertung gewährleisten, indem ein geeignetes Akkreditierungssystem für Prüfstellen bereitgestellt wird und die Akkreditierungsverordnung mit Hilfe einer zusätzlichen sektorspezifischen Ausnahmeregelung gemäß Erwägungsgrund Nr. 5 in 765/2008 verbessern,
- eine Rolle für die ENISA etablieren, um die Sekretariats- und organisatorische Infrastruktur für das (neue) European Cyber Security Certification Board bereitzustellen,
- Mitgliedsstaaten und Industrie unterstützen, um Innovationen für bessere IT-Sicherheit einzuleiten und Wettbewerbsgleichheit für die europäische Industrie im Weltmarkt zu schaffen.

ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-477-F1-EN-MAIN-PART-1.PDF

---

► 4) Europaweite Anerkennung der Online-Ausweisfunktion erfolgreich abgeschlossen

Deutschland hat als erster EU-Mitgliedstaat die Notifizierung der Online-Ausweisfunktion erfolgreich abgeschlossen. Damit wird die eID-Funktion des Personalausweises und des elektronischen Aufenthaltstitels ab 29. September 2018 europaweit zur elektronischen Identifizierung in digitalen Verwaltungsverfahren anerkannt. Perspektivisch können sich deutsche Bürgerinnen und Bürger so elektronisch an Hochschulen im EU-Ausland einschreiben, Gewerbe in anderen Mitgliedstaaten anmelden, Steuererklärungen im EU-Ausland abgeben oder KfZ-Zulassungen im Ausland beantragen. Alle EU-Mitgliedstaaten sind ab 29.09.2018 verpflichtet, ihre eigenen Verwaltungsverfahren, die eine elektronische Identifizierung auf "substantiellem" oder "hohem" Vertrauensniveau benötigen, für die deutsche Online-Ausweisfunktion zu öffnen. Unternehmen im europäischen Binnenmarkt können den elektronischen Identitätsnachweis auf freiwilliger Basis anerkennen.

Neben der Notifizierung zur grenzüberschreitenden Verwendung gibt es auch auf nationaler Ebene weitere Verbesserungen der eID-Funktion. So kann die Online-Ausweisfunktion inzwischen auf vielen Smartphones mit geeigneter NFC-Schnittstelle ohne zusätzlichen Kartenleser genutzt werden. Zudem wurden mit dem Gesetz zur Förderung des elektronischen Identitätsnachweises Möglichkeiten geschaffen, die Einbindung der Online-Ausweisfunktion in digitale Dienste weiter zu erleichtern. Dazu gehört beispielsweise die vereinfachte Vergabe von Berechtigungszertifikaten für Diensteanbieter.

(Quelle: BMI)

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:C:2017:319:TOC

---

► 5) ETSI publishes cybersecurity advice on the NIS Directive

The European Telecommunication Standards Institute (ETSI) announces the publication of ETSI TR 103 456, a technical report released by ETSI’s technical committee on Cybersecurity (TC CYBER). The report provides advice on implementing the NIS Directive which lays down measures for a high common level of security of network and information systems across the European Union.
ETSI TR 103 456 provides guidance on the available technical specifications and those in development by major cybersecurity communities in the world which are designed to meet the legal measures and technical requirements of the NIS Directive. The report covers several cybersecurity issues and requirements:

- Methods for structured sharing and exchange of information
- Incident notification
- Technical and organizational information system risk management
- Challenges and solutions
- Technical recommendations

Cybersecurity risk management involves assessing a range of risks in the context of an organization’s environment, understanding assets, resources and processes that are fundamental to the organization, and taking steps to ensure that the organization continuously improves how it protects, detects threats and responds to incidents involving those assets, resources and processes. ETSI’s Technical Report is intended to be used by all who need to consider the effects, use or perform the legal transposition of the NIS Directive into national legislation, whether they be regulators, operators of essential services or digital service providers. As ETSI is working on new technologies such as NFV, 5G or quantum computing which bring new security challenges, various ETSI groups work closely with TC CYBER and make sure security by design is included in all specifications from the beginning. TC CYBER have published 17 specifications and reports on Cybersecurity over the last 3 years.

