Author Archives: Daniel Hallen

Die Renaissance der Logs

Wer schodashboardn etwas länger dabei ist, mag sich an die 90er erinnern. Wenn man seinerzeit das Logging einschaltete, waren die Platten in Kürze gefüllt, mit der Folge, dass man es umgehend wieder ausschaltete 😉

Zehn Jahre später, in 00ern, war der Speicherplatz vorhanden, doch brauchbare Tools zur Auswertung fehlten gänzlich. Wer wollte schon Millionen von Events „zu Fuß“ auswerten?

Nochmal zehn Jahre später sind die Auswertetools wie ElasticSearch oder Splunk endgültig in der Breite verfügbar, Big Data sei Dank!

Folglich können die lange gehegten Wünsche eines Leiters IT-Sicherheit heute in Erfüllung gehen, als da sind:

Continue reading

Die Ruhe nach dem Sturm

Die Ruhe nach dem Sturm <1mbNachdem einer breiteren Öffentlichkeit Anfang des Jahres die IT-Sicherheitsprobleme deutscher Krankenhäuser vor Augen geführt wurden, ist inzwischen eine (trügerische) Ruhe eingekehrt, die in solchen Fällen  leider typisch ist. Tatsächlich haben die Täter nach (inoffiziellen) Angaben des BSI allein in den USA $200.000.000 eingenommen. Es braucht keine hellseherischen Fähigkeiten, um vorauszusagen, dass ein Teil davon in die weitere Professionalisierung der Tools und das Beseitigen von Kinderkrankheiten „investiert“ wird.

So sollte man sich bei der Planung der Schutzmassnahmen besser nicht darauf verlassen, dass der Trojaner beispielsweise die Dateien weiterhin wie bisher in alphabetischer Reihenfolge verschlüsselt und gut sichtbar seine Dateiendung anfügt. Folgende Generationen von Ransomware werden sicher zufälliger und  besser getarnt vorgehen. Auch die Dauer der Verschlüsselung großer Datenmengen geht durch einige Optimierungen inzwischen so schnell, dass ein manuelles Eingreifen in den meisten Fällen zu spät sein dürfte.

Was also tun?

Continue reading

conhIT 2016 oder „Security is a process, not a product“

© 2016 Messe Berlin

© 2016 Messe Berlin

Die conhIT wirft Ihre Schatten voraus. Als wir uns im Herbst mit einem guten Kunden für einen Vortrag zum Thema IT-Sicherheit bewarben, waren wir überrascht, von den Veranstaltern ausgewählt worden zu sein. Schließlich gab und gibt es eine Reihe anderer spannender Themen in der Gesundheits-IT, die seinerzeit weiter oben auf der Agenda standen.

Als Anfang des Jahres die (in Fachkreisen seit langem bekannten) IT-Sicherheits-Probleme in Krankenhäusern einer breiteren Öffentlichkeit bewusst wurden, versuchte natürlich auch die Messe das Thema aufzugreifen. Angesichts des großen Nachholbedarfs der Branche ist dies ausdrücklich zu begrüßen!

Natürlich fühlen sich – wie immer in solchen Fällen – auch eine Menge „Glücksritter“ aufgerufen, um ein Stück vom Kuchen abzuhaben und bieten Geschäftsführern tolle IT-Sicherheits-Produkte an. Continue reading

Neuss: Lukaskrankenhaus durch Computer-Virus lahmgelegt!

gesundheitskontextIm Westen (leider) nichts Neues“ – ist man geneigt zu sagen, wenn das Thema nicht so ernst wäre. In der Tat dürfte dem geneigten Beobachter in den letzten Jahren nicht entgangen sein, dass die Verwundbarkeit von Medizintechnik und IT in unseren medizinischen Einrichtungen in den letzten Jahren stark zugenommen hat. Die Gründe sind aus unserer Sicht vielfältig, beginnend mit mangelndem Verständnis der Risiken auf Leitungsebene und der daraus folgenden Unterfinanzierung der IT/IT-Security. Weiterhin werden den Anwendern häufig Freiheitsgrade in der Nutzung der IT zugestanden, die andernorts seit langem nicht mehr erlaubt sind, z.B. private Hardware, private Software. Schlussendlich sind viele Medizingeräte im Grunde für einen Standalone-Betrieb konzipiert und sollten nicht ohne zusätzlichen Schutz vernetzt werden.

Was also tun? Continue reading

Finally! Ein zeitgemäßer Cyber Security Standard für die Praxis („SANS-CSC“)

Global Threats - (c) 2008-2015 Dahamoo GmbH

Global Threats – (c) 2008-2015 Dahamoo GmbH

IT-Sicherheit ist schon wegen des Internets ein grenzenloses, weltweites Thema, weswegen sich der Blick auf das Geschehen außerhalb Deutschlands in der Regel lohnt.

