Live-Übung mit 360inControl von CISS

Als Hochschule bieten wir praxisnahen Unterricht und bereiten unsere Studierenden auf die Erfordernisse des Berufseinstiegs vor. Dazu sind wir auf Kooperationen mit uns wohlgesonnenen Unternehmen angewiesen. Für den Unterricht im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS Ltd. gefunden. Deren Produkt “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Im Frühjahrssemester 2021 haben wir zwei Übungen mit Studierendengruppen durchgeführt. Nach einer gekonnten Einführung in das Tool haben die Studierenden eine Liste von häufigen Schwachstellen in einer virtuellen Firma mit den im 360inControl hinterlegten Controls verglichen, verletzte Controls rapportiert und passende Massnahmen definiert und im Tool hinterlegt. Dies geschieht sehr intuitiv und benötigt keine Einarbeitungszeit.

In der ersten Übung ging es darum, Schwachstellen im Grundschutz zu finden, zu dokumentieren auszumerzen. Für den Grundschutz wurden die Controls vor allem aus ISO 27002 abgeleitet. Für die zweite Übung wurden diverse Standards (wie z.B. ISO 27001, ITIL und Cobit) herangezogen, um Defizite in einem Information Security Management System (ISMS) zu finden. Die online erfassten Findings und die definierten Massnahmen hat 360inControl in einen automatisch generierten Rapport gefasst, den die Studierenden anschliessend im pdf-Format zur Bewertung eingereicht haben.

Wir danken Andreas von Grebmer und Heike Klaus von CISS Ltd. für die ausgezeichnete Zusammenarbeit und die grosse Unterstützung, die sie durch die kostenlose Bereitstellung von 360inControl und ihrer Zeit erbringen.

Drei Argumente für “BCC” (Blindkopie)

Immer wieder erlebt man, dass eine ganze Liste von Adressaten im “An” / “To” oder “Kopie” / “CC” Feld stehen. Der Unterschied ist nicht technisch (es geht an alle und alle sehen die anderen Adressaten), sondern nur zur Unterscheidung, für wen das Mail “nur zur Information” und nicht “zu erledigen” ist. Technisch wird eine Mail abgesandt, die dann vom Mailserver (MX) an alle Adressaten gleich kopiert und versandt wird.

Dageben werden bei “Blindkopie” / “BCC” bereits vom Absender-Mailprogramm einzelne, separate Mails an jeden Empfänger gesandt, OHNE dass die anderen Adressaten bekanntgegeben werden. Dies hat, bei Rundmails, sehr viele Vorteile – oder anders gesagt: Rundmails per “An” oder “Kopie” haben massive Nachteile:

  1. Bei Verteilern via “An” oder “Kopie” funktioniert “Allen antworten” / “Reply-to-all” und führt zu in den meisten Fällen unerwünschten Mail-Lawinen mit meist irrelevanter Information, die eigentlich nur der ursprüngliche Absender als Antwort benötigt. Dies ist äusserst lästig und führt zu SPAM.
  2. Die E-Mail-Adressen werden allen Adressaten offengelegt. Dies verstösst gegen geltende Datenschutzgesetze. So ist es z.B. in einem Verein (der über alle E-Mail-Adressen aller Mitglieder verfügen darf, wenn die Mitglieder eingewilligt haben) strikt verboten, diese Adressen den anderen Mitgliedern zur Verfügung zu stellen, wenn diese nicht explizit auch dazu eingewilligt haben. Dies macht man aber wenn schon geschickter über ein Adressverzeichnis, das auch die Namen explizit erwähnt, so dass die Mail-Adressen eindeutig zugeordnet werden können.
  3. Am schlimmsten ist jeoch, dass bei einem Rundmail ohne BCC alle Adressen in jedem Mail enthalten sind und so jedem Hacker zur Verfügung stehen, der auch nur ein Mail abfängt. Zusätzlich zu der wertvollen Liste gültiger E-Mail-Adressen sind dadurch auch die soziale Beziehung der Adressaten und des Absenders bekannt und können für SPAM, Phishing und Social Engineering verwendet werden.