ETSI TR 103 456: http://www.etsi.org/deliver/etsi_tr/103400_103499/103456/01.01.01_60/tr_103456v010101p.pdf

(Quelle: ETSI)

---

► 6) ISO-Verschlüsselungsstandardisierung: Misstrauen gegen NSA-Vorschläge

Eine Gruppe internationaler Fachleute hat die US-Sicherheitsbehörde NSA in der Diskussion um zukünftige Verschlüsselungs-Standards zum Einlenken gezwungen. Die von der NSA vorgeschlagenen Krypto-Standards wurden abgelehnt. Die Experten befürchten, die NSA habe die Standards nicht ihrer technischen Qualität wegen vorgeschlagen, sondern weil sie die Mittel habe, diese Verschlüsselung zu brechen. Eine Delegation von US-Verschlüsselungsfachleuten, darunter einige Angehörige der NSA oder ihrer Zulieferer, setzt sich dafür ein, dass die ISO zwei neue Verschlüsselungs-Algorithmen mit den Codenamen "Simon" und "Speck" zum Standard erhebt. Diese Bemühungen stoßen jedoch in der Fachwelt auf erheblichen Widerstand. Grund ist das Misstrauen des zuständigen Experten-Gremiums gegenüber der NSA. Die Fachleute berufen sich vor allem auf die von Edward Snowden geleakten NSA-Interna. Diese belegen, dass die NSA die Umgehung und Schwächung von Sicherheitsstandards seit Jahren plant. Demnach beantragten NSA-Beamte unter anderem Finanzmittel, um "Schwachstellen in kommerzielle Verschlüsselungssysteme einzubringen". Die NSA hat entsprechende Absichten in Bezug auf "Simon" und "Speck" dementiert. Man wolle, dass kommerzielle Unternehmen auch die Regierung mit sicherer Software beliefern könnten, weswegen man sich für bessere Standards einsetze, und man gehe fest davon aus, dass "Simon" und "Speck" sicher seien, so die Behörde.

Die NSA hat teilweise eingelenkt und sich bereit erklärt, alle schwächeren Versionen der Verschlüsselungs-Werkzeuge aufzugeben. Lediglich die stärksten - und somit potentiell für Hacks am wenigsten anfälligen - Varianten sollen als neue Standards gefördert werden. 

(Quellen: Freitag, Reuters)

https://www.freitag.de/autoren/netzpiloten/misstrauen-gegen-nsa-fachleute
http://www.reuters.com/article/us-cyber-standards-insight/distrustful-u-s-allies-force-spy-agency-to-back-down-in-encryption-fight-idUSKCN1BW0GV

---

► 7) IEEE eröffnet Europa-Sitz bei Austrian Standards in Wien

Das Institute of Electrical and Electronics Engineers IEEE, die mit 423 000 Mitgliedern weltweit größte technische Berufsorganisation von Ingenieuren und Wissenschaftlern in der Elektrotechnik und Elektronik, hat seinen neuen Europa-Sitz (European Technology Centre) im Haus des Österreichischen Normungsinstitutes Austrian Standards in Wien eröffnet. IEEE befasst sich unter anderem mit Standards für IKT, Kryptografie, PKI, IoT und Blockchain. Zu den künftigen Vorhaben von IEEE die European Public Policy Initiative (https://www.ieee.org/about/ieee_europe/index.html). Diese soll den Dialog zwischen der europäischen Technologiegemeinschaft und den europäischen Entscheidungsträgern und Regulierungsstellen mit Hilfe von Experten-Arbeitskreisen fördern.

(Quelle: IEEE, Austrian Standards)

---

► 8) 100 Jahre DIN

Das Deutsche Institut für Normung e.V. (DIN) feiert 2017 seinen 100. Geburtstag. Im Dezember 1917 als Normenausschuss der deutschen Industrie (NADI) gegründet, hat DIN als unabhängige Plattform für Normung und Standardisierung die deutsche Wirtschaft nachhaltig geprägt. Aktuell umfasst das Deutsche Normenwerk rund 34.000 Normen und Standards, die DIN gemeinsam mit Expertengremien aus Wirtschaft, Forschung, öffentlicher Hand und von Verbraucherseite erarbeitet hat. Rund 32.000 Experten aus verschiedenen Fachbereichen bringen sich aktuell in den Normungsprozess ein, den DIN als privatwirtschaftlicher Projektmanager organisiert und moderiert.

Bei einem Festakt in Berlin am 10.11.2017 würdigte DIN gemeinsam mit Wegbegleitern die vergangenen hundert Jahre Normungsgeschichte.

TeleTrusT ist aktives Mitglied der DIN-Koordinierungsstelle IT-Sicherheitsnormung (KITS), des DIN-Projektbeirates "Sichere Digitale Identitäten" und von DIN benanntes aktives Mitglied der CEN/CENELEC Cybersecurity Standardisation Coordination Group. TeleTrusT unterstützt die jährliche "KITS-Konferenz" des DIN sowie anlassbezogen Veranstaltungen der DIN-Akademie und des Beuth-Verlages.

---

► 9) TeleTrusT: Politische Aktivitäten (Auswahl)

Aktivitäten im politischen Raum mit TeleTrusT-Beteiligung bzw. -Einbeziehung (Auswahl 2017-10/11):
■ 03.10.2017, Brüssel
ENISA: Industry Network event business "Opportunities arising from the EU regulation"
■ 06.10.2017, Berlin
Jimmy Schulz (FDP): Erörterungsgespräch zu aktuellen Fragen der IT-Sicherheitspolitik
■ 15.11.2017, Bonn
BMFT: Zusammenkunft deutscher Beteiligter an ECSO und ECS cPPP
■ 29.11.2017, Berlin
Digital Business Connectivity - Deutsch-Koreanische Kooperation in den Bereichen IKT und Smart Services
■ 30.11.2017, Berlin
"Perspektiven der IT-Sicherheit in Deutschland" (Erörterungsgespräch TeleTrusT, VOICE, BMWi)

---

► 10) Personalie: Dirk Weiler/ETSI

Auf der ETSI-Generalversammlung am 28.11.2017 wurde Dirk Weiler (Nokia DE) als ETSI Board Chairman für die Amtszeit 2017-11 bis 2020-11 wiedergewählt bzw. damit in seinem Amt bestätigt.

---

► 11) Neuer Leitfaden: IT-Sicherheit im Gesundheitswesen

Das Bochumer Zentrum für Telematik und Telemedizin (ZTG), der Bundesverband Gesundheits-IT (bvitg) sowie die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) haben einen 50-seitigen "Leitfaden für die Erstellung eines IT-Sicherheitskonzeptes" erstellt, der sich an Einrichtungen und Organisationen des Gesundheitswesens richtet. Die Verfasser sehen den Leitfaden als eigenständige Ergänzung zu dem 2016 veröffentlichten "Leitfaden für die Erstellung von Datenschutzkonzepten im Gesundheitswesen" an.

Der Leitfaden ist kostenfrei abrufbar unter www.ztg-nrw.de/wp-content/uploads/2013/10/Leitfaden-f%C3%BCr-die-Erstellung-eines-IT-Sicherheitskonzeptes.pdf
(Quelle: ZTG/bvitg/GMDS, ÄrzteZeitung)

---

► 12) TeleTrusT-Tagungsband zum "Informationstag 'Blockchain'" veröffentlicht

TeleTrusT veranstaltete am 13.07.2017 den "Informationstag 'Blockchain'" (https://www.teletrust.de/veranstaltungen/blockchain/). Die freigegebenen Referenten- bzw. Autorenbeiträge wurden nun in einem Tagungsband zusammengefasst. Der Tagungsband ist auf www.teletrust.de/publikationen/broschueren/blockchain-tagungsband/ öffentlich verfügbar.