Dort hat die aus dem Britischen Standard BS7799 hervorgegangen Serie der ISO Standards 27xxx zwar in den letzten 10 Jahren eine gewisse Verbreitung gefunden – speziell wenn es um die Zertifizierung eines Information Security Management Systems (ISMS) ging; in der Praxis haben sich jedoch aus unserer Erfahrung die dort zahlreich, aber lose aufgelisteten Kontrollen als zu abstrakt erwiesen, um mit vernünftigem Aufwand eine wirkungsvolle Cyber Defense aufzubauen. Sicher, wenn alle Risiken mittels des ISMS ermittelt und adressiert werden könnten, käme man theoretisch nach einer gewissen Zeit zu einem angemessenen Maß an Sicherheit. Und wenn man alle Kontrollen der ISO 27002 implementieren würde, hätte man sicher einen guten Grundschutz.

Nur, welche Firma hat die Zeit und das Geld, diesen Aufwand einmalig und dauerhaft zu stemmen? Und wo fange ich eigentlich an, was ist wichtig, welche Lösungen/Produkte gibt es? Wie kann ich die Wirksamkeit der Kontrollen messen?

Diese Fragen werden in einem Cyber Security Framework besser adressiert, das sich nach unserer Beobachtung auf internationaler Ebene immer mehr durchsetzt, und zwar die „Critical Security Controls for Effective Cyber Defense“ vom SANS Institute. Die Kontrollen sind zeitgemäß und bauen systematisch aufeinander auf, so dass man die Priorisierung bei der Umsetzung quasi „geschenkt“ bekommt, d.h. man arbeitet sich einfach durch die Step-by-Step Beschreibungen.

Des weiteren sind alle Kontrollen mit Kosten/Nutzen Kategorien versehen. Das heißt, der Anwender kann sich zunächst auf die sogenannten QuickWins konzentrieren und die technologisch aufwendigen, sprich teuren, Kontrollen („advanced“) hinten anstellen.

Ebenso gibt es eine komplette Übersicht von Tools und Programmen, OpenSource wie kommerziell, die zur Umsetzung der Kontrollen herangezogen werden können. Schlussendlich sind Wirksamkeitmetriken und Wirksamkeitstest beschrieben, so dass sich die Umsetzung einheitlich messen lässt, d.h. alle nutzen den selben Maßstab und die selben Messverfahren, was eine gute Vergleichbarkeit ermöglicht!

Bei eine zweistelligen Anzahl von Anwendungen in der Kundenberatung in den letzten 12 Monaten wurden diese Eigenschaften ausnahmslos geschätzt. Alles in allem lassen die SANS-Critical Security Controls also kaum Wünsche für den IT-Security Professional offen.

Krankenhäuser als Ziel?!

Picture: Rtstudents, Some rights reserved

In der Diskussion mit Kunden wird immer wieder der Punkt aufgeworfen, dass Krankenhäuser an sich ja gar kein Ziel von Angreifer seien. Dabei genügt häufig schon ein genauer Blick in die lokale Presse um festzustellen, dass Kliniken durchaus ein Ziel sind, siehe zum Beispiel diesen Diebstahl bei uns im Bonner Raum.

Perfiderweise sind Krankenhäuser gerade ein besonders interessantes Ziel, da sie durch die gebotene Offenheit im Umgang mit hilfsbedürftigen Menschen in der Regel nicht besonders gut geschützt sind.

Auch schrecken Diebe offenbar nicht vor brutaler Gewalt zurück, wie der jüngste Raubüberfall auf die Notaufnahme der Bonner Uniklinik zeigt, der im nächtlichen Einsatz des Polizeihubschraubers endete.

Fügt man dieser Skrupellosigkeit und kriminellen Energie noch etwas technischen Sachverstand hinzu, muss man sich nicht wundern, wenn Massen lukrativer Patientendaten gestohlen werden, siehe zum Beispiel Artikel „Hacker brechen in US-Klinik ein: 4,5 Millionen Datensätze betroffen“.

Continue reading

Noch ein „Beauftragter“? – IT-Sicherheit als Managementaufgabe

Nicht zuletzt seit der Diskussion über das geplante IT-Sicherheitsgesetz stellen sich viele klinische Einrichtungen die Frage, ob sie einen sogenannten „IT-Sicherheitsbeauftragten“ benötigen. Immerhin sind Kliniken als kritische Infrastruktureinrichtungen im Gespräch, die über eine entsprechend robuste IT-Infrastruktur verfügen sollten.

In meinen langjährigen Erfahrungen als interner, Interims- bzw. externer IT-Sicherheitsbeauftragter im In- und Ausland habe ich immer wieder die Erfahrung gemacht, dass es sich bei dieser Aufgabe vor allem um einen Managementjob handelt.

Nicht zuletzt deshalb hat sich im angelsächsischen Raum längst die Führungsposition des „Chief Information Security Officer“ (CISO) etabliert. Continue reading

Big Data macht‘s möglich: Klinikweite Logfile-Auswertungen mit „ELK“

Digital HospitalWas in der Medizin unvorstellbar erscheint – eine Behandlung ohne Untersuchung – ist in der Krankenhaus-IT scheinbar gelebte Praxis. Denn viel zu häufig werden Logdateien zwar erfasst, aber nicht systematisch zur „Untersuchung“ ausgewertet. Im Ergebnis steht ein ziemlicher Blindflug – Sicherheitsverletzungen, Datendiebstähle, Einbrüche und andere Vorälle bleiben unentdeckt; deren  „Behandlung“ eher dem Zufall überlassen.

Dies ist umso dramatischer, da restriktive IT-Sicherheits-Maßnahmen in der Regel nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen. Continue reading

Die TOP 5 IT-Sicherheitsrisiken im Krankenhaus

Natürlich kann (und muss) man über die Bewertung von Risiken diskutieren, schließlich handelt es bei Risiken um Ereignisse in der Zukunft, die eintreten können, aber nicht müssen.

Folglich kann es unterschiedliche Meinungen und Einschätzungen geben, die sich alle mehr oder weniger gut begründen lassen. Auch greifen statistische Methoden zu kurz, da es sich oft – wie zum Beispiel im Fall Schuhmacher – um singuläre Ereignisse handelt.

Dennoch halten wir es für sinnvoll, die nach unserer Einschätzung wichtigsten IT-Sicherheitsrisiken zu benennen und zur Diskussion zu stellen.

(c) 2014 Dahamoo GmbH

(c) 2014 Dahamoo GmbH – Die TOP 5 Risiken einer Klinik

Continue reading

Bachelorarbeit implementiert Open Source Protokollierung für Klinik

Warum ist die Protokollierung bei der Klink-IT so entscheidend?

Kibana 3 - KL 2014-09-01 12-51-39Da es im Umfeld einer Klinik immer wieder zu Notfall-Situationen kommt, und die Behandlung des Patienten absoluten Vorrang genießt, sind restriktive IT-Sicherheits-Maßnahmen nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen.

Umso wichtiger ist folglich die Protokollierung von Vorgängen (Events), da sie zumindest nachträglich Missbrauch aufdecken decken können.

Leider ist es in den vergangen Jahren aber so gewesen, dass Logfiles mit dem Hinweis auf begrenzten Speicherplatz oft gar nicht erzeugt wurden bzw. wegen des schieren Umfangs niemals analysiert wurden. Im besten Fall wurden die Logs an zentraler Stelle erfasst und archiviert, allerdings nicht analysiert, schon gar nicht in Echtzeit visualisiert.

Folglich bedarf es neuer Lösungen, die klinikweit Protokolldaten erfassen, Datenschutz konform aufbereiten, zusammenführen, analysieren, korrelieren und die Ergebnisse in Echtzeit visualisieren können. Selbstverständlich sollen die Kosten für eine solche Lösung überschaubar bleiben.

Vor diesem Hintergrund wurde die Bachelorarbeit von Herrn Leek mit dem Thema „Implementierung eines Open Source Analyse- und Visualisierungssystems für domänenspezifische Protokolldateien“ erstellt.

Es konnte erfreulicherweise am Beispiel der beteiligten Klinik gezeigt werden, dass ein Aufbau einer Open Source Lösung praktikabel ist und in kurzer Zeit zu relevanten Ergebnisse führt.

So war u.a. die Erkenntnis neu, dass ein erheblicher Anteil der Angriffe von Patienten selbst(!), und zwar über das eigene Patienten WLAN durchgeführt wurde. Ebenso wurde durch die Visualisierung der Fernzugänge schnell klar, dass die Firewall-Konfiguration nachgebessert werden musste.

Darüber hinaus erlaubt die Lösung eine Echtzeit-Sicht in Form eines Dashboards, so dass die Zeit zwischen Angriff und Angriffserkennung minimiert werden kann.

Fazit: Die technischen Möglichkeiten für eine Datenschutz konforme, sichere Protokollierung sind inzwischen gegeben. Und dies mit frei verfügbaren Open Source Tools.