Tool-basierte Audits im Modul “Information Security Management” – mit 360inControl

Bereits zum achten Mal konnte ich heute in der Vorlesung “Information Security Management” der HSLU Informatik eine Audit-Übung mit einem Online-Tool durchführen. Corona-bedingt natürlich vollständig online.

Wir haben dabei das Assessment-Tool “360inControl” der Firma CISS eingesetzt, die uns dies kostenlos für Lehrzwecke zur Verfügung stellt. Die Erklärungen, Einführung in das Tool und die Betreuung während dem “Begleitetem Selbststudium” wurden mit ZOOM durchgeführt. Die Begleitung seitens CISS übernahmen wieder souverän Andreas von Grebmer und Heike Klaus.

Die Aufgabenstellung (diverse Findings bei einem Audit bzgl. IT-Grundschutz) war vorher auf der Lernplattform Ilias bereitgestellt worden. In 360inControl wurden die passenden Kategorien gewählt, so dass 34 “Controls” (also Checks) zur Bearbeitung bereit standen.

Die Studierenden mussten diese Controls durchgehen und bewerten, welche von diesen durch ein Finding verletzt wurden. Dies muss in 360inControl dokumentiert werden. Am Schluss wird ein Audit-Report erzeugt, der von den Studierenden auf Ilias eingereicht wird und dem Nachweis der sorgfältigen Bearbeitung dient.

Hier ein Screenshot: links die Controls, rechts die Erklärung zur Konfiguration.

Dank des Einsatzes einer voll integralen Lösung wie 360inControl (Asset Management, Control Library, ISMS, Datenschutz, Risk und Compliance Management, Business Continuity, Audit) für die Gruppenarbeiten, lernen die Studierenden wie Corporate Governance im Digitalen Zeitalter aussehen kann und sollte. Weg von der Bearbeitung durch wenige Experten, Medien-Brüchen, funktionalen Silos, manuellem Reporting, verteilter Datenhaltung; hin zum geschäftsunterstützenden und kollaborativen integralen Ansatz.

Die stetige Weiterentwicklung von 360inControl, sowohl im Bereich der abgedeckten Standards (ISO27001/2/5, ISO9001, ISO22301, COBIT, PCI DSS 3.2, ITIL, OWASP TOP 10, NIST etc), als auch bei den Neuerungen in den Funktionen, erlaubt es, aktuelle Aufgabenstellungen für den Unterricht bereit zu stellen. Gespannt darf man auf das Third Party Management sein, das im Dezember ausgeliefert wird und das die Zulieferer einbindet.

Wir bedanken uns herzlich bei der Firma CISS für die unentgeltliche und professionelle Unterstützung, unsere Studierenden mit state-of-the-art Tools vertraut zu machen.

Online-Info-Veranstaltung über die Weiterbildung Informatik der HSLU – CAS “Digital Healthcare” – Mittwoch 18. November 2020 – 18:00 Uhr

Kompakte Informationen zum CAS Digital Healthcare bequem online erfahren. Mittwoch 18. November 20 um 18:00 Uhr.

Die Weiterbildung vermittelt Grundlagen des Gesundheitswesens und der Informations- und Kommunikationstechnik. Dabei wird grosser Wert auf prozessuales und projektspezifisches Know-how gelegt. Es werden die wichtigsten Themen aus dem Recht, dem Datenschutz und der Informations-Sicherheit besprochen. Um ein gegenseitiges Verständnis zwischen medizinischem und technischem Personal zu erreichen, werden auch Fachbegriffe, Abläufe und interpersonelle Soft Skills geschult.

Informationen und Anmeldung zur Online-Info.

Online-Unterricht

Können Sie sich vorstellen, wie unangenehm es ist, vor einem Monitor mit lauter schwarzen Kacheln Unterricht zu halten? Sie wissen, dass mein Unterricht auf Interaktion abzielt. Das funktioniert nur, wenn man sich auch sieht. Ich mache keine Show, sondern möglichst viel Austausch, auch unter Ihnen sehr gewünscht (also nicht nur mit mir).

Nehmen Sie daher bitte Ihren Laptop für meine Vorlesungen und verschanzen Sie sich bitte nicht hinter einem Gaming-PC, der keine Kamera hat. Wenn wir uns schon nicht “richtig” sehen können, dann bitte doch per Kamera. Und schreiben Sie bitte Ihren Vor- und Nachnamen rein, ich werde Sie nicht mit “Micky Mouse” o.ä. ansprechen.

Besten Dank für Ihr Verständnis und herzliche Grüsse
Peter E. Fischer

Phishing-Mail im Namen der Credit Suisse (Update)

Der Tages-Anzeiger sowie PCtipp / Computerworld informieren nun ebenfalls über die aktuelle Phishing-Welle. Zudem zeigt cybercrimepolice.ch den Ablauf im Fall der SBB detailliert auf. In den Artikeln wird auch ein bereits früher gestarteter Phishing-Angriff auf Post-Kunden erwähnt. Bei Computerworld wird hierbei ein Zitat der Post aufgeführt, wonach offizielle Mails der Post zum Sendungsstatus immer den Absender «notifications@post.ch» tragen würden. Diese Information ist mit Vorsicht zu geniessen: Die E-Mail-Adresse des Absenders lässt sich fälschen!

