Zum Inhalt springen

TR-03174 – entdeckt, erklärt

BSI TR-03174

Die IT-Sicherheit Ihrer Finanzanwendung nach BSI TR-03174 geprüft

Die BSI TR-03174 richtet sich an Hersteller, Entwickler und Betreiber digitaler Anwendungen im Finanzwesen. Sie legt verbindliche, prüfbare Sicherheitsanforderungen fest, mit dem Ziel, ein einheitliches und hohes Sicherheitsniveau für Finanz-Apps, Web-Anwendungen und Backend-Systeme zu gewährleisten.

Individuelles Angebot anfordern
Frau gibt Kontodaten im Smartphone ein. | TÜVIT

Was ist die BSI TR-03174?

Die Technische Richtlinie BSI TR-03174 definiert Sicherheitsanforderungen für Finanzanwendungen wie Mobile- und Web-Apps sowie deren Backend-Systeme.

Da Finanzdaten besonders schützenswert sind, adressiert sie Risiken durch kompromittierte Geräte, veraltete Software oder mangelnde Sicherheitsmaßnahmen. Ziel ist es, nach dem Prinzip „Security by Design“ Vorgaben zu schaffen, die Herstellern helfen, Anwendungen von Beginn an sicher zu entwickeln und so Nutzer- wie Finanzdaten wirksam zu schützen.

Besonderheiten der BSI TR-03174

  • Gilt für Finanz-Apps, Web-Anwendungen und Backend-Systeme mit sensiblen Daten
  • Leitfaden für Entwickler zur sicheren Umsetzung nach „Security by Design“
  • Enthält Anforderungen, Prüfaspekte und typische Bedrohungsszenarien
  • Zertifizierung nach TR-03174 stärkt Vertrauen und erleichtert Anerkennung

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Häufig gestellte Fragen (FAQ)

Was Sie über die BSI TR-03174 wissen müssen

Die BSI TR-03174 richtet sich an Hersteller und Entwickler von Finanz-Apps, Web-Anwendungen und den dazugehörigen Backend-Systemen. Sie adressiert zudem Banken, Versicherungen, FinTechs und Zahlungsdienstleister, die solche Anwendungen betreiben oder anbieten. Auch IT-Dienstleister, die Komponenten oder Schnittstellen im Finanzumfeld bereitstellen, gehören zur Zielgruppe. Darüber hinaus kann die Richtlinie von allen genutzt werden, die Anwendungen mit sensiblen Daten entwickeln oder betreiben.

Eine Zertifizierung nach BSI TR-03174 hat keine formale Gültigkeit von 5 Jahren. Ein nach diesem Zertifizierungsprogramm erteiltes Zertifikat ausschließlich für die im Rahmen der Konformitätsprüfung geprüfte Version eines Produkts gültig.

Werden an einem zertifizierten Produkt Änderungen oder Modifikationen vorgenommen, entstehen neue Versionen/Konfigurationen, für die das erteilte Zertifikat keine Gültigkeit mehr besitzt. Soll die Konformität mit den Anforderungen der BSI TR-03174 auch für die Änderung oder Weiterentwicklung eines zertifizierten Produktes bestätigt werden, so kann beim BSI ein Antrag auf Re-Zertifizierung oder Maintenance gestellt werden.

Somit dokumentiert das Zertifikat den konformen Sicherheitszustand zum Zeitpunkt der Prüfung und dient als Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden.

Je nach Evaluierungsgegenstand werden kundenseitig verschiedene Beistellleistungen/Informationen für die Evaluierung benötigt, darunter zum Beispiel:

  • (Technische) Beschreibungen / Dokumentation
  • Ggf. Einstiegs-URLs und IP-Adressen der zu testenden Systeme
  • Sofern auch Rollenkonzepte/Berechtigungskomponenten getestet werden sollen, werden mindestens 2 Testkonten (mit unterschiedlichen Berechtigungen) benötigt
  • Bei mobile Apps Evaluierungen: Release-Version der App als kompilierte und installierbare (APK / IPA) Datei; Debug-Version der App, mit deaktivierten Sicherheitsmaßnahmen (wie Zertifikats-Pinning, Jailbreak/Root-Detection) als kompilierte und installierbare (APK / IPA) Datei

Die BSI TR-03174 besteht aus mehreren Teilen, die spezifische Anforderungen an Anwendungen im Finanzwesen definieren:

  1. Teil 1 – Mobile Anwendungen
    Dieser Teil behandelt Sicherheitsanforderungen für native und hybride Apps, die auf mobilen Endgeräten wie Smartphones oder Tablets laufen.
  2. Teil 2 – Webanwendungen
    Hier werden Anforderungen an Webanwendungen beschrieben, die über Browser zugänglich sind und Finanzdienstleistungen bereitstellen.
  3. Teil 3 – Backend-Systeme
    Dieser Teil fokussiert sich auf die Sicherheitsanforderungen an Serverinfrastrukturen, Datenbanken und Schnittstellen, die Backend-Dienste für Finanzanwendungen bereitstellen.

Jeder Teil ist auf die spezifischen Anforderungen und Bedrohungslagen der jeweiligen Plattform zugeschnitten. Die vollständigen Dokumente sind auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) verfügbar.