Ausschreibung wissenschaftliche Mitarbeit – Security Analytics

(by RRZEicons, some rights reserved)

Bauen Sie mit uns an einem modularen System für IT Security Analysen, gerne auch im medizinischen Kontext! Wir bieten Ihnen dazu viele Themen, die sich gut für ein Hochschulpraktikum, Bachelorthesis, Masterprojekt oder Masterthesis eignen. Dabei haben Sie die Möglichkeit, aus mehreren Bereichen zu wählen, von der Bewertung der Informationsquellen, der technischen Integration, der visuellen Darstellung bis zur Korrelation mit bestehenden Auswertungen. Hierzu gibt es sowohl konzeptionelle, als auch technisch-praktische Aufgaben.

Unser Ziel ist es, ein modulares System hinsichtlich der IT-Security zu entwickeln mit einem Elastic-Stack im Zentrum, sowie einer Vielzahl an gängigen Applikation oder anderen Quellen, die Informationen einspeisen.Sie werden die Möglichkeit haben mit folgenden Tools und Standards zu arbeiten:

  • Ansible
  • Elasticsearch, Logstash, Kibana, Grafana
  • Kafka
  • Openvas, nmap
  • Honeypots
  • Jira, Confluence, Bitbucket
  • Docker/Container
  • ISO 27001
  • CIS-CSC
  • … und vieles mehr

Wir suchen motivierte Personen, die sich mit Informationssicherheit auskennen und zielorientiert arbeiten können. Die oben genannten Tools und Standards sollten größtenteils keine Fremdwörter sein. Kontakt: hr@dahamoo.com

Kickoff „ISMS Projekt“ im Krankenhaus

Nachdem die Geschäftsführung beschlossen hatte, ein ISMS (Informationssicherheits-Managementsystem) bis zum Ende des Jahres (2018) einzuführen, hatten wir diese Woche das Kick-off Meeting mit dem Leiter IT. Die erste Entscheidung war, den internationalen Standard ISO 27001 (Anforderungen an ein ISMS) als Basis für die Implementierung heranzuziehen. Ein Vorteil dieses Vorgehens ist es, sich zu einem späteren Zeitpunkt zertifizieren lassen zu können und ein solches Zertifikat für regulatorische Nachweispflichten (KRITIS, DSGVO, etc.) zu gebrauchen.  Auch bei etwaigen Haftungsfragen der Geschäftsführung ist ein solches Zertifikat immer ein Pluspunkt. Ein weiterer Vorteil ist die weltweite Verbreitung des Standards, sein Reifegrad und die hinreichende Verfügbarkeit von inhaltlichen und personellen Ressourcen.

Also, los geht’s! Continue reading

Was ist eigentlich ein ISMS … und was nicht?

Diagram by Karn G. Bulsuk (http://www.bulsuk.com)

Da sich die Krankenhäuser, die unter KRITIS fallen, inzwischen auf den Weg machen, ein sogenanntes ISMS zu implementieren, möchte ich versuchen, ein wenig Klarheit zu schaffen und das eine oder andere Missverständnis ausräumen, das mir als Berater, Auditor und Trainer zum Thema ISO 27001 (ein Standard, der Anforderungen an ein ISMS enthält) über den Weg läuft.

Klar, ISMS steht für Informationssicherheitsmanagementsystem, ein Wort mit 40 Buchstaben und damit ein weiterer Grund, warum Ausländer über unsere schöne Sprache den Kopf schütteln. Wenn man es in der Mitte  aufteilt, bleibt rechts ein System übrig, mit dem man etwas „managen“ kann, typischerweise Qualität, Umweltschutz oder eben die Sicherheit von Informationen. Continue reading

Erfolgreiche Bachelorarbeit zu den Themen Log Management, ELK, COBIT 5 und Metriken im Krankenhaus

Nach einem arbeitsreichen Jahr 2017 freuen wir uns vermelden zu können, dass wir eine weitere Bachelorarbeit an der Hochschule Bonn Rhein-Sieg erfolgreich begleiten konnten. Till Schlüter, der bei der Dahamoo GmbH bereits im Frühjahr 2017 sein Pflichtpraktikum absolvierte, hatte sich dabei ein Thema aus dem Bereich Log Management, und wie man es zum Nachweis von Sicherheitsprozessen einsetzen kann, gewählt.

