bookmark_borderIHK-Magazin „Die Wirtschaft“ mit Themenschwerpunkt E-Health

Die Juli-Ausgabe des Magazins „Die Wirtschaft“ der Industrie- und Handelskammer Bonn/Rhein-Sieg widmet sich dem Thema E-Health. Unser Geschäftsführer Daniel Hallen stand zu den Sicherheitsaspekten der Digitalisierung im Gesundheitsbereich Rede und Antwort.

Das Magazin erscheint heute in digitaler Form auf der Website der IHK.

bookmark_borderDer Elastic Stack in der Praxis, Teil 3: Index Lifecycle Management

In den letzten Artikeln zum Log Management mit dem Elastic Stack haben wir einige Datenquellen an unser System angeschlossen. Diese senden permanent Daten, die den verfügbaren Speicherplatz füllen. In diesem Artikel kümmern wir uns um das Index Lifecycle Management (ILM), einen Mechanismus, der den Umgang mit alten Daten kontrolliert.

Continue reading „Der Elastic Stack in der Praxis, Teil 3: Index Lifecycle Management“

bookmark_borderDer Elastic Stack in der Praxis, Teil 2: Weitere Datenquellen anschließen

Im zweiten Artikel der Reihe zum Log Management mit dem Elastic Stack geht es um das Anschließen weiterer Datenquellen. Bisher haben wir mithilfe des Winlogbeat ein Windows-System überwacht und an ein zentrales Log Management angeschlossen. Nun sollen weitere Systeme folgen.

Continue reading „Der Elastic Stack in der Praxis, Teil 2: Weitere Datenquellen anschließen“

bookmark_borderDer Elastic Stack in der Praxis, Teil 1: Windows-Logs zentralisieren

Dieser Artikel ist der erste in einer Reihe zum Thema Log-Management mit dem Elastic Stack. Der Elastic Stack ist eine Reihe von Open Source-Software-Produkten rund um die zentralisierte Speicherung, Auswertung und Visualisierung von Logs. Diese helfen dabei, den Status der eigenen Infrastruktur im Blick zu behalten, wie zum Beispiel das Active Directory oder die DHCP Logs und bieten eine zentrale Anlaufstelle zur Fehlersuche und machen auf Auffälligkeiten aufmerksam. Die Software steht in ihrer (sehr umfassenden) Grundversion kostenfrei zur Verfügung.

Continue reading „Der Elastic Stack in der Praxis, Teil 1: Windows-Logs zentralisieren“

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 3

In den vorherigen zwei Teilen dieses Leitfadens ging es um die Gründe für eine Policy und um Informationsbeschaffung als Vorbereitung. Nun, im letzten Teil des Leitfadens, geht es um die Erstellung der Policy und darüber hinaus, welche weiteren Aufgaben im Nachhinein zu erledigen sind.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 3“

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 2

Im ersten Teil dieses dreiteiligen Leitfadens ging es um die Motivation für eine Informationssicherheitsrichtlinie (fortan Policy genannt). Es wurde unter anderem darauf aufmerksam gemacht, dass ohne entsprechendes Bewusstsein bei den Mitarbeitern, die Informationssicherheit an Effektivität verliert, da Sicherheit oft mit zusätzlichem Aufwand verbunden ist. Im zweiten Teil des Leitfadens geht es nun um die Informationsbeschaffung, als Vorbereitung auf die Erstellung einer Policy.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 2“

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 1

© Dahamoo 2019

Hier entsteht eine Blogreihe über den Weg einer Sicherheitsrichtlinie von der Erstellung bis zur Kommunikation und Einhaltung. Diese wurde durch unseren Praktikanten Dominik Sturm im Rahmen eines Praxisprojektes der Hochschule Bonn-Rhein-Sieg erstellt.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 1“

bookmark_border35C3: Digitale Gesundheitsakten weisen Schwachstellen auf

Ende letzten Jahres war ich auf dem 35. Chaos Communication Congress (35C3), der jährlichen Jahresendveranstaltung des Chaos Computer Clubs, die 2018 zum zweiten Mal auf dem Leipziger Messegelände stattfand.

Mit dieser Veranstaltung schafft der CCC jedes Jahr einen Raum für den Austausch über IT, IT-Sicherheit und die Implikationen für die Gesellschaft. Ein umfangreiches Vortragsprogramm wird ergänzt durch farbenfrohe Installationen und die Präsenzen vieler dem Club nahestehender Gruppen, die auf ihren Flächen Informationen und Workshops anbieten. Genauso vielfältig ist die Teilnehmerschaft, die nicht nur aus dem IT-Sektor stammt: Das einladende Motto „all creatures welcome“ macht deutlich, dass diese stark teilnehmergetriebene Veranstaltung allen Interessierten offensteht.

Die Glashalle der Leipziger Messe während der Veranstaltung. Foto: Leah Oswald unter CC-BY 2.0
Die Glashalle der Leipziger Messe während der Veranstaltung.
(Foto: Leah Oswald unter CC-BY 2.0)

Der Untertitel des 35C3 war „Refreshing Memories“. Neben der Erinnerung an frühere Chaos-Events und der technischen Bedeutung des Ausdrucks ist er auch als Aufforderung gemeint, in wissenschaftsfeindlichen Zeiten zu Fakten und Weltoffenheit zurückzufinden.

Fast alle Vorträge der Veranstaltung wurden aufgezeichnet und stehen auf media.ccc.de zum Nachschauen bereit. Auf den Beitrag mit dem Titel All your Gesundheitsakten are belong to us möchte ich an dieser Stelle besonders hinweisen.

Der vortragende IT-Sicherheitsforscher, Martin Tschirsich, untersuchte verschiedene Implementierungen einer elektronischen Gesundheitsakte und einige Softwareprodukte zur Durchführung von Videosprechstunden auf Schwachstellen. Eine elektronische Gesundheitsakte ist eine Anwendung, die der Kommunikation und dem Dokumentenaustausch zwischen Patient und Arzt dient. Diese Anwendungen sind meist als App oder als Webapplikation umgesetzt.

Aufgrund der besonders sensiblen Art der ausgetauschten Daten ist an dieser Stelle ein hohes Sicherheitsniveau unabdingbar: Gesundheitsdaten nehmen unter den personenbezogenen Daten eine Sonderrolle ein, da viele Informationen nicht veralten. Während Kreditkartennummern austauschbar sind, lässt sich die eigene Krankheitshistorie nicht ablegen. Werden Gesundheitsdaten öffentlich bekannt, hat das für die Betroffenen unter Umständen nicht finanzielle, sondern gravierende gesellschaftliche und soziale Auswirkungen.

Umso ernüchternder ist, dass der Referent in mehreren Produkten gravierende Sicherheitslücken finden konnte – von SQL-Injections und Cross-Site-Scripting-Lücken über den schwachen Schutz von Gesundheitsdaten durch zu kurze Session-IDs bis hin zu konzeptionellen Fehlern, die Offline-Cracking von Benutzerpasswörtern ermöglichen. Tschirsich mahnt die Software-Hersteller dazu, das Öffentlichwerden von Gesundheitsdaten nicht bloß als finanzielles Risiko zu sehen, sondern auch die Auswirkungen auf die Benutzer zu berücksichtigen.

Die Nutzung einer elektronischen Gesundheitsakte ist bislang zwar optional, was sich zukünftig jedoch ändern könnte – schließlich gehen mit einer solchen Anwendung auch Erleichterungen in der Praxis einher. Bis dahin sind jedoch offenbar noch massive Verbesserungen wünschenswert.

bookmark_border„ISMS Projekt“ im Krankenhaus – Treffen mit dem Geschäftsführer

(by Pd4u [WTFPL or CC0], from Wikimedia Commons)
 

Wie bereits im ersten Beitrag zum Projekt erwähnt, muss die Geschäftsführung hinter dem ISMS stehen, damit es ein Erfolg werden kann. Deshalb haben wir den Leiter IT um ein gemeinsames Gespräch beim Geschäftsführer des Krankenhauses gebeten, sprich dem letztendlich Verantwortlichen.

Nach meiner Erfahrung haben Meetings mit Geschäftsführern immer eine gewisse Unberechenbarkeit. Trotz gewissenhafter Vorbereitung und akribischer Planung gibt es häufig Wendungen oder Fragen, mit denen keiner gerechnet hat. Vermutlich liegt es daran, dass nur Personen mit besonderen persönlichen Eigenschaften in diese Positionen drängen, in fast allen Fällen sind natürlich Ehrgeiz und gewisses Auftreten dabei. Wenn man Glück hat (wie in unserem Fall), ist dies gepaart mit Entscheidungsfreude, Pragmatismus und schneller Auffassungsgabe. Das führt dann nämlich dazu, dass man zügig voran kommt.

Wenn man Pech hat, Continue reading „„ISMS Projekt“ im Krankenhaus – Treffen mit dem Geschäftsführer“

bookmark_borderAusschreibung wissenschaftliche Mitarbeit – Security Analytics

(by RRZEicons, some rights reserved)

Bauen Sie mit uns an einem modularen System für IT Security Analysen, gerne auch im medizinischen Kontext! Wir bieten Ihnen dazu viele Themen, die sich gut für ein Hochschulpraktikum, Bachelorthesis, Masterprojekt oder Masterthesis eignen. Dabei haben Sie die Möglichkeit, aus mehreren Bereichen zu wählen, von der Bewertung der Informationsquellen, der technischen Integration, der visuellen Darstellung bis zur Korrelation mit bestehenden Auswertungen. Hierzu gibt es sowohl konzeptionelle, als auch technisch-praktische Aufgaben.

Unser Ziel ist es, ein modulares System hinsichtlich der IT-Security zu entwickeln mit einem Elastic-Stack im Zentrum, sowie einer Vielzahl an gängigen Applikation oder anderen Quellen, die Informationen einspeisen.Sie werden die Möglichkeit haben mit folgenden Tools und Standards zu arbeiten:

  • Ansible
  • Elasticsearch, Logstash, Kibana, Grafana
  • Kafka
  • Openvas, nmap
  • Honeypots
  • Jira, Confluence, Bitbucket
  • Docker/Container
  • ISO 27001
  • CIS-CSC
  • … und vieles mehr

Wir suchen motivierte Personen, die sich mit Informationssicherheit auskennen und zielorientiert arbeiten können. Die oben genannten Tools und Standards sollten größtenteils keine Fremdwörter sein. Kontakt: hr@dahamoo.com