---

► 13) Bundesverband Blockchain veröffentlicht Positionspapier

Der neu gegründete Blockchain Bundesverband e.V. hat ein erstes umfassendes Positionspapier "Blockchain - Chancen und Herausforderungen einer neuen digitalen Infrastruktur für Deutschland" veröffentlich, das diese Themenbereiche blockchainbezogen adressiert:
- Unternehmensrecht
- Bildung
- Energie
- Gesundheitssystem
- Finanzaufsicht
- Steuerrechtliche Einordnung
- Digitale Identitäten
- Datenschutz
- Geistiges Eigentum
- IT-Recht
- Forschung
- Industrie 4.0
- Normung und Standardisisierung
- Ethik.

Das Positionspapier ist hier verfügbar: bundesblock.de/wp-content/uploads/2017/10/bundesblock_positionspapier_v1.1.pdf

---

► 14) TeleTrusT + Cluster Automation & Mechatronik: Workshop zu "Industrial Security" in Crailsheim (Rückschau)

Auch in diesem Jahr führte TeleTrusT in Kooperation mit dem Bayerischen "Cluster Automation & Mechatronik" einen Herbst-Workshop zu "Industrial Security" durch. Die Teilnehmer erhielten einen Überblick über die aktuelle Entwicklung im Bereich Forschung für die industrielle Sicherheit, über Herausforderungen der Industrieunternehmen und über aktuelle Lösungsansätze. Die Veranstaltung ermöglichte neben Networking einen Überblick über IT-Lösungen für die Automation, neue Gefahren durch Cyberattacken und "Best-Practice"-Lösungsansätze.
Themen:
- Industrie 4.0 als Einstieg in digitale Geschäftsmodelle im Mittelstand
- Industrie 4.0 - Stärken, Schwächen, Chancen und Risiken der deutschen Produktionsindustrie
- 360 Grad Sicherheit in der Wertschöpfung - Industrie 4.0 Bedrohungen und Maßnahmen
- IT-Sicherheits-Produktprüfung /-zertifizierung nach IEC 62443 - Vorstellung der Norm + Praktische Umsetzung
- Angriff auf die industrielle Produktion - Wie gehen Hacker vor?
- Retro-Fit? Automatisierungstechnik im Industrie-4.0-Kontext sicher vernetzen?
- Netzwerksegmentierung und Netzwerksicherheit in der praktischen Umsetzung?
- Industrie 4.0 - Köpfe sind unser Kapital - Qualifikation und Weiterbildung als kritischer Erfolgsfaktor

www.teletrust.de/veranstaltungen/tutorials-workshops/industrial-security-2017/

---

► 15) TeleTrusT auf it-sa 2017: Blockchain, IT-Sicherheitsgesetz, Deutsch-Französischer Workshop (Rückschau)

TeleTrusT beteiligte sich als Veranstaltungspartner aktiv an der nationalen Leitmesse für IT-Sicherheit it-sa vom 10. - 12.10.2017 in Nürnberg. Die it-sa bot Gelegenheit zum Meinungsaustausch und informierte über einschlägige Produkte und Dienstleistungen. Neben den Themen Blockchain, Mobile Security, Verschlüsselung, IT Compliance und Biometrie fanden Netzwerksicherheit, IT-Grundschutz und das IT-Sicherheitsgesetz breite Präsentationsfläche. 2017 verzeichneten die Veranstalter 629 Aussteller aus 24 Ländern sowie 12.780 Besucher. Die it-sa versteht sich als nationale und internationale IT-Sicherheitsmesse und Konferenz, die ein breites Spektrum an Produkten und Dienstleistungen abbildet. TeleTrusT ist seit Gründung der it-sa Veranstaltungspartner. Die NürnbergMesse als Trägergesellschaft ist TeleTrusT-Mitglied.

Das TeleTrusT-eigene Programm auf der it-sa 2017 (https://www.teletrust.de/veranstaltungen/it-sa/it-sa-2017/):

■ TeleTrusT-Gemeinschaftsstand (10.0-409)
Auf der it-sa 2017 präsentierte sich TeleTrusT im Rahmen eines erweiterten Messestandes in Halle 10. 

