Technische Richtlinie zur Cybersicherheit von Anwendungen im Finanzwesen veröffentlicht
Datum 20.01.2025
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie TR-03174 „Anforderungen an Anwendungen im Finanzwesen“ veröffentlicht. Sie richtet sich an Fintech-Unternehmen, wie Banken, Finanzdienstleister oder Start-Ups aus dem Bereich Finanztechnologie, und bietet konkrete Prüfaspekte für die Entwicklung von mobilen Anwendungen, Web-Anwendungen und Hintergrundsystemen. Die TR-03174 soll ihnen helfen, Dienstleistungen von Beginn an sicher zu gestalten und die notwendigen Aspekte nach dem Prinzip "Security by Design" bei jedem Entwicklungsschritt zu berücksichtigen.
Das Dokument orientiert sich an internationalen Standards wie den „Application Security Verification Standard“ (ASVS) und dem „Web Security Testing Guide“ (WSTG). In die Bedrohungsszenarien und Prüfaspekte sind Erfahrungen eingeflossen, die das BSI bei bisherigen Untersuchungen von Web-Anwendungen gesammelt hat. Darüber hinaus werden Anforderungen an die Schnittstellen zu Payment Service Providern im Sinne der PSD2 definiert.
Ziel ist ein einheitlich hohes Sicherheitsniveau für bestehende Banking-Apps und Bezahldienste – aber auch für Finanzdienstleistungen auf dem Smartphone oder der Smartwatch. Mögliche Anwendungen sind Apps mit denen Nutzerinnen und Nutzer im Supermarkt bezahlen oder Konten und Depots unterschiedlicher Institute verwalten können. Aber auch die Sicherheit von Crowdfunding-Plattformen für den dezentralen Ausbau erneuerbarer Energien oder für Mikrokredite in der nachhaltigen Entwicklungshilfe kann durch die TR-03174 gesteigert werden.
Die Technische Richtlinie umfasst in mehreren Teilen Anforderungen an mobile Anwendungen und kann auch für weitere mobile Anwendungen außerhalb des Finanz- oder Gesundheitswesens herangezogen werden, die sensible Daten verarbeiten oder speichern.
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. Eine vollständige Liste an prüfberechtigten Stellen ist auf der Website des BSI veröffentlicht.