Information Security in Healthcare ISH’22

Information Security in Healthcare: Das Programm steht & letzte Gelegenheit Frühbucherrabatt

Schwerpunktthemen sind:
▪ Medical Devices
▪ Cyber Defence
▪ Security Operation Processes
▪ Risk Assessment
▪ Cyber Resilience
Weitere Infos und anmelden unter www.infosec-health.ch

healthcare #security #informationsecurity #medicaldevices #gesundheitswesen #spital

Security-Pannen im Gesundheitswesen – Interview als Morgengast im SRF

Mitte Januar 2022 gab es zwei gravierende Sicherheitspannen im Schweizer Gesundheitssystem:

  • Bei SwissTransplant, der Schweizer Organspende-Datei war es möglich, irgendeine andere Person als Organspender zu nennen, weil es keine zuverlässige Identitätsprüfung gab. Auch war es möglich, Daten vom Applikationsserver abzusaugen. Weitere Infos
  • Beim Internationalen Komitee des Roten Kreuzes wurden sensitive Daten von 515’000 Personen (wie z.B. Flüchtlingen) durch Hacker gestohlen. Schuld ist ein Drittanbieter in der Schweiz, bei dem die Daten ausgelagert waren. Was mit den Daten erreicht werden kann, ist noch unklar. Weitere Infos

Zu diesen beiden Vorfällen wurde Peter E. Fischer von SRF eingeladen, am Freitag, 21. Januar 2022 als Morgengast Rede und Antwort zu stehen. Hier die beiden Teile des insgesamt 11-minütigen Interviews. Das Thema war SRF offensichtlich wichtig …

ISMS Praxisübung mit 360inControl von CISS

Als Hochschule bieten wir praxisnahen Unterricht und bereiten unsere Studierenden auf die Erfordernisse des Berufseinstiegs vor. Dazu sind wir auf Kooperationen mit uns wohlgesonnenen Unternehmen angewiesen. Für den Unterricht im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS GmbH. gefunden. Deren Lösung “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001, ISO 27002, ISO 9001, ISO 22302, COBIT 2019, IEC 62443) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Im Herbstsemester 2021 haben wir zwei Übungen mit Studierendengruppen durchgeführt. Nach einer gekonnten Einführung in das Tool haben die Studierenden eine Liste von häufigen Schwachstellen in einer virtuellen Firma mit den im 360inControl hinterlegten Controls verglichen, verletzte Kontrollen rapportiert und passende Massnahmen definiert und im Tool hinterlegt. Dies geschieht sehr intuitiv und benötigt keine Einarbeitungszeit.

In der ersten Übung ging es darum, Schwachstellen im Grundschutz zu finden, zu dokumentieren und auszumerzen. Für den Grundschutz wurden die Controls vor allem aus ISO 27002 abgeleitet. Für die zweite Übung wurden diverse Standards (wie z.B. ISO 27001, ITIL und Cobit) herangezogen, um Defizite in einem Information Security Management System (ISMS) zu finden. Die online erfassten Feststellungen (Findings) und die definierten Massnahmen hat 360inControl in einen automatisch generierten Bericht gefasst, den die Studierenden anschliessend im pdf-Format zur Bewertung eingereicht haben.

Wir danken Andreas von Grebmer und Heike Klaus von CISS Ltd. für die ausgezeichnete Zusammenarbeit und die grosse Unterstützung, die sie durch die kostenlose Bereitstellung von 360inCon trol und ihrer Zeit seit Jahren erbringen.

Ausblick

Momentan bereiten wir eine Anpassung für das Herbstsemester 2022 vor. Die Studenten haben dann die Möglichkeit echte Assessments in Ihren eigenen oder anderen Firmen durchzuführen. Dieser Ansatz erlaubt einen erhöhten Praxisbezug und Lerneffekt. Zu gegebener Zeit wird das Konzept in einem Blogbeitrag vorgestellt.

Interessierte Firmen können sich jetzt schon gerne bei Peter E. Fischer melden.

Schon angemeldet für die Online Infoveranstaltung am 23.06.2021?

Online Infoveranstaltung

Genaue Informationen über das CAS Digital Healthcare erhalten Sie am 23.06.2021 in einer Online Infoveranstaltung.
Sind Sie schon bereit für grössere Menschenansammlungen und Meetings nach der Aufhebung der Home-Office-Pflicht des Bundes? Oder haben Sie vielleicht auch so ein kleines Gefühl, dass die eigene Kommunikationsfähigkeit unter den Pandemiebedingungen ein wenig eingerostet ist? Auch bei uns innerhalb der Hochschule tasten wir uns an das kommunikative Miteinander heran.

Unser CAS Digital Healthcare musste aufgrund der Gegebenheiten im März online starten. Anfang Juni konnten wir dann den ersten ersehnten Ausflug an das Luzerner Kantonsspital durchführen. Dieser Ausflug ermöglichte den Teilnehmenden endlich auch wieder den persönlichen Austausch untereinander.