■ TeleTrusT-Auditorium "Blockchain - Anwendungsszenarien"
Dr. André Kudra, Vorstand (CIO), esatus AG, Leiter der TeleTrusT-AG "Blockchain": "Bring Your Own Identity mit der Blockchain"
Sebastian Stommel, Lead Researcher, CryptoTec AG: "Blockchain@Supply Chain"
Dr. Michael Kuperberg, Senior Software Architect, Deutsche Bahn AG: "IoT und Blockchain: Flirt? Affäre? Hochzeit?"
(Moderation: Prof. Dr. Norbert Pohlmann, Institut für Internet-Sicherheit if(is), TeleTrusT-Vorsitzender)

■ TeleTrusT-Vortrag zu IT-Sicherheitsgesetz/Stand der Technik
RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand: "Der neue Maßstab der IT Security - Update zum Stand der Technik"
(Moderation: Eric Schneider, exceet Secure Solutions AG)

■ Deutsch-Französischer Workshop: "IT Security in Germany and France - Opportunities for co-operation"
https://www.teletrust.de/veranstaltungen/tutorials-workshops/deutsch-franzoesischer-workshop/

■ it-sa-Messeparty
Am 11.10.2017 fand nach Messeschluss die it-sa-Messeparty mit TeleTrusT als Mitträger statt.

Eingeleitet wurde die "it-sa-Woche" mit dem "Security Summit", organisiert von TeleTrusT-Mitglied qSkills, eine von TeleTrusT mitgetragene Veranstaltung (09.10.2017, Nürnberg)
qskills-security-summit.de/hp1/home-2017.htm

Die nächste it-sa findet vom 09. - 11.10.2018 wiederum in Nürnberg statt.

---

► 16) Ab 2018 it-sa India in Mumbai mit Unterstützung von TeleTrusT

Analog zu der bereits etablierten it-sa Brasil in Sao Paulo findet am 24. und 25.05.2018 erstmalig eine it-sa India in Mumbai statt. Damit erweitert die NürnbergMesse ihr Portfolio um eine weitere Fachmesse zum Thema IT-Sicherheit im Ausland. Das Projekt wird von TeleTrusT unterstützt.

www.teletrust.de/veranstaltungen/it-sa-india/it-sa-india-2018/
www.nm-india.com/it-sa-india

---

► 17) TeleTrusT/BvD: IT-Sicherheitsrechtstag 2017 in Berlin (Rückschau)

Wie gestalten Unternehmen ihr Datenschutzmanagement bereits mit Blick auf die ab Mai 2018 in der EU wirksame Datenschutz-Grundverordnung rechtssicher? Welche Anforderungen stellen die Aufsichtsbehörden an den Datenschutz? Was bedeutet "Stand der Technik"? Worauf ist bei Datenschutz-Auditierungen zu achten? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) und der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) gaben im Rahmen einer Informationsveranstaltung am 07.11.2017 in Berlin praktische Anleitung.

Aus dem Programm:
- Herausforderung EU-Datenschutz-Grundverordnung - Ein Bericht aus der Praxis
- Der betriebliche Datenschutzbeauftragte in der DSGVO
- Wenn die Aufsichtsbehörde klingelt: Wie läuft eine Prüfung ab?
- Implementierung gesetzlicher IT-Sicherheitsmaßnahmen nach DSGVO und IT-Sicherheitsgesetz
- Maßnahmenermittlung nach dem Stand der Technik
- DSGVO - Vorgehensweise zur Umsetzung am Praxisbeispiel enercity (Stadtwerke Hannover AG)
- Datenschutz-Auditierung
Freigegebene Präsentationen auf https://www.teletrust.de/veranstaltungen/it-sicherheitsgesetz-und-dsgvo/2017/

---

► 18) TeleTrusT-Innovationspreis 2017 für Steen Harbach AG

Der diesjährige TeleTrusT-Innovationspreis wurde an die Steen Harbach AG Leverkusen für die IT-Sicherheitslösung "Real end-to-end security for IoT devices & Industry 4.0" vergeben. Die Preisübergabe erfolgte am 14.11.2017 im Rahmen des T.I.S.P. Community Meetings in Berlin. Den Preis nahmen Witali Bartsch (VP Security Solutions), Arash Emami (Security Engineer) und Joachim Wülbeck (Product Manager) für Steen Harbach entgegen.

