Die Digitalisierung aller Lebensbereiche schreitet stetig voran. So auch im Finanzwesen: Nutzerinnen und Nutzer überprüfen ihren Kontostand während sie unterwegs sind, lösen Überweisungen aus oder zahlen am Point of Sale intuitiv mit dem Smartphone oder einer Smartwatch.

Dabei sind Daten zur finanziellen Situation eines Menschen besonders schützenswert. Kompromittierte Anwendungen auf einem mobilen Gerät oder ein selbst kompromittiertes Smartphone können dazu führen, dass das gesamte digitale Leben der Nutzerinnen und Nutzer ungewollt offengelegt wird. Dies kann für die Betroffenen sowohl im privaten als auch im beruflichen Kontext zu negative Auswirkungen und zu hohem finanziellen Schaden führen. 

Die Nutzung mobiler Geräte bringt neue Sicherheitsrisiken mit sich. So verschärfen beispielsweise veraltete Softwareversionen, mangelndes Risikobewusstsein und fehlendes Verständnis für den Einfluss von Sicherheitsmaßnahmen die Problematik zusätzlich.

Daher ist es notwendig, Vorgaben zu schaffen, wie mobile Finanzanwendungen direkt von Anfang an – frei nach Security by Design - sicher gestaltet werden können, um Nutzer- und Finanzdaten angemessen zu schützen. In der Richtlinienreihe TR-03174 werden allgemeinen Vorgaben konkretisiert, die Herstellern von Anwendungen im Finanzumfeld die Möglichkeit geben, diese von Anfang an sicher zu gestalten und die notwendigen Sicherheitsaspekte zu berücksichtigen.

Die Reihe der TR-03174 richtet sich an Hersteller und Entwickelnde von Anwendungen im Finanzumfeld. Zusätzlich kann sie als Richtlinie für weitere Anwendungen genutzt werden, die sensible Daten verarbeiten oder speichern.

Die Technische Richtlinie umfasst in mehreren Teilen

• Anforderungen an mobile Anwendungen
  BSI TR-03174 Anforderungen an Anwendungen im Finanzwesen - Teil 1: Mobile Anwendungen
• Web-Anwendungen
  BSI TR-03174 Anforderungen an Anwendungen im Finanzwesen - Teil 2: Web-Anwendungen
• Hintergrundsysteme
  BSI TR-03174 Anforderungen an Anwendungen im Finanzwesen - Teil 3: Hintergrundsysteme

um im Endeffekt eine einheitliche Basis für die Sicherheit mobiler Finanzanwendungen zu schaffen. Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. Eine vollständige Liste an prüfberechtigten Stellen ist auf der Website des BSI veröffentlicht.

Diese Reihe der TR-03174 dient als Leitfaden, um Entwicklerinnen und Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen.