35C3: Digitale Gesundheitsakten weisen Schwachstellen auf

Ende letzten Jahres war ich auf dem 35. Chaos Communication Congress (35C3), der jährlichen Jahresendveranstaltung des Chaos Computer Clubs, die 2018 zum zweiten Mal auf dem Leipziger Messegelände stattfand.

Mit dieser Veranstaltung schafft der CCC jedes Jahr einen Raum für den Austausch über IT, IT-Sicherheit und die Implikationen für die Gesellschaft. Ein umfangreiches Vortragsprogramm wird ergänzt durch farbenfrohe Installationen und die Präsenzen vieler dem Club nahestehender Gruppen, die auf ihren Flächen Informationen und Workshops anbieten. Genauso vielfältig ist die Teilnehmerschaft, die nicht nur aus dem IT-Sektor stammt: Das einladende Motto „all creatures welcome“ macht deutlich, dass diese stark teilnehmergetriebene Veranstaltung allen Interessierten offensteht.

Die Glashalle der Leipziger Messe während der Veranstaltung. Foto: Leah Oswald unter CC-BY 2.0

Die Glashalle der Leipziger Messe während der Veranstaltung.
(Foto: Leah Oswald unter CC-BY 2.0)

Der Untertitel des 35C3 war „Refreshing Memories“. Neben der Erinnerung an frühere Chaos-Events und der technischen Bedeutung des Ausdrucks ist er auch als Aufforderung gemeint, in wissenschaftsfeindlichen Zeiten zu Fakten und Weltoffenheit zurückzufinden.

Fast alle Vorträge der Veranstaltung wurden aufgezeichnet und stehen auf media.ccc.de zum Nachschauen bereit. Auf den Beitrag mit dem Titel All your Gesundheitsakten are belong to us möchte ich an dieser Stelle besonders hinweisen.

Der vortragende IT-Sicherheitsforscher, Martin Tschirsich, untersuchte verschiedene Implementierungen einer elektronischen Gesundheitsakte und einige Softwareprodukte zur Durchführung von Videosprechstunden auf Schwachstellen. Eine elektronische Gesundheitsakte ist eine Anwendung, die der Kommunikation und dem Dokumentenaustausch zwischen Patient und Arzt dient. Diese Anwendungen sind meist als App oder als Webapplikation umgesetzt.

Aufgrund der besonders sensiblen Art der ausgetauschten Daten ist an dieser Stelle ein hohes Sicherheitsniveau unabdingbar: Gesundheitsdaten nehmen unter den personenbezogenen Daten eine Sonderrolle ein, da viele Informationen nicht veralten. Während Kreditkartennummern austauschbar sind, lässt sich die eigene Krankheitshistorie nicht ablegen. Werden Gesundheitsdaten öffentlich bekannt, hat das für die Betroffenen unter Umständen nicht finanzielle, sondern gravierende gesellschaftliche und soziale Auswirkungen.

Umso ernüchternder ist, dass der Referent in mehreren Produkten gravierende Sicherheitslücken finden konnte – von SQL-Injections und Cross-Site-Scripting-Lücken über den schwachen Schutz von Gesundheitsdaten durch zu kurze Session-IDs bis hin zu konzeptionellen Fehlern, die Offline-Cracking von Benutzerpasswörtern ermöglichen. Tschirsich mahnt die Software-Hersteller dazu, das Öffentlichwerden von Gesundheitsdaten nicht bloß als finanzielles Risiko zu sehen, sondern auch die Auswirkungen auf die Benutzer zu berücksichtigen.

Die Nutzung einer elektronischen Gesundheitsakte ist bislang zwar optional, was sich zukünftig jedoch ändern könnte – schließlich gehen mit einer solchen Anwendung auch Erleichterungen in der Praxis einher. Bis dahin sind jedoch offenbar noch massive Verbesserungen wünschenswert.

„ISMS Projekt“ im Krankenhaus – Treffen mit dem Geschäftsführer

(by Pd4u [WTFPL or CC0], from Wikimedia Commons)

Wie bereits im ersten Beitrag zum Projekt erwähnt, muss die Geschäftsführung hinter dem ISMS stehen, damit es ein Erfolg werden kann. Deshalb haben wir den Leiter IT um ein gemeinsames Gespräch beim Geschäftsführer des Krankenhauses gebeten, sprich dem letztendlich Verantwortlichen.

Nach meiner Erfahrung haben Meetings mit Geschäftsführern immer eine gewisse Unberechenbarkeit. Trotz gewissenhafter Vorbereitung und akribischer Planung gibt es häufig Wendungen oder Fragen, mit denen keiner gerechnet hat. Vermutlich liegt es daran, dass nur Personen mit besonderen persönlichen Eigenschaften in diese Positionen drängen, in fast allen Fällen sind natürlich Ehrgeiz und gewisses Auftreten dabei. Wenn man Glück hat (wie in unserem Fall), ist dies gepaart mit Entscheidungsfreude, Pragmatismus und schneller Auffassungsgabe. Das führt dann nämlich dazu, dass man zügig voran kommt.

Wenn man Pech hat, Continue reading

Ausschreibung wissenschaftliche Mitarbeit – Security Analytics

(by RRZEicons, some rights reserved)

Bauen Sie mit uns an einem modularen System für IT Security Analysen, gerne auch im medizinischen Kontext! Wir bieten Ihnen dazu viele Themen, die sich gut für ein Hochschulpraktikum, Bachelorthesis, Masterprojekt oder Masterthesis eignen. Dabei haben Sie die Möglichkeit, aus mehreren Bereichen zu wählen, von der Bewertung der Informationsquellen, der technischen Integration, der visuellen Darstellung bis zur Korrelation mit bestehenden Auswertungen. Hierzu gibt es sowohl konzeptionelle, als auch technisch-praktische Aufgaben.

Unser Ziel ist es, ein modulares System hinsichtlich der IT-Security zu entwickeln mit einem Elastic-Stack im Zentrum, sowie einer Vielzahl an gängigen Applikation oder anderen Quellen, die Informationen einspeisen.Sie werden die Möglichkeit haben mit folgenden Tools und Standards zu arbeiten:

  • Ansible
  • Elasticsearch, Logstash, Kibana, Grafana
  • Kafka
  • Openvas, nmap
  • Honeypots
  • Jira, Confluence, Bitbucket
  • Docker/Container
  • ISO 27001
  • CIS-CSC
  • … und vieles mehr

Wir suchen motivierte Personen, die sich mit Informationssicherheit auskennen und zielorientiert arbeiten können. Die oben genannten Tools und Standards sollten größtenteils keine Fremdwörter sein. Kontakt: hr@dahamoo.com

Kickoff „ISMS Projekt“ im Krankenhaus

Nachdem die Geschäftsführung beschlossen hatte, ein ISMS (Informationssicherheits-Managementsystem) bis zum Ende des Jahres (2018) einzuführen, hatten wir diese Woche das Kick-off Meeting mit dem Leiter IT. Die erste Entscheidung war, den internationalen Standard ISO 27001 (Anforderungen an ein ISMS) als Basis für die Implementierung heranzuziehen. Ein Vorteil dieses Vorgehens ist es, sich zu einem späteren Zeitpunkt zertifizieren lassen zu können und ein solches Zertifikat für regulatorische Nachweispflichten (KRITIS, DSGVO, etc.) zu gebrauchen.  Auch bei etwaigen Haftungsfragen der Geschäftsführung ist ein solches Zertifikat immer ein Pluspunkt. Ein weiterer Vorteil ist die weltweite Verbreitung des Standards, sein Reifegrad und die hinreichende Verfügbarkeit von inhaltlichen und personellen Ressourcen.

Also, los geht’s! Continue reading

Was ist eigentlich ein ISMS … und was nicht?

Diagram by Karn G. Bulsuk (http://www.bulsuk.com)

Da sich die Krankenhäuser, die unter KRITIS fallen, inzwischen auf den Weg machen, ein sogenanntes ISMS zu implementieren, möchte ich versuchen, ein wenig Klarheit zu schaffen und das eine oder andere Missverständnis ausräumen, das mir als Berater, Auditor und Trainer zum Thema ISO 27001 (ein Standard, der Anforderungen an ein ISMS enthält) über den Weg läuft.

Klar, ISMS steht für Informationssicherheitsmanagementsystem, ein Wort mit 40 Buchstaben und damit ein weiterer Grund, warum Ausländer über unsere schöne Sprache den Kopf schütteln. Wenn man es in der Mitte  aufteilt, bleibt rechts ein System übrig, mit dem man etwas „managen“ kann, typischerweise Qualität, Umweltschutz oder eben die Sicherheit von Informationen. Continue reading

Erfolgreiche Bachelorarbeit zu den Themen Log Management, ELK, COBIT 5 und Metriken im Krankenhaus

Nach einem arbeitsreichen Jahr 2017 freuen wir uns vermelden zu können, dass wir eine weitere Bachelorarbeit an der Hochschule Bonn Rhein-Sieg erfolgreich begleiten konnten. Till Schlüter, der bei der Dahamoo GmbH bereits im Frühjahr 2017 sein Pflichtpraktikum absolvierte, hatte sich dabei ein Thema aus dem Bereich Log Management, und wie man es zum Nachweis von Sicherheitsprozessen einsetzen kann, gewählt.