BITTE DAHER GRUNDSÄTZLICH ALLE MAILS (mit typisch mehr als fünf Empfängern) NUR PER “BLINDKOPIE” / “BCC” VERSENDEN!!! Danke!

Awareness ist s-u-p-e-r !

Cyber-Attacken haben in der Schweiz seit Beginn von Corona stark zugenommen. Eine nationale Aktionswoche zum Thema «Sicherheit im digitalen Raum» vom 3. bis 7. Mai 2021 macht auf die Gefahren aufmerksam. Die Kampagne zeigt, wie man sich schützen kann.

Die Aktionswoche wird von der Schweizerische Kriminalprävention in Kooperation mit dem Nationales Zentrum für Cybersicherheit NCSC, der Plattform eBanking – aber sicher! der Hochschule Luzern, der Plattform für Internetsicherheit iBarry.ch – by Swiss Internet Security Alliance sowie den kantonalen und städtischen Polizeikorps lanciert.

www.s-u-p-e-r.ch

Tool-basierte Audits im Modul “Information Security Management” – mit 360inControl

Bereits zum achten Mal konnte ich heute in der Vorlesung “Information Security Management” der HSLU Informatik eine Audit-Übung mit einem Online-Tool durchführen. Corona-bedingt natürlich vollständig online.

Wir haben dabei das Assessment-Tool “360inControl” der Firma CISS eingesetzt, die uns dies kostenlos für Lehrzwecke zur Verfügung stellt. Die Erklärungen, Einführung in das Tool und die Betreuung während dem “Begleitetem Selbststudium” wurden mit ZOOM durchgeführt. Die Begleitung seitens CISS übernahmen wieder souverän Andreas von Grebmer und Heike Klaus.

Die Aufgabenstellung (diverse Findings bei einem Audit bzgl. IT-Grundschutz) war vorher auf der Lernplattform Ilias bereitgestellt worden. In 360inControl wurden die passenden Kategorien gewählt, so dass 34 “Controls” (also Checks) zur Bearbeitung bereit standen.

Die Studierenden mussten diese Controls durchgehen und bewerten, welche von diesen durch ein Finding verletzt wurden. Dies muss in 360inControl dokumentiert werden. Am Schluss wird ein Audit-Report erzeugt, der von den Studierenden auf Ilias eingereicht wird und dem Nachweis der sorgfältigen Bearbeitung dient.

Hier ein Screenshot: links die Controls, rechts die Erklärung zur Konfiguration.

Dank des Einsatzes einer voll integralen Lösung wie 360inControl (Asset Management, Control Library, ISMS, Datenschutz, Risk und Compliance Management, Business Continuity, Audit) für die Gruppenarbeiten, lernen die Studierenden wie Corporate Governance im Digitalen Zeitalter aussehen kann und sollte. Weg von der Bearbeitung durch wenige Experten, Medien-Brüchen, funktionalen Silos, manuellem Reporting, verteilter Datenhaltung; hin zum geschäftsunterstützenden und kollaborativen integralen Ansatz.

Die stetige Weiterentwicklung von 360inControl, sowohl im Bereich der abgedeckten Standards (ISO27001/2/5, ISO9001, ISO22301, COBIT, PCI DSS 3.2, ITIL, OWASP TOP 10, NIST etc), als auch bei den Neuerungen in den Funktionen, erlaubt es, aktuelle Aufgabenstellungen für den Unterricht bereit zu stellen. Gespannt darf man auf das Third Party Management sein, das im Dezember ausgeliefert wird und das die Zulieferer einbindet.

Wir bedanken uns herzlich bei der Firma CISS für die unentgeltliche und professionelle Unterstützung, unsere Studierenden mit state-of-the-art Tools vertraut zu machen.

Online-Info-Veranstaltung über die Weiterbildung Informatik der HSLU – CAS “Digital Healthcare” – Mittwoch 18. November 2020 – 18:00 Uhr

Kompakte Informationen zum CAS Digital Healthcare bequem online erfahren. Mittwoch 18. November 20 um 18:00 Uhr.

