bookmark_borderDer Elastic Stack in der Praxis, Teil 1: Windows-Logs zentralisieren

Dieser Artikel ist der erste in einer Reihe zum Thema Log-Management mit dem Elastic Stack. Der Elastic Stack ist eine Reihe von Open Source-Software-Produkten rund um die zentralisierte Speicherung, Auswertung und Visualisierung von Logs. Diese helfen dabei, den Status der eigenen Infrastruktur im Blick zu behalten, wie zum Beispiel das Active Directory oder die DHCP Logs und bieten eine zentrale Anlaufstelle zur Fehlersuche und machen auf Auffälligkeiten aufmerksam. Die Software steht in ihrer (sehr umfassenden) Grundversion kostenfrei zur Verfügung.

Continue reading „Der Elastic Stack in der Praxis, Teil 1: Windows-Logs zentralisieren“

bookmark_borderIHK-Magazin „Die Wirtschaft“ mit Themenschwerpunkt E-Health

Die Juli-Ausgabe des Magazins „Die Wirtschaft“ der Industrie- und Handelskammer Bonn/Rhein-Sieg widmet sich dem Thema E-Health. Unser Geschäftsführer Daniel Hallen stand zu den Sicherheitsaspekten der Digitalisierung im Gesundheitsbereich Rede und Antwort.

Das Magazin erscheint heute in digitaler Form auf der Website der IHK.

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 3

In den vorherigen zwei Teilen dieses Leitfadens ging es um die Gründe für eine Policy und um Informationsbeschaffung als Vorbereitung. Nun, im letzten Teil des Leitfadens, geht es um die Erstellung der Policy und darüber hinaus, welche weiteren Aufgaben im Nachhinein zu erledigen sind.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 3“

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 2

Im ersten Teil dieses dreiteiligen Leitfadens ging es um die Motivation für eine Informationssicherheitsrichtlinie (fortan Policy genannt). Es wurde unter anderem darauf aufmerksam gemacht, dass ohne entsprechendes Bewusstsein bei den Mitarbeitern, die Informationssicherheit an Effektivität verliert, da Sicherheit oft mit zusätzlichem Aufwand verbunden ist. Im zweiten Teil des Leitfadens geht es nun um die Informationsbeschaffung, als Vorbereitung auf die Erstellung einer Policy.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 2“

bookmark_borderGastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 1

© Dahamoo 2019

Hier entsteht eine Blogreihe über den Weg einer Sicherheitsrichtlinie von der Erstellung bis zur Kommunikation und Einhaltung. Diese wurde durch unseren Praktikanten Dominik Sturm im Rahmen eines Praxisprojektes der Hochschule Bonn-Rhein-Sieg erstellt.

Continue reading „Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 1“

bookmark_border35C3: Digitale Gesundheitsakten weisen Schwachstellen auf

Ende letzten Jahres war ich auf dem 35. Chaos Communication Congress (35C3), der jährlichen Jahresendveranstaltung des Chaos Computer Clubs, die 2018 zum zweiten Mal auf dem Leipziger Messegelände stattfand.

Mit dieser Veranstaltung schafft der CCC jedes Jahr einen Raum für den Austausch über IT, IT-Sicherheit und die Implikationen für die Gesellschaft. Ein umfangreiches Vortragsprogramm wird ergänzt durch farbenfrohe Installationen und die Präsenzen vieler dem Club nahestehender Gruppen, die auf ihren Flächen Informationen und Workshops anbieten. Genauso vielfältig ist die Teilnehmerschaft, die nicht nur aus dem IT-Sektor stammt: Das einladende Motto „all creatures welcome“ macht deutlich, dass diese stark teilnehmergetriebene Veranstaltung allen Interessierten offensteht.

Die Glashalle der Leipziger Messe während der Veranstaltung. Foto: Leah Oswald unter CC-BY 2.0
Die Glashalle der Leipziger Messe während der Veranstaltung.
(Foto: Leah Oswald unter CC-BY 2.0)

Der Untertitel des 35C3 war „Refreshing Memories“. Neben der Erinnerung an frühere Chaos-Events und der technischen Bedeutung des Ausdrucks ist er auch als Aufforderung gemeint, in wissenschaftsfeindlichen Zeiten zu Fakten und Weltoffenheit zurückzufinden.

Fast alle Vorträge der Veranstaltung wurden aufgezeichnet und stehen auf media.ccc.de zum Nachschauen bereit. Auf den Beitrag mit dem Titel All your Gesundheitsakten are belong to us möchte ich an dieser Stelle besonders hinweisen.

Der vortragende IT-Sicherheitsforscher, Martin Tschirsich, untersuchte verschiedene Implementierungen einer elektronischen Gesundheitsakte und einige Softwareprodukte zur Durchführung von Videosprechstunden auf Schwachstellen. Eine elektronische Gesundheitsakte ist eine Anwendung, die der Kommunikation und dem Dokumentenaustausch zwischen Patient und Arzt dient. Diese Anwendungen sind meist als App oder als Webapplikation umgesetzt.