Herr Schlüter: „Der Ausgangspunkt meiner Arbeit ist die Fragestellung, wie sich die meist recht abstrakten Metriken des COBIT-Frameworks in den technischen und systemnahen Daten, die in Form von Log-Dateien anfallen, widerspiegeln und ob auf dieser Basis eine automatisierte Bewertung der Prozess-Performance möglich ist.“

Für die technische Evaluierung der Ergebnisse aus Kundensicht stand freundlicherweise das Klinikum Leverkusen zur Verfügung. Dieses verfügt über eine moderne Log-Management Infrastruktur basierend auf dem sogenannten ELK-Stack und sein Leiter der IT, Herr Jens Schulze, war sehr an den Ergebnissen interessiert. Herr Schulze: „Seit wir wissen, dass wir als Klinikum unter das IT-Sicherheitsgesetz fallen, hat sich die Bedeutung der IT-Sicherheit nochmals erhöht. Insbesondere zur Erkennung von Anomalien und der Erfüllung der gesetzlichen Nachweispflichten ist ein modernes Log-Management erforderlich.“ Continue reading

Der Schatz im eigenen Unternehmen

logging_grafikIn der heutigen Zeit sind Informationen mit das Wichtigste. Jeder holt sich neue Informationen aus dem Web oder aus Zeitschriften. Wir werden förmlich mit Informationen überflutet. Dabei ist es wichtig die wichtigen Elemente herauszufiltern um nicht darin unterzugehen. Am besten sind Plattformen, welche alle Informationen zentralisieren und damit den User erlauben die für ihn wichtigen Informationen zu filtern. Warum nicht auch im eigenen Unternehmen? Continue reading

Die Renaissance der Logs

Wer schodashboardn etwas länger dabei ist, mag sich an die 90er erinnern. Wenn man seinerzeit das Logging einschaltete, waren die Platten in Kürze gefüllt, mit der Folge, dass man es umgehend wieder ausschaltete 😉

Zehn Jahre später, in 00ern, war der Speicherplatz vorhanden, doch brauchbare Tools zur Auswertung fehlten gänzlich. Wer wollte schon Millionen von Events „zu Fuß“ auswerten?

Nochmal zehn Jahre später sind die Auswertetools wie ElasticSearch oder Splunk endgültig in der Breite verfügbar, Big Data sei Dank!

Folglich können die lange gehegten Wünsche eines Leiters IT-Sicherheit heute in Erfüllung gehen, als da sind:

Continue reading

„Opinion Audit“ – Ihr nächster Schritt zur zertifizierbaren IT-Sicherheit im Krankenhaus

siegel

In der Presse hat sich der Wirbel rund um die zahlreichen gezielten Angriffe auf deutsche Krankenhäuser der vergangenen Monate gelegt. Auch um das IT-Sicherheitsgesetz ist es still geworden.

Etwas Aufregung. Ein paar installierte Virenscanner und Firewalls. Ist das nötigste für den Erhalt eines ausreichend hohen IT-Sicherheitsniveaus somit getan und erreicht?

Mitnichten. Doch wie sieht der nächste Schritt in Richtung IT-Sicherheit und Konformität zum IT-Sicherheitsgesetz aus?

Continue reading

conhIT 2016 oder „Security is a process, not a product“

© 2016 Messe Berlin

© 2016 Messe Berlin

Die conhIT wirft Ihre Schatten voraus. Als wir uns im Herbst mit einem guten Kunden für einen Vortrag zum Thema IT-Sicherheit bewarben, waren wir überrascht, von den Veranstaltern ausgewählt worden zu sein. Schließlich gab und gibt es eine Reihe anderer spannender Themen in der Gesundheits-IT, die seinerzeit weiter oben auf der Agenda standen.

Als Anfang des Jahres die (in Fachkreisen seit langem bekannten) IT-Sicherheits-Probleme in Krankenhäusern einer breiteren Öffentlichkeit bewusst wurden, versuchte natürlich auch die Messe das Thema aufzugreifen. Angesichts des großen Nachholbedarfs der Branche ist dies ausdrücklich zu begrüßen!

Natürlich fühlen sich – wie immer in solchen Fällen – auch eine Menge „Glücksritter“ aufgerufen, um ein Stück vom Kuchen abzuhaben und bieten Geschäftsführern tolle IT-Sicherheits-Produkte an. Continue reading

Finally! Ein zeitgemäßer Cyber Security Standard für die Praxis („SANS-CSC“)

Global Threats - (c) 2008-2015 Dahamoo GmbH

Global Threats – (c) 2008-2015 Dahamoo GmbH

IT-Sicherheit ist schon wegen des Internets ein grenzenloses, weltweites Thema, weswegen sich der Blick auf das Geschehen außerhalb Deutschlands in der Regel lohnt.

