Erfolgreiche Bachelorarbeit zu den Themen Log Management, ELK, COBIT 5 und Metriken im Krankenhaus

Nach einem arbeitsreichen Jahr 2017 freuen wir uns vermelden zu können, dass wir eine weitere Bachelorarbeit an der Hochschule Bonn Rhein-Sieg erfolgreich begleiten konnten. Till Schlüter, der bei der Dahamoo GmbH bereits im Frühjahr 2017 sein Pflichtpraktikum absolvierte, hatte sich dabei ein Thema aus dem Bereich Log Management, und wie man es zum Nachweis von Sicherheitsprozessen einsetzen kann, gewählt.

Herr Schlüter: „Der Ausgangspunkt meiner Arbeit ist die Fragestellung, wie sich die meist recht abstrakten Metriken des COBIT-Frameworks in den technischen und systemnahen Daten, die in Form von Log-Dateien anfallen, widerspiegeln und ob auf dieser Basis eine automatisierte Bewertung der Prozess-Performance möglich ist.“

Für die technische Evaluierung der Ergebnisse aus Kundensicht stand freundlicherweise das Klinikum Leverkusen zur Verfügung. Dieses verfügt über eine moderne Log-Management Infrastruktur basierend auf dem sogenannten ELK-Stack und sein Leiter der IT, Herr Jens Schulze, war sehr an den Ergebnissen interessiert. Herr Schulze: „Seit wir wissen, dass wir als Klinikum unter das IT-Sicherheitsgesetz fallen, hat sich die Bedeutung der IT-Sicherheit nochmals erhöht. Insbesondere zur Erkennung von Anomalien und der Erfüllung der gesetzlichen Nachweispflichten ist ein modernes Log-Management erforderlich.“ Continue reading

Der Schatz im eigenen Unternehmen

logging_grafikIn der heutigen Zeit sind Informationen mit das Wichtigste. Jeder holt sich neue Informationen aus dem Web oder aus Zeitschriften. Wir werden förmlich mit Informationen überflutet. Dabei ist es wichtig die wichtigen Elemente herauszufiltern um nicht darin unterzugehen. Am besten sind Plattformen, welche alle Informationen zentralisieren und damit den User erlauben die für ihn wichtigen Informationen zu filtern. Warum nicht auch im eigenen Unternehmen? Continue reading

Masterthesis: IT-Sicherheitsgesetz – Zertifizierung/Förderung der Cyber-Sicherheit im Gesundheitswesen

h-brs

Hochschule Bonn-Rhein-Sieg, Picture: tohma, some rights reserved.

Zur Steigerung der Cyber-Sicherheit sogenannter „kritischer Infrastrukturen“ (kurz: KRITIS) trat am 25. Juli 2015 das neue IT-Sicherheitsgesetz in Kraft, siehe Bundesamt für Sicherheit in der Informationstechnik und heise.de. Zu den KRITIS-Einrichtungen zählen insbesondere auch Krankenhäuser und Kliniken. Zur Sicherstellung und Bewahrung eines „angemessen hohen“ Sicherheitsniveaus wird von den KRITIS-Einrichtungen und deren Betreibern unter anderem gefordert, dass sie innerhalb der kommenden zwei Jahre das Sicherheitsniveau durch IT-Sicherheitsaudits und -Zertifizierungen nachweisen. Weiterhin müssen die Betreiber die Einhaltung eines hohen Sicherheitsniveaus alle zwei Jahre nachweisen.

Das Anstreben einer IT-Sicherheitszertifizierung ist meist mit hohen finanziellen und organisatorischen Aufwänden verbunden. Der tatsächliche Aufwand und der Nutzen einer Zertifizierung sind dabei stark von dem genutzten Standard abhängig.

Continue reading

„Smart Health“ und IT-Security

gesundheitskontext

Im Nachgang zu den spannenden Diskussionen auf der Bitkom Veranstaltung „Smart Health“ am 18.02.2015 in Köln (Aschermittwoch!) möchte ich kurz die wesentlichen Punkte für die Leser, die leider nicht teilnehmen konnten, kurz zusammenfassen.

Continue reading

Noch ein „Beauftragter“? – IT-Sicherheit als Managementaufgabe

Nicht zuletzt seit der Diskussion über das geplante IT-Sicherheitsgesetz stellen sich viele klinische Einrichtungen die Frage, ob sie einen sogenannten „IT-Sicherheitsbeauftragten“ benötigen. Immerhin sind Kliniken als kritische Infrastruktureinrichtungen im Gespräch, die über eine entsprechend robuste IT-Infrastruktur verfügen sollten.

In meinen langjährigen Erfahrungen als interner, Interims- bzw. externer IT-Sicherheitsbeauftragter im In- und Ausland habe ich immer wieder die Erfahrung gemacht, dass es sich bei dieser Aufgabe vor allem um einen Managementjob handelt.

Nicht zuletzt deshalb hat sich im angelsächsischen Raum längst die Führungsposition des „Chief Information Security Officer“ (CISO) etabliert. Continue reading

Big Data macht‘s möglich: Klinikweite Logfile-Auswertungen mit „ELK“

Digital HospitalWas in der Medizin unvorstellbar erscheint – eine Behandlung ohne Untersuchung – ist in der Krankenhaus-IT scheinbar gelebte Praxis. Denn viel zu häufig werden Logdateien zwar erfasst, aber nicht systematisch zur „Untersuchung“ ausgewertet. Im Ergebnis steht ein ziemlicher Blindflug – Sicherheitsverletzungen, Datendiebstähle, Einbrüche und andere Vorälle bleiben unentdeckt; deren  „Behandlung“ eher dem Zufall überlassen.