Aufgrund der besonders sensiblen Art der ausgetauschten Daten ist an dieser Stelle ein hohes Sicherheitsniveau unabdingbar: Gesundheitsdaten nehmen unter den personenbezogenen Daten eine Sonderrolle ein, da viele Informationen nicht veralten. Während Kreditkartennummern austauschbar sind, lässt sich die eigene Krankheitshistorie nicht ablegen. Werden Gesundheitsdaten öffentlich bekannt, hat das für die Betroffenen unter Umständen nicht finanzielle, sondern gravierende gesellschaftliche und soziale Auswirkungen.

Umso ernüchternder ist, dass der Referent in mehreren Produkten gravierende Sicherheitslücken finden konnte – von SQL-Injections und Cross-Site-Scripting-Lücken über den schwachen Schutz von Gesundheitsdaten durch zu kurze Session-IDs bis hin zu konzeptionellen Fehlern, die Offline-Cracking von Benutzerpasswörtern ermöglichen. Tschirsich mahnt die Software-Hersteller dazu, das Öffentlichwerden von Gesundheitsdaten nicht bloß als finanzielles Risiko zu sehen, sondern auch die Auswirkungen auf die Benutzer zu berücksichtigen.

Die Nutzung einer elektronischen Gesundheitsakte ist bislang zwar optional, was sich zukünftig jedoch ändern könnte – schließlich gehen mit einer solchen Anwendung auch Erleichterungen in der Praxis einher. Bis dahin sind jedoch offenbar noch massive Verbesserungen wünschenswert.

bookmark_borderDie Ruhe nach dem Sturm

Die Ruhe nach dem Sturm <1mbNachdem einer breiteren Öffentlichkeit Anfang des Jahres die IT-Sicherheitsprobleme deutscher Krankenhäuser vor Augen geführt wurden, ist inzwischen eine (trügerische) Ruhe eingekehrt, die in solchen Fällen  leider typisch ist. Tatsächlich haben die Täter nach (inoffiziellen) Angaben des BSI allein in den USA $200.000.000 eingenommen. Es braucht keine hellseherischen Fähigkeiten, um vorauszusagen, dass ein Teil davon in die weitere Professionalisierung der Tools und das Beseitigen von Kinderkrankheiten „investiert“ wird.

So sollte man sich bei der Planung der Schutzmassnahmen besser nicht darauf verlassen, dass der Trojaner beispielsweise die Dateien weiterhin wie bisher in alphabetischer Reihenfolge verschlüsselt und gut sichtbar seine Dateiendung anfügt. Folgende Generationen von Ransomware werden sicher zufälliger und  besser getarnt vorgehen. Auch die Dauer der Verschlüsselung großer Datenmengen geht durch einige Optimierungen inzwischen so schnell, dass ein manuelles Eingreifen in den meisten Fällen zu spät sein dürfte.

Was also tun?

Continue reading „Die Ruhe nach dem Sturm“

bookmark_borderconhIT 2016: Ein Fazit aus IT-Sicherheitsperspektive

conhit2016
conhIT 2016, Berlin
© 2008-2016 Dahamoo GmbH

Letzte Woche fand die conhIT 2016 in Berlin statt. Neben zahlreichen Produkten und Vorträgen aus der Medizin- und Krankenhaus-IT war eines der zentralen Themen die IT-Sicherheit im Krankenhausumfeld.

Was wurde diskutiert? Welche Lösungen wurden präsentiert? Es folgt ein kurzer Überblick durch die IT-Sicherheitsbrille.

Continue reading „conhIT 2016: Ein Fazit aus IT-Sicherheitsperspektive“

bookmark_borderRansomware-Angriffswelle schlägt weiter aus

ransomwareDie jüngste Angriffswelle von Verschlüsselungstrojanern nimmt nicht ab. Wie wir bereits im Februar berichteten sind von der Schadsoftware, die sich in Computersysteme einnistet und diese dann komplett verschlüsselt, nicht nur Privatleute sondern insbesondere Krankenhäuser, Behörden und Unternehmen betroffen.

Der neueste bekannte Fall zwang das Aachener Marienhospital in die Knie.

Continue reading „Ransomware-Angriffswelle schlägt weiter aus“

bookmark_borderLocky, Teslacrypt und Co. Sind wir noch sicher?

blackmarketZurzeit überfällt die sogenannte „Ransomware“ die ganze Welt. Krankenhäuser, Institute und Privatleute werden am laufenden Band mit Malware überhäuft. Das Luxemburgische CERT meldet in ihrem Honeypot 500 Muster der Malware innerhalb von 30 Minuten. Deutschland liegt dabei mit über 5000 Neuinfektionen pro Stunde vor den USA und den Niederlanden.  Malware per Emailanhang ist nichts neues. Doch was ist anders als damals? Continue reading „Locky, Teslacrypt und Co. Sind wir noch sicher?“