Dort hat die aus dem Britischen Standard BS7799 hervorgegangen Serie der ISO Standards 27xxx zwar in den letzten 10 Jahren eine gewisse Verbreitung gefunden – speziell wenn es um die Zertifizierung eines Information Security Management Systems (ISMS) ging; in der Praxis haben sich jedoch aus unserer Erfahrung die dort zahlreich, aber lose aufgelisteten Kontrollen als zu abstrakt erwiesen, um mit vernünftigem Aufwand eine wirkungsvolle Cyber Defense aufzubauen. Sicher, wenn alle Risiken mittels des ISMS ermittelt und adressiert werden könnten, käme man theoretisch nach einer gewissen Zeit zu einem angemessenen Maß an Sicherheit. Und wenn man alle Kontrollen der ISO 27002 implementieren würde, hätte man sicher einen guten Grundschutz.

Nur, welche Firma hat die Zeit und das Geld, diesen Aufwand einmalig und dauerhaft zu stemmen? Und wo fange ich eigentlich an, was ist wichtig, welche Lösungen/Produkte gibt es? Wie kann ich die Wirksamkeit der Kontrollen messen?

Diese Fragen werden in einem Cyber Security Framework besser adressiert, das sich nach unserer Beobachtung auf internationaler Ebene immer mehr durchsetzt, und zwar die „Critical Security Controls for Effective Cyber Defense“ vom SANS Institute. Die Kontrollen sind zeitgemäß und bauen systematisch aufeinander auf, so dass man die Priorisierung bei der Umsetzung quasi „geschenkt“ bekommt, d.h. man arbeitet sich einfach durch die Step-by-Step Beschreibungen.

Des weiteren sind alle Kontrollen mit Kosten/Nutzen Kategorien versehen. Das heißt, der Anwender kann sich zunächst auf die sogenannten QuickWins konzentrieren und die technologisch aufwendigen, sprich teuren, Kontrollen („advanced“) hinten anstellen.

Ebenso gibt es eine komplette Übersicht von Tools und Programmen, OpenSource wie kommerziell, die zur Umsetzung der Kontrollen herangezogen werden können. Schlussendlich sind Wirksamkeitmetriken und Wirksamkeitstest beschrieben, so dass sich die Umsetzung einheitlich messen lässt, d.h. alle nutzen den selben Maßstab und die selben Messverfahren, was eine gute Vergleichbarkeit ermöglicht!

Bei eine zweistelligen Anzahl von Anwendungen in der Kundenberatung in den letzten 12 Monaten wurden diese Eigenschaften ausnahmslos geschätzt. Alles in allem lassen die SANS-Critical Security Controls also kaum Wünsche für den IT-Security Professional offen.

Masterthesis: IT-Sicherheitsgesetz – Zertifizierung/Förderung der Cyber-Sicherheit im Gesundheitswesen

h-brs

Hochschule Bonn-Rhein-Sieg, Picture: tohma, some rights reserved.

Zur Steigerung der Cyber-Sicherheit sogenannter „kritischer Infrastrukturen“ (kurz: KRITIS) trat am 25. Juli 2015 das neue IT-Sicherheitsgesetz in Kraft, siehe Bundesamt für Sicherheit in der Informationstechnik und heise.de. Zu den KRITIS-Einrichtungen zählen insbesondere auch Krankenhäuser und Kliniken. Zur Sicherstellung und Bewahrung eines „angemessen hohen“ Sicherheitsniveaus wird von den KRITIS-Einrichtungen und deren Betreibern unter anderem gefordert, dass sie innerhalb der kommenden zwei Jahre das Sicherheitsniveau durch IT-Sicherheitsaudits und -Zertifizierungen nachweisen. Weiterhin müssen die Betreiber die Einhaltung eines hohen Sicherheitsniveaus alle zwei Jahre nachweisen.

Das Anstreben einer IT-Sicherheitszertifizierung ist meist mit hohen finanziellen und organisatorischen Aufwänden verbunden. Der tatsächliche Aufwand und der Nutzen einer Zertifizierung sind dabei stark von dem genutzten Standard abhängig.

Continue reading