Aber wie sieht es aus, wenn zwei unterschiedliche Arbeitswelten, wie z.B. die Pflege und die Spital-IT, in unserer Gesundheitsbranche in einem Meeting aufeinandertreffen? Sicherlich können Sie sich in diese Situation gut einfühlen und merken wahrscheinlich, dass es dabei leicht zu Missverständnissen oder sogar Konflikten kommen könnte.

Und genau hier möchten wir Sie unterstützen!

Als Hochschule Luzern haben wir uns es zur Aufgabe gemacht, Sie und Ihre Mitarbeitenden auf dem Weg der Kommunikation und einer möglichen Transformation unterstützen. Unsere speziellen Weiterbildungsangebote helfen Ihnen sofort!

Vakanz: Senior Incident Response Analyst und weitere bei InfoGuard AG in Baar ZG

  • Unterstützung des Cyber Defence Center (CDC) bei Eskalationen von Sicherheitsvorfällen
  • Verantwortlich für Untersuchungen, Kommunikation und Koordination bei Kunden als Incident Responser (Tier 3 Analyst CSIRT) und bei der Durchführung von Compromise Assessments und Threat Huntings
  • Training, fachliche Führung und Weiterentwicklung der Tier 2 Analysten bei forensischen Untersuchungen
  • Weiterentwickeln der Detection & Response Services, Threat Hunting Methoden und der Angriffserkennung
  • Validieren und Anpassen der Quellen für die Threat Intelligence
  • Mitarbeit bei Red / Blue und Purple Teamings

Alle Details

Alle offene Stellen bei InfoGuard AG

Banking-Trojaner und Money Mules

Die Sendung Patti chiari berichtet über einen Vorfall, bei welchem von einem gehackten Mobiltelefon nicht legitimierte Zahlungen ausgeführt wurden.

Die betroffenen Finanzinstitute PostFinance und die Raiffeisen reagieren unterschiedlich. Während erstere umgehend und erfolgreich einen Rückerstattungsantrag auslöst, bewertet letztere die Transaktion als legitim und sieht die Verantwortung bei der Geschädigten.

Durch Nachforschungen von Patti chiari kann die Inhaberin eines der Zielkonten der Überweisungen identifiziert werden. Die Frau wurde selbst Opfer eines Scharlatans und von diesem als so genannter Money Mule rekrutiert.

Gegenmassnahmen Banking-Trojanern:

  • Nutzen Sie ein Virenschutzprogramm, aktivieren Sie dessen automatische Update-Funktion und prüfen Sie Ihr Gerät regelmässig auf Schädlingsbefall.
  • Installieren Sie nur nötige Programme und Apps und laden Sie diese immer von der Herstellerseite oder einem offiziellen Store herunter.
  • Aktivieren Sie die automatische Update-Funktion für das Betriebssystem und alle installierten Programme und Apps.
  • Schützen Sie Ihren Computer und mobilen Geräte mit einem Sicheren Passwort und nutzen Sie wenn möglich die Zwei-Faktor-Authentifizierung
  • Seien Sie beim Surfen im Internet stets misstrauisch und überlegen Sie sich gut, wo und wem Sie Ihre persönlichen Informationen preisgeben.
  • Finanzinstitute, Telekommunikations- und sonstige Dienstleistungsunternehmen fragen nie nach einem Passwort
  • Holen Sie sich bei Unsicherheit oder Verdacht auf einen Angriff Unterstützung.

Gegenmassnahmen Money Mule:

  • Bei lukrativen Jobangeboten mit raschen Verdienstmöglichkeiten ohne entsprechenden Arbeitsaufwand grundsätzlich misstrauisch sein.
  • Ihre Bankkonten nie Dritten zur Verfügung stellen.
  • Ihre Bankangaben und persönliche Angaben nur an Personen weitergeben, die Sie kennen und denen Sie vertrauen.
  • Niemals Geld von Ihrem Konto abheben oder weiterleiten, dessen Herkunft Sie nicht zweifelsfrei kennen. Lassen Sie solche Gelder durch Ihre Bank an den Absender zurücküberweisen.
  • Niemals Geld im Auftrag von Dritten an Empfänger versenden, die Ihnen nicht näher bekannt sind – erst recht nicht per Postsendung oder mittels Geldtransfer-Services.
  • Vertiefte Abklärungen zum vermeintlichen Arbeitgeber tätigen und sich im Detail darüber informieren, was von Ihnen erwartet wird.
  • Anfragen, bei denen Sie auf Ihrem Bankkonto Gelder empfangen und in irgendeiner Form weiterleiten müssen, umgehend der Polizei melden.

Quelle: “e-Banking – aber sicher!” per Newsletter