Nominiert für den TeleTrusT-Innovationspreis 2017 waren aus insgesamt 21 Einreichungen auch Lösungen von certgate. Governikus, HID, HPI, Rhebo und Secorvo.

T.I.S.P.:
Der TeleTrusT Information Security Professional (T.I.S.P.) ist bisher das einzige deutschsprachige Expertenzertifikat für IT-Sicherheitsfachleute. Die Inhalte, die für das T.I.S.P.-Zertifikat relevant sind, umfassen die wichtigsten internationalen Standards der Informationssicherheit und berücksichtigen darüber hinaus die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung. 

Einmal pro Jahr lädt TeleTrusT zum T.I.S.P. Community Meeting ein. Hier treffen sich T.I.S.P.-Absolventen, um aktuelle Entwicklungen in der Informationssicherheit zu diskutieren und sich über ihre persönlichen Praxiserfahrungen auszutauschen. Jedes Meeting wird unter ein Schwerpunktthema gestellt, darüber hinaus werden aber auch andere Themen in den Vorträgen und Workshops angeboten, sowie Zeit eingeräumt für Austausch, Gespräche und Diskussionen. Das T.I.S.P. Community Meeting ist eine der größten regelmäßigen Zusammenkünfte von IT-Sicherheitsexperten der operativen Ebene aus Anwender- und Lösungsanbieterunternehmen im deutschsprachigen Raum. 2017 nahmen rund. 200 Experten teil.

www.teletrust.de/tisp/

---

► 19) Vorträge im Namen von TeleTrusT

■ 6. Stralsunder IT-Sicherheitskonferenz, Stralsund, 26. - 28.09.2017:
- Markus Bartsch, TeleTrusT-Mitglied TÜViT: "Nutzen von Referenzarchitekturen wie RAMI oder RAMA zur Erhöhung der IT Security im IoT"
- RA Merlin Backer, TeleTrusT-Mitglied HK2: "Gesetzliche IT-Sicherheit - Pflichten für Unternehmen und die öffentliche Verwaltung nach dem IT-Sicherheitsgesetz und der Datenschutzgrundverordnung"
- Markus Robin, TeleTrusT-Mitglied SEC: "Versteckte Schwachstellen in IoT-Firmware - Ursache und Gegenmaßnahmen"
- Erich Wiegand, TeleTrusT-Mitglied ADM/Leiter TeleTrusT-AG "IT-Sicherheit in der Marktforschung": "IT-Sicherheit am Praxisbeispiel Markt- und Meinungsforschung"
- Werner Wüpper, TeleTrusT-Mitglied WMC, Leiter TeleTrusT-AG "ISM": "Digitalisierung, Internet of Things, WEB 4.0 versus Sicherheitsmanagement, Datenschutz und rechtliche Anforderungen"
■ 2. IT-GRC-Kongress, 28./29.09.2017, Berlin:
- Prof. Dr. Norbert Pohlmann, TeleTrusT-Vorsitzender/TeleTrusT-Mitglied if(is): Panel-Diskussion "Nach der Wahl ist vor der Wahl"
- RA Karsten U. Bartels, TeleTrusT-Vorstand/Leiter TeleTrusT-AG "Recht"/TeleTrusT-Mitglied HK2: "Technischer Datenschutz nach DGSVO - Welche Maßnahmen jetzt erforderlich sind"
■ Ronny Kaminski, TeleTrusT-Mitglied Sama Partners/Leiter TeleTrusT-AG "Mobile Security": "Angriffsvektoren für Smartphones", "Cybersecurity Conference", 19.10.2017, Mannheim
■ Peter Hansemann, TeleTrusT-Mitglied ICN: "Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU?", RA Merlin Backer, TeleTrusT-Mitglied HK2: "7 Monate bis zur DSGVO - Umsetzungsprojekt oder Notversorgung?", Kooperationsveranstaltung IHK Dortmund und TeleTrusT ("EU-Datenschutz-Grundverordnung - Was ist zu beachten?"), Dortmund, 25.10.2017
■ RA Karsten U. Bartels, TeleTrusT-Vorstand/Leiter TeleTrusT-AG "Recht"/TeleTrusT-Mitglied HK2: "Der Stand der Technik im IT-Sicherheitsrecht", heise/iX Live Webinar, 29.11.2017

