Cyber-Attacken auf Spitäler häufen sich

Auf medinside.ch wird wieder einmal von Angriffen auf Spitäler und Arztpraxen berichtet.

Auszug: «Die erfolgreichen Hacker-Attacken auf medizinische Einrichtungen häufen sich», das schreibt der «Beobachter» in seiner Ausgabe vom 13. Mai 2022.  Allein 2021 sei es in der Schweiz zu über 100 grösseren Cybervorfällen im Gesundheitswesen gekommen.

Auszug: In einem anderen Spital erklärte ein Arzt dem IT-Security-Tester: Nein, Passwörter habe man keine. «Wir sind hier, um Leben zu retten, da kann ich nicht noch Passwörter eingeben», soll er gesagt haben. Ein ähnliches Bild bei den Hausarztpraxen. Auch dort fehle oft das Bewusstsein für Cybersicherheit. Vielerorts laute das Passwort beispielsweise Praxis1234 oder Hausarzt1234

Quelle und vollständiger Artikel:
https://www.medinside.ch/de/post/spitaeler-nehmen-die-gefahr-von-cyberattacken-nicht-ernst

Praktische Ausbildung für einen Audit mit 360inControl von CISS Ltd.

Im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik lernen unsere Studierenden, wie sie ein ISMS erfolgreich etablieren können. Dafür müssen sie auch lernen, wie man den Erfolg etappenweise überprüft – also auditiert. Wie jedes Semester haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS GmbH durchgeführt. Deren Lösung “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001, ISO 27002, ISO 9001, ISO 22301, COBIT 2019, IEC 62443) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Security-Pannen im Gesundheitswesen – Interview als Morgengast im SRF

Mitte Januar 2022 gab es zwei gravierende Sicherheitspannen im Schweizer Gesundheitssystem:

  • Bei SwissTransplant, der Schweizer Organspende-Datei war es möglich, irgendeine andere Person als Organspender zu nennen, weil es keine zuverlässige Identitätsprüfung gab. Auch war es möglich, Daten vom Applikationsserver abzusaugen. Weitere Infos
  • Beim Internationalen Komitee des Roten Kreuzes wurden sensitive Daten von 515’000 Personen (wie z.B. Flüchtlingen) durch Hacker gestohlen. Schuld ist ein Drittanbieter in der Schweiz, bei dem die Daten ausgelagert waren. Was mit den Daten erreicht werden kann, ist noch unklar. Weitere Infos

Zu diesen beiden Vorfällen wurde Peter E. Fischer von SRF eingeladen, am Freitag, 21. Januar 2022 als Morgengast Rede und Antwort zu stehen. Hier die beiden Teile des insgesamt 11-minütigen Interviews. Das Thema war SRF offensichtlich wichtig …

ISMS Praxisübung mit 360inControl von CISS

Als Hochschule bieten wir praxisnahen Unterricht und bereiten unsere Studierenden auf die Erfordernisse des Berufseinstiegs vor. Dazu sind wir auf Kooperationen mit uns wohlgesonnenen Unternehmen angewiesen. Für den Unterricht im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS GmbH. gefunden. Deren Lösung “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001, ISO 27002, ISO 9001, ISO 22302, COBIT 2019, IEC 62443) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Im Herbstsemester 2021 haben wir zwei Übungen mit Studierendengruppen durchgeführt. Nach einer gekonnten Einführung in das Tool haben die Studierenden eine Liste von häufigen Schwachstellen in einer virtuellen Firma mit den im 360inControl hinterlegten Controls verglichen, verletzte Kontrollen rapportiert und passende Massnahmen definiert und im Tool hinterlegt. Dies geschieht sehr intuitiv und benötigt keine Einarbeitungszeit.

In der ersten Übung ging es darum, Schwachstellen im Grundschutz zu finden, zu dokumentieren und auszumerzen. Für den Grundschutz wurden die Controls vor allem aus ISO 27002 abgeleitet. Für die zweite Übung wurden diverse Standards (wie z.B. ISO 27001, ITIL und Cobit) herangezogen, um Defizite in einem Information Security Management System (ISMS) zu finden. Die online erfassten Feststellungen (Findings) und die definierten Massnahmen hat 360inControl in einen automatisch generierten Bericht gefasst, den die Studierenden anschliessend im pdf-Format zur Bewertung eingereicht haben.

Wir danken Andreas von Grebmer und Heike Klaus von CISS Ltd. für die ausgezeichnete Zusammenarbeit und die grosse Unterstützung, die sie durch die kostenlose Bereitstellung von 360inCon trol und ihrer Zeit seit Jahren erbringen.

Ausblick

Momentan bereiten wir eine Anpassung für das Herbstsemester 2022 vor. Die Studenten haben dann die Möglichkeit echte Assessments in Ihren eigenen oder anderen Firmen durchzuführen. Dieser Ansatz erlaubt einen erhöhten Praxisbezug und Lerneffekt. Zu gegebener Zeit wird das Konzept in einem Blogbeitrag vorgestellt.

Interessierte Firmen können sich jetzt schon gerne bei Peter E. Fischer melden.