Herr Schlüter: „Der Ausgangspunkt meiner Arbeit ist die Fragestellung, wie sich die meist recht abstrakten Metriken des COBIT-Frameworks in den technischen und systemnahen Daten, die in Form von Log-Dateien anfallen, widerspiegeln und ob auf dieser Basis eine automatisierte Bewertung der Prozess-Performance möglich ist.“

Für die technische Evaluierung der Ergebnisse aus Kundensicht stand freundlicherweise das Klinikum Leverkusen zur Verfügung. Dieses verfügt über eine moderne Log-Management Infrastruktur basierend auf dem sogenannten ELK-Stack und sein Leiter der IT, Herr Jens Schulze, war sehr an den Ergebnissen interessiert. Herr Schulze: „Seit wir wissen, dass wir als Klinikum unter das IT-Sicherheitsgesetz fallen, hat sich die Bedeutung der IT-Sicherheit nochmals erhöht. Insbesondere zur Erkennung von Anomalien und der Erfüllung der gesetzlichen Nachweispflichten ist ein modernes Log-Management erforderlich.“ Continue reading

Der Schatz im eigenen Unternehmen

logging_grafikIn der heutigen Zeit sind Informationen mit das Wichtigste. Jeder holt sich neue Informationen aus dem Web oder aus Zeitschriften. Wir werden förmlich mit Informationen überflutet. Dabei ist es wichtig die wichtigen Elemente herauszufiltern um nicht darin unterzugehen. Am besten sind Plattformen, welche alle Informationen zentralisieren und damit den User erlauben die für ihn wichtigen Informationen zu filtern. Warum nicht auch im eigenen Unternehmen? Continue reading

Die Renaissance der Logs

Wer schodashboardn etwas länger dabei ist, mag sich an die 90er erinnern. Wenn man seinerzeit das Logging einschaltete, waren die Platten in Kürze gefüllt, mit der Folge, dass man es umgehend wieder ausschaltete 😉

Zehn Jahre später, in 00ern, war der Speicherplatz vorhanden, doch brauchbare Tools zur Auswertung fehlten gänzlich. Wer wollte schon Millionen von Events „zu Fuß“ auswerten?

Nochmal zehn Jahre später sind die Auswertetools wie ElasticSearch oder Splunk endgültig in der Breite verfügbar, Big Data sei Dank!

Folglich können die lange gehegten Wünsche eines Leiters IT-Sicherheit heute in Erfüllung gehen, als da sind:

Continue reading

„Opinion Audit“ – Ihr nächster Schritt zur zertifizierbaren IT-Sicherheit im Krankenhaus

siegel

In der Presse hat sich der Wirbel rund um die zahlreichen gezielten Angriffe auf deutsche Krankenhäuser der vergangenen Monate gelegt. Auch um das IT-Sicherheitsgesetz ist es still geworden.

Etwas Aufregung. Ein paar installierte Virenscanner und Firewalls. Ist das nötigste für den Erhalt eines ausreichend hohen IT-Sicherheitsniveaus somit getan und erreicht?

Mitnichten. Doch wie sieht der nächste Schritt in Richtung IT-Sicherheit und Konformität zum IT-Sicherheitsgesetz aus?

Continue reading

Die Ruhe nach dem Sturm

Die Ruhe nach dem Sturm <1mbNachdem einer breiteren Öffentlichkeit Anfang des Jahres die IT-Sicherheitsprobleme deutscher Krankenhäuser vor Augen geführt wurden, ist inzwischen eine (trügerische) Ruhe eingekehrt, die in solchen Fällen  leider typisch ist. Tatsächlich haben die Täter nach (inoffiziellen) Angaben des BSI allein in den USA $200.000.000 eingenommen. Es braucht keine hellseherischen Fähigkeiten, um vorauszusagen, dass ein Teil davon in die weitere Professionalisierung der Tools und das Beseitigen von Kinderkrankheiten „investiert“ wird.

So sollte man sich bei der Planung der Schutzmassnahmen besser nicht darauf verlassen, dass der Trojaner beispielsweise die Dateien weiterhin wie bisher in alphabetischer Reihenfolge verschlüsselt und gut sichtbar seine Dateiendung anfügt. Folgende Generationen von Ransomware werden sicher zufälliger und  besser getarnt vorgehen. Auch die Dauer der Verschlüsselung großer Datenmengen geht durch einige Optimierungen inzwischen so schnell, dass ein manuelles Eingreifen in den meisten Fällen zu spät sein dürfte.

Was also tun?

Continue reading