Gegenmassnahmen:

  • Seien Sie vorsichtig im Umgang mit E-Mails. Auch bei vermeintlich bekannten Absendern Links nicht sofort klicken, die Verweisadresse via «Mouse-Over» prüfen. Im Zweifel beim angeblichen Absender auf anderem Kanal (z.B. Telefon, E-Banking interne Nachricht) nachfragen.
  • Nie Formulare ausfüllen, die per E-Mail zugestellt wurden und zur Eingabe von Anmelde- oder Kreditkarteninformationen oder einer Telefonnummer auffordern.
  • Die Adresse zur Anmeldeseite Ihres Online-Dienstleisters oder Finanzinstituts immer manuell in die Adresszeile Ihres Browsers eingeben.
  • Beim Aufruf der Anmeldeseite die SSL-Verbindung (https://, Schlosssymbol) überprüfen und sich durch die Kontrolle der Internetadresse (Domain-Name) in der Adresszeile Ihres Browsers vergewissern, dass Sie sich am richtigen Ziel befinden.
  • PC-Grundschutz: Virenschutzprogramm verwenden, Betriebssystem und Programme aktuell halten.

Quelle EBAS

Kompendium zum Schreiben wissenschaftlicher Arbeiten

Hier finden Sie (Studierende) einige Anleitungen, die zur Anfertigung diverser Studien-Arbeiten bis hin zur Master-Thesis helfen. Nachdem die Quellen umfangreicher geworden sind, habe ich darauf verzichtet, alles in ein “Kompendium” zu pressen, sondern lege diese einzeln hier ab. So wird dieser Post das Kompendium. Die ersten drei Dokumente sind

Pflichtlektüre

Neu gilt im Department Informatik der HSLU folgende Präsentation als die Grundlage aller wissenschaftlicher Arbeiten: Eine öffentlich verfügbare Präsentation zum Buch von Balzert (unten) wurde von mir und Prof. Hofstetter an HSLU-Verhältnisse angepasst und steht hier zum Download zur Verfügung:
Folien Wissenschaftliches Arbeiten (2020)

Meine Tipps für Studienarbeiten finden Sie nun wieder separat:
Tipps für wissenschaftliche Arbeiten (Feb 2020)

Vom Modulleiter der “Projektschiene”, Prof. Jörg Hofstetter, gibt es eine Sammlung von Tipps auf der Plattform (hier kopiert, Stand HS19):
Umsetzungstipps zu «AufbauBericht»

Optional

Die Folien wurden aus folgendem Buch als Grundlage aller wissenschaftlicher Arbeiten abgeleitet:
Balzert, Helmut; Schäfer, Christian; Schröder, Marion; Wissenschaftliches Arbeiten (Ethik, Inhalt & Form wiss. Arbeiten, Handwerkszeug, Quellen, Projektmgmt., Präsentation); 2. Auflage, Springer Campus (2017); ISBN 978-3-96149-006-6

Nicht mehr gültig im Department Informatik, aber trotzdem eine sehr kompakte Anleitung, die frei verfügbar ist:
Eulenskript 2019

Viel Erfolg bei der Anfertigung Ihrer Arbeit!

Meine Online-Räume an der HSLU

Nachdem wir bis auf Weiteres online unterrichten, habe ich dafür ein paar spezifische Räume geschaffen:

  1. Vorlesungen:
    vorlesung.pefis.info (ohne www!)
    Zoom, Client einmalig herunterladen und installieren. Der Link geht dann IMMER in meinen Hörsaal (wenn ich das Tool wechseln sollte, bleibt der Link dennoch bestehen und zeigt auf das neue Tool).
  2. Besprechungen, Coachings, Austausch:
    meeting.pefis.info oder coaching.pefis.info (ohne www!)
    Zoom, Client einmalig herunterladen und installieren. Der Link geht dann IMMER in meinen Hörsaal (wenn ich das Tool wechseln sollte, bleibt der Link dennoch bestehen und zeigt auf das neue Tool).
  3. Gruppen- bzw. Teamarbeiten:
    teamzimmer.pefis.info (ohne www!)
    Switch Meet, hier wird in der aufgelösten URL das “x” am Ende mit der Teamnummer ersetzt: Team 1 also “…_E_Fischer_Teamzimmer_1

Evtl. kommt bei Bedarf noch mehr …

Bleiben Sie gesund und geniessen Sie meine Vorlesung auf eine neue Art …

Beste Grüsse
Ihr Peter E. Fischer

Rechtlicher Hinweis:
Urheber- und Persönlichkeitsrechte sowie das Recht am eigenen Bild gelten auch online. Schriftliche Materialien, Videos und andere Unterrichtsmaterialien, die auf ILIAS gestellt und in Web-Meetings gezeigt werden, dürfen nicht an Dritte weitergegeben werden. Web-Meetings dürfen nicht ohne das vorgängige und ausdrückliche Einverständnis aller Beteiligten aufgezeichnet werden.

Ich werde daher weitgehend auf Aufzeichnungen verzichten und Sie dürfen dies auch nicht!