Thought Leadership
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue technische Richtlinie vorgestellt, die Sicherheitsstandards für Finanzanwendungen definiert. Die als TR-03174 bezeichnete Richtlinie zielt darauf ab, einheitliche Sicherheitsniveaus für Banking-Apps, Bezahldienste und andere Fintech-Anwendungen zu etablieren.
Die Richtlinie orientiert sich an international anerkannten Standards wie dem Application Security Verification Standard (ASVS) und dem Web Security Testing Guide (WSTG). Besonderes Augenmerk liegt dabei auf dem „Security by Design“-Prinzip, das Sicherheitsaspekte von Beginn der Entwicklung an berücksichtigt.
Von Banking-Apps bis Crowdfunding-Plattformen
Konkret definiert die TR-03174 Prüfkriterien für drei Bereiche: mobile Anwendungen, Web-Anwendungen und Hintergrundsysteme. Dabei werden auch die Schnittstellen zu Payment Service Providern im Kontext der europäischen Zahlungsdiensterichtlinie PSD2 berücksichtigt.
Das Regelwerk richtet sich an ein breites Spektrum von Anbietern – von klassischen Banken über Finanzdienstleister bis hin zu Fintech-Startups. Es deckt verschiedene Anwendungsszenarien ab, etwa mobile Bezahllösungen im Einzelhandel oder Apps zur Verwaltung mehrerer Bankkonten. Auch Crowdfunding-Plattformen, etwa für nachhaltige Energieprojekte oder Mikrofinanzierung, fallen in den Anwendungsbereich.
Für die Zertifizierung nach der neuen Richtlinie hat das BSI ein entsprechendes Prüfverfahren etabliert. Eine Liste zugelassener Prüfstellen ist auf der BSI-Website verfügbar. Die technische Richtlinie ist dabei so konzipiert, dass sie auch außerhalb des Finanzsektors für mobile Anwendungen genutzt werden kann, die sensible Daten verarbeiten.
Die Veröffentlichung der TR-03174 markiert einen wichtigen Schritt zur Standardisierung der IT-Sicherheit im deutschen Finanzsektor, der zunehmend von mobilen Anwendungen geprägt wird.