---

► 20) Medienbeiträge mit TeleTrusT-Bezugnahme

(Auswahl)

■ TeleTrusT in Kooperation mit SecuMedia: TeleTrusT-Sonderteil in kes, 2017-10, mit Fachbeitrag von RA Karsten U. Bartels, TeleTrusT-Vorstand/Leiter TeleTrusT-AG "Recht"/TeleTrusT-Mitglied HK2: "Unterschreiten des Stands der Technik in der IT-Sicherheit"
■ TeleTrusT in Kooperation mit Vogel IT-Medien bzw. IT-Business und Security Insider: Sonderpublikation "IT-Sicherheit Made in Germany", 2017-10 (https://www.teletrust.de/publikationen/sonderdrucke/it-sicherheit-made-in-germany/)
■ TeleTrusT in Kooperation mit Heise Medien: TeleTrusT/Heise-Sonderbeilage "Sicherheit und Datenschutz" in iX, 2017-11 (https://www.teletrust.de/publikationen/sonderdrucke/eu-dsgvo-id-management-und-endpoint-security/)
■ TeleTrusT in: "Überwachung mit Lücken", in: Behörden Spiegel, 2017-10
■ TeleTrusT in: "IT-Sicherheitsrechtstag 2017", in: GIT Sicherheit, 2017-10
■ TeleTrusT in: "Europäischer Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit", in: SecuPedia, 04.10.2017
■ TeleTrusT in: "Anforderungen an einen europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit", in All about security, 03.10.2017
■ TeleTrusT in: "IT-Security-Fachmesse it-sa verzeichnet neuen Besucherrekord", in: silicon.de, 12.10.2017
■ TeleTrusT in: "it-sa 2017: 630 Aussteller, 12.780 Fachbesucher", in Open Automation, 13.10.2017
■ TeleTrusT/TI.S.P./TeleTrusT-Mitglied Steen Harbach in:
- "TeleTrusT-Innovationspreis vergeben", in: SecuPedia, 15.11.2017
- "TeleTrusT-Innovationspreis 2017 für Steen Harbach AG", in: IT Security Magazin, 15.11.2017
- secorvo Security News, 30.11.2017
■ "TeleTrusT Information Security Professional" (T.I.S.P.) in: "Was bringen persönliche Security-Zertifizierungen?", in: Security Insider, 24.11.2017
■ TeleTrusT/Prof. Dr. Norbert Pohlmann (TeleTrusT-Vorsitzender) in: "Eine Milliarde für die Verteidigung gegen Angriffe aus dem Netz", in:
- FAZ, 27.11.2017
- Versicherungswirtschaft Heute, 28.11.2017
■ TeleTrusT/Prof. Dr. Norbert Pohlmann (TeleTrusT-Vorsitzender) in: "IT-Sicherheitsbranche und Wirtschaftsverbände fordern Milliardeninvestitionen", in:
- All about security, 27.11.2017
- SecuPedia, 27.11.2017
- IT Security Magazin, 27.11.2017
- IT Security News, 27.11.2017
- GIT Sicherheit, 28.11.2017
■ TeleTrusT in: Forcierung der IT-Sicherheit in Österreich erforderlich", in: Tagesbote (AT), 29.11.2017
■ TeleTrusT in: "TeleTrusT fordert mehr Budget für Cybersicherheit", in: Digitale Generation, 29.11.2017

---

► 21) Nächste TeleTrusT-Gremiensitzungen

■ 01.12.2017, Berlin: TeleTrusT-Vorstandssitzung
■ 01.12.2017, Berlin: TeleTrusT-Mitgliederversammlung
■ 12.12.2017, Berlin: TeleTrusT-AG "Biometrie"

---

► 22) Nächste TeleTrusT-Eigenveranstaltungen

■ 01.12.2017, Berlin, DE: TeleTrusT-Mitgliederversammlung

Weiterführende Informationen auf www.teletrust.de (Veranstaltung

---