TR-03174 – entdeckt, erklärt
Die IT-Sicherheit Ihrer Finanzanwendung nach BSI TR-03174 geprüft
Die BSI TR-03174 richtet sich an Hersteller, Entwickler und Betreiber digitaler Anwendungen im Finanzwesen. Sie legt verbindliche, prüfbare Sicherheitsanforderungen fest, mit dem Ziel, ein einheitliches und hohes Sicherheitsniveau für Finanz-Apps, Web-Anwendungen und Backend-Systeme zu gewährleisten.
Individuelles Angebot anfordernDie Technische Richtlinie BSI TR-03174 definiert Sicherheitsanforderungen für Finanzanwendungen wie Mobile- und Web-Apps sowie deren Backend-Systeme.
Da Finanzdaten besonders schützenswert sind, adressiert sie Risiken durch kompromittierte Geräte, veraltete Software oder mangelnde Sicherheitsmaßnahmen. Ziel ist es, nach dem Prinzip „Security by Design“ Vorgaben zu schaffen, die Herstellern helfen, Anwendungen von Beginn an sicher zu entwickeln und so Nutzer- wie Finanzdaten wirksam zu schützen.
Die BSI TR-03174 richtet sich an Hersteller und Entwickler von Finanz-Apps, Web-Anwendungen und den dazugehörigen Backend-Systemen. Sie adressiert zudem Banken, Versicherungen, FinTechs und Zahlungsdienstleister, die solche Anwendungen betreiben oder anbieten. Auch IT-Dienstleister, die Komponenten oder Schnittstellen im Finanzumfeld bereitstellen, gehören zur Zielgruppe. Darüber hinaus kann die Richtlinie von allen genutzt werden, die Anwendungen mit sensiblen Daten entwickeln oder betreiben.
Eine Zertifizierung nach BSI TR-03174 hat keine formale Gültigkeit von 5 Jahren. Ein nach diesem Zertifizierungsprogramm erteiltes Zertifikat ausschließlich für die im Rahmen der Konformitätsprüfung geprüfte Version eines Produkts gültig.
Werden an einem zertifizierten Produkt Änderungen oder Modifikationen vorgenommen, entstehen neue Versionen/Konfigurationen, für die das erteilte Zertifikat keine Gültigkeit mehr besitzt. Soll die Konformität mit den Anforderungen der BSI TR-03174 auch für die Änderung oder Weiterentwicklung eines zertifizierten Produktes bestätigt werden, so kann beim BSI ein Antrag auf Re-Zertifizierung oder Maintenance gestellt werden.
Somit dokumentiert das Zertifikat den konformen Sicherheitszustand zum Zeitpunkt der Prüfung und dient als Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden.
Je nach Evaluierungsgegenstand werden kundenseitig verschiedene Beistellleistungen/Informationen für die Evaluierung benötigt, darunter zum Beispiel:
Die BSI TR-03174 besteht aus mehreren Teilen, die spezifische Anforderungen an Anwendungen im Finanzwesen definieren:
Jeder Teil ist auf die spezifischen Anforderungen und Bedrohungslagen der jeweiligen Plattform zugeschnitten. Die vollständigen Dokumente sind auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) verfügbar.