Dies ist umso dramatischer, da restriktive IT-Sicherheits-Maßnahmen in der Regel nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen. Continue reading

Die TOP 5 IT-Sicherheitsrisiken im Krankenhaus

Natürlich kann (und muss) man über die Bewertung von Risiken diskutieren, schließlich handelt es bei Risiken um Ereignisse in der Zukunft, die eintreten können, aber nicht müssen.

Folglich kann es unterschiedliche Meinungen und Einschätzungen geben, die sich alle mehr oder weniger gut begründen lassen. Auch greifen statistische Methoden zu kurz, da es sich oft – wie zum Beispiel im Fall Schuhmacher – um singuläre Ereignisse handelt.

Dennoch halten wir es für sinnvoll, die nach unserer Einschätzung wichtigsten IT-Sicherheitsrisiken zu benennen und zur Diskussion zu stellen.

(c) 2014 Dahamoo GmbH

(c) 2014 Dahamoo GmbH – Die TOP 5 Risiken einer Klinik

Continue reading

Bachelorarbeit implementiert Open Source Protokollierung für Klinik

Warum ist die Protokollierung bei der Klink-IT so entscheidend?

Kibana 3 - KL 2014-09-01 12-51-39Da es im Umfeld einer Klinik immer wieder zu Notfall-Situationen kommt, und die Behandlung des Patienten absoluten Vorrang genießt, sind restriktive IT-Sicherheits-Maßnahmen nur sehr begrenzt möglich. Denn wer möchte schon die Gesundheit eines Patienten durch zu eingeschränkt konfigurierte IT-Systeme aufs Spiel setzen.

Umso wichtiger ist folglich die Protokollierung von Vorgängen (Events), da sie zumindest nachträglich Missbrauch aufdecken decken können.

Leider ist es in den vergangen Jahren aber so gewesen, dass Logfiles mit dem Hinweis auf begrenzten Speicherplatz oft gar nicht erzeugt wurden bzw. wegen des schieren Umfangs niemals analysiert wurden. Im besten Fall wurden die Logs an zentraler Stelle erfasst und archiviert, allerdings nicht analysiert, schon gar nicht in Echtzeit visualisiert.

Folglich bedarf es neuer Lösungen, die klinikweit Protokolldaten erfassen, Datenschutz konform aufbereiten, zusammenführen, analysieren, korrelieren und die Ergebnisse in Echtzeit visualisieren können. Selbstverständlich sollen die Kosten für eine solche Lösung überschaubar bleiben.

Vor diesem Hintergrund wurde die Bachelorarbeit von Herrn Leek mit dem Thema „Implementierung eines Open Source Analyse- und Visualisierungssystems für domänenspezifische Protokolldateien“ erstellt.

Es konnte erfreulicherweise am Beispiel der beteiligten Klinik gezeigt werden, dass ein Aufbau einer Open Source Lösung praktikabel ist und in kurzer Zeit zu relevanten Ergebnisse führt.

So war u.a. die Erkenntnis neu, dass ein erheblicher Anteil der Angriffe von Patienten selbst(!), und zwar über das eigene Patienten WLAN durchgeführt wurde. Ebenso wurde durch die Visualisierung der Fernzugänge schnell klar, dass die Firewall-Konfiguration nachgebessert werden musste.

Darüber hinaus erlaubt die Lösung eine Echtzeit-Sicht in Form eines Dashboards, so dass die Zeit zwischen Angriff und Angriffserkennung minimiert werden kann.

Fazit: Die technischen Möglichkeiten für eine Datenschutz konforme, sichere Protokollierung sind inzwischen gegeben. Und dies mit frei verfügbaren Open Source Tools.

Fall Schuhmacher: „IP-Adresse des Krankenaktenverkäufers ermittelt“

IP Adresse

IP Adresse

Nachdem wir diesen Fall mit einem Blogeintrag kommentiert haben, wurde  in den Medien heftig spekuliert wurde, wie und wann die Daten abhanden gekommen sind. Heute gab es dazu die Meldung, dass man „die IP-Adresse des Krankaktenverkäufers“ ermittelt habe. Dieses Vorgehen folgt der klassischen Methode des Rückverfolgens, die versucht aus der Kontaktaufnahme Informationen über den Täter zu ermitteln. Selbstverständlich stehen noch viel weitergehenden Methoden zur Verfügung, um eine elektronische Spur nachzuverfolgen, beispielsweise die Analyse der Datei, welche den Auszug aus der Patientenakte beinhaltete. Handelt es sich um eine exportierte Datei einen Krankenhausinformationssystems oder um einen Scan – gibt es Spuren, die verwendete Geräte und  bestimmte Softwareversionen hinterlassen haben?

Continue reading

Schuhmacher Opfer eines „Datenklaus“ – Die Sicht der IT-Sicherheit

Medienberichten zufolge wurde die Krankenakte von Formel-1 Rennfahrer Michael Schuhmacher „gestohlen“ und zum Kauf für umgerechnet 50.000 Euro angeboten. Die Dokumente bzw. Daten sollen aus dem Klinikum Grenoble, Frankreich stammen. Medien aus Frankreich und der französischen Schweiz, Michael Schuhmachers Wahlheimat, haben die Meldung aufgenommen und um Details ergänzt. Selbstverständlich ist dieses Verhalten der Täter moralisch (und juristisch) aufs Schärfste zu verurteilen und unser Mitgefühl gilt den betroffenen Angehörigen.

Was aber bedeutet dieser Fall aus einer fachlichen, aus einer IT-Sicherheits-Sicht?

Continue reading