Die Weiterbildung vermittelt Grundlagen des Gesundheitswesens und der Informations- und Kommunikationstechnik. Dabei wird grosser Wert auf prozessuales und projektspezifisches Know-how gelegt. Es werden die wichtigsten Themen aus dem Recht, dem Datenschutz und der Informations-Sicherheit besprochen. Um ein gegenseitiges Verständnis zwischen medizinischem und technischem Personal zu erreichen, werden auch Fachbegriffe, Abläufe und interpersonelle Soft Skills geschult.

Informationen und Anmeldung zur Online-Info.

Phishing-Mail im Namen der Credit Suisse (Update)

Der Tages-Anzeiger sowie PCtipp / Computerworld informieren nun ebenfalls über die aktuelle Phishing-Welle. Zudem zeigt cybercrimepolice.ch den Ablauf im Fall der SBB detailliert auf. In den Artikeln wird auch ein bereits früher gestarteter Phishing-Angriff auf Post-Kunden erwähnt. Bei Computerworld wird hierbei ein Zitat der Post aufgeführt, wonach offizielle Mails der Post zum Sendungsstatus immer den Absender «notifications@post.ch» tragen würden. Diese Information ist mit Vorsicht zu geniessen: Die E-Mail-Adresse des Absenders lässt sich fälschen!

Gegenmassnahmen:

  • Seien Sie vorsichtig im Umgang mit E-Mails. Auch bei vermeintlich bekannten Absendern Links nicht sofort klicken, die Verweisadresse via «Mouse-Over» prüfen. Im Zweifel beim angeblichen Absender auf anderem Kanal (z.B. Telefon, E-Banking interne Nachricht) nachfragen.
  • Nie Formulare ausfüllen, die per E-Mail zugestellt wurden und zur Eingabe von Anmelde- oder Kreditkarteninformationen oder einer Telefonnummer auffordern.
  • Die Adresse zur Anmeldeseite Ihres Online-Dienstleisters oder Finanzinstituts immer manuell in die Adresszeile Ihres Browsers eingeben.
  • Beim Aufruf der Anmeldeseite die SSL-Verbindung (https://, Schlosssymbol) überprüfen und sich durch die Kontrolle der Internetadresse (Domain-Name) in der Adresszeile Ihres Browsers vergewissern, dass Sie sich am richtigen Ziel befinden.
  • PC-Grundschutz: Virenschutzprogramm verwenden, Betriebssystem und Programme aktuell halten.

Quelle EBAS

Infektionsgefahr im Netz – Corona-Malware

Seit Beginn der Corona-Pandemie versuchen Kriminelle auf verschiedenste Weise von der aktuellen Situation zu profitieren. Zu den aktuell grössten Gefahren zählen:

  • Verseuchte Corona-Verbreitungs-Karten
  • Verseuchte Corona-Apps
  • Spam

Gegenmassnahmen:

  • Links in E-Mails, SMS- oder Messenger-Nachrichten nicht sofort öffnen, sondern die Adresse immer manuell in die Adresszeile Ihres Browsers eingeben.
  • Im Zweifelsfall beim Absender über einen zweiten Kanal (z. B. Telefon) die Echtheit der Inhalte verifizieren.
  • Nur auf direktem Wege (nicht über Links in E-Mails) die bekannten Karten (etwa der John Hopkins University oder auch des Rotes Kreuz International) ansurfen.
  • Niemals sensible Informationen auf unbekannten Websites oder Shops eingeben.

Hochschule Luzern – Informatik
Information & Cyber Security | Privacy
EBAS – “eBanking – aber sicher!”

Hoaxes – Ärgerliche Falschmeldungen

In den letzten Tagen sind, neben neuen Phishing-Attacken (s. Posts unten), vermehrt sog. Hoaxes im Umlauf. Z.B. dass die Kerze, die wir zum Totengedenken an Corona-Opfer in WhatsApp stellen, ein Datensauger wäre. Einