TeleTrusT hat sich aktiv an der ersten Konsultationsphase beteiligt und dabei die gebündelte Expertise und langjährige Erfahrung seiner Mitgliedsunternehmen eingebracht. Der Bundesverband befürwortet die Fortführung dieses partizipativen Verfahrens ausdrücklich und beabsichtigt, sich auch an der zweiten Konsultationsrunde engagiert zu beteiligen. Mit Forderungen wie "Ende-zu-Ende-Digitalisierung – Stack-Elemente müssen in Ende-zu-Ende digitalisierten und anschlussfähigen Prozessen verwendet werden" oder "Technologisch aktuell – Stack-Elemente sind auf dem neuesten Stand der Technik" werden auch Aspekte aufgegriffen, die TeleTrusT entsprechend kommentiert hat.

TeleTrusT-Vorstand Dr. Kim Nguyen (Bundesdruckerei): "Der D-Stack ist das richtige Mittel, um die Digitalisierung der Verwaltung spürbar und sichtbar voranzubringen. Seitens TeleTrusT werden wir uns gerne an der zweiten Phase der Konsultation beteiligen und dabei die Expertise unserer Mitglieder insbesondere in Hinsicht auf IT-Sicherheit, Architektur und digitale Souveränität einbringen. So wollen wir unseren Teil dazu leisten, noch im Jahr 2026 eine spürbare Entwicklung und Verbesserung zu ermöglichen."

TeleTrusT sieht im Deutschland-Stack eine wichtige Grundlage für interoperable, sichere und souveräne digitale Verwaltungsstrukturen und unterstützt dessen Weiterentwicklung im engen Dialog mit Politik und Verwaltung.

Unternehmen suchen verstärkt qualifiziertes Personal, das nachweisen kann, den komplexen Herausforderungen der IT-Sicherheit gewachsen zu sein. Mit den stetig zunehmenden Anforderungen an die Informationssicherheit steigt sowohl das Interesse von Beschäftigten, ihre Qualifikation nachzuweisen, als auch das Interesse der Arbeitgeber, zuverlässig qualifizierte Fachkräfte im Unternehmen zu binden. Das Zertifikat "TeleTrusT Information Security Professional" (T.I.S.P.) ist ein anerkannter Nachweis dieser Art.

Von TeleTrusT kam vor 2004 der Anstoß für die Entwicklung eines deutschsprachigen Personenzertifikates, das alle wesentlichen internationalen Standards beinhaltet und zudem auch auf die Bereiche der Informationssicherheit in Deutschland und Europa zugeschnitten ist. Im Ergebnis wurde der "T.I.S.P." entwickelt.

"T.I.S.P." ist eine geschützte Marke des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT). Die Schulungen zum "T.I.S.P." werden durch anerkannte Schulungsanbieter und die Prüfung durch die DEKRA bzw. PersCert TÜV durchgeführt. Auf größtmögliche Praxisnähe wird Wert gelegt.

Jedes Schulungsunternehmen, das T.I.S.P.-Schulungen anbietet, muss zuvor einen Lizenzierungsprozess durchlaufen. Dadurch wird ein gleichbleibend hoher Standard und eine Vergleichbarkeit der T.I.S.P.-Zertifikate verschiedener Anbieter sichergestellt. Anerkannte T.I.S.P.-Schulungsanbieter sind AWARE7, Fraunhofer SIT, isits, M&H IT-Security und Secorvo Security Consulting.

Birgitte Baardseth, Vorständin der isits AG und Sprecherin des T.I.S.P.-Lenkungsgremiums: "IT-Sicherheit ist zu einer tragenden Säule für sichere Infrastrukturen und den Schutz der Gesellschaft geworden. Wir freuen uns sehr, dass wir mit der Idee und der stetigen Weiterentwicklung der T.I.S.P.-Zertifizierung den richtigen Weg eingeschlagen haben und Fachkräfte mit dieser Qualifikation bei der Bewältigung der umfangreichen Aufgaben der Branche hohes Vertrauen genießen und gefragt sind."

Dr. Holger Mühlbauer, Geschäftsführer TeleTrusT: " Mit dem T.I.S.P. belegen Fachleute ihr profundes Wissen auf dem Gebiet der Informationssicherheit. Die Inhalte, die für das T.I.S.P.-Zertifikat vermittelt werden, umfassen die wichtigsten internationalen Aspekte der Informationssicherheit und berücksichtigen darüber hinaus die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung."

Die aktuellen Prüfungszahlen belegen, dass das T.I.S.P.-Zertifikat in der deutschen Wirtschaft wachsende Akzeptanz erfährt und somit einen Mehrwert für Absolventen und Absolventinnen wie für Unternehmen bzw. Institutionen darstellt. Selbstverständlich ersetzt ein Personenzertifikat nicht die darüber hinausgehende ständige Fortbildung. Qualifizierung und Weiterbildung sind auch auf dem Gebiet der IT-Sicherheit Ausdruck des notwendigen "lebenslangen Lernens". Der T.I.S.P. ist ein wichtiger Teil davon.

https://www.teletrust.de/tisp/

https://www.teletrust.de/tisp/tisp-community-meeting/2024/

Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden "Software Bill of Materials"

"Software Bills of Materials" (SBOMs) sind ein relativ neues Werkzeug in der IT-Sicherheit. Die Einsatzmöglichkeiten werden sich in den kommenden Jahren deutlich erweitern. Der jetzt veröffentlichte TeleTrusT-Leitfaden "Software Bill of Materials" beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge. Die Publikation entstand in der TeleTrusT-AG "Cloud Security".

https://www.teletrust.de/…

"Software Bill of Materials" sind ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette. Die aktuell verfügbaren Werkzeuge konzentrieren sich jedoch auf Software im engeren Sinne und berücksichtigen die erweiterten Anforderungen durch die Nutzung von Cloud Services, sei es als SaaS, über Cloud APIs oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht. Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt. Lieferanten und deren Komponenten genießen oft ein hohes Vertrauen und weitgehende Rechte. Die Transparenz über die genaue Zusammensetzung dieser Komponenten ist häufig unzureichend.

Diese Kombination führt dazu, dass Unternehmen kaum in der Lage sind, Risiken in der IT Supply Chain proaktiv zu erkennen oder entsprechende Angriffe abzuwehren. Vielmehr müssen sie sich weitgehend auf ihre Zulieferer verlassen.

Software Bills of Materials, also Software-Stücklisten, bieten hier eine Lösung, indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der Supply Chain erhöhen. Dies ermöglicht es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.

SBOMs liefern außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützen so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden.

Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Software Bills of Materials sorgen für Transparenz in der IT Supply Chain. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich. Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen."

Das T.I.S.P.-Personenzertifizierungsprogramm umfasst eine mehrtägige Schulung bei einem anerkannten Schulungsanbieter, an die sich eine intensive Prüfung anschließt. Mit der erfolgreich absolvierten Schulung und Prüfung zum T.I.S.P. belegen IT-Sicherheitsfachleute umfassende Kenntnisse und Fähigkeiten im IT-Sicherheitsumfeld auf operativer, taktischer und strategischer Ebene. Das Zertifikat hat eine Gültigkeit von drei Jahren und kann durch Rezertifizierung verlängert werden.

Dana Hofmann, IT Security Consultant bei der Bundesdruckerei GmbH im Bereich Digitalisation & Data Solutions, hat als 2.000ste Person das T.I.S.P.-Zertifikat erworben. Sie sagt: "Das T.I.S.P.-Zertifikat umfasst eine ganzheitliche Betrachtung der IT-Sicherheitswelt, die mir in meiner täglichen Arbeit als IT-Sicherheitsberaterin in vielfältigen Digitalisierungsprojekten der Bundesverwaltung begegnet. Zudem schätze ich den Fokus auf europäische Standards und Normen – auf diese Weise ergibt sich für mich ein wertvoller Kompetenznachweis für die vielen und unterschiedlichen sicherheitsrelevanten Fragestellungen unserer Zeit."

Zertifikate wie der T.I.S.P. sind nachgefragtes Zeugnis für hochspezialisiertes Fachwissen und helfen bei der beruflichen Weiterentwicklung, da sie Arbeitgebern als Beleg für persönliche Qualifikation dienen, die dem Unternehmen zugute kommt.

Weitere Informationen, Schulungsanbieter und Termine zum "T.I.S.P." unter www.teletrust.de/tisp/.

Der sogenannten "Fiskalisierung" liegen verschiedene Rechtsnormen, Verwaltungsvorschriften, Technische Richtlinien des BSI sowie Common-Criteria-Schutzprofile zugrunde.

Für eine betriebsbereite Technische Sicherheitseinrichtung (TSE) sind aktuell mindestens 5 Zertifizierungen zu durchlaufen. Die Zertifizierungsgrundlagen haben jeweils ihren eigenen Lebenszyklus und die Zertifizierungen haben unterschiedliche Laufzeiten von 3 Jahren mit jährlicher Auditierung bis hin zu 8 Jahren.

Die Betriebserlaubnis der TSE ist nur gegeben, solange sämtliche Zertifizierungen noch gültig sind und die TSE in einem sogenannten "zertifizierten Modus" eingesetzt wird. Dabei sind bestimmte Einsatzbedingungen einzuhalten.

Diese Aufzählung zeigt, dass die Umsetzung der Fiskalisierung für Kassen- und TSE-Hersteller, Integratoren und Steuerpflichtige eine komplexe Angelegenheit ist, die Zertifizierungs- und Einsatzbedingungen sich stetig wandeln und die Verwender von TSE aufgrund der unterschiedlichen Zertifikatslaufzeiten mit der ständigen Unsicherheit leben müssen, wie lange die eingesetzte TSE noch verwendet werden darf.

Viele der beteiligten Parteien klagen darüber, dass die geschilderte Komplexität sie überfordert und sie die TSE nicht oder nicht wie vorgeschrieben – also im zertifizierten Modus – betreiben können.

Um die Komplexität der Fiskalisierung zu verringern und sie für alle beteiligten Parteien handhabbar zu gestalten, entwickelt eine TeleTrusT-Arbeitsgruppe (https://www.teletrust.de/arbeitsgremien/fiskalisierung/) ein Fiskalisierungs-Framework als Handreichung für die Praxis. Ziel ist die Veröffentlichung einer ersten Version dieses Frameworks zu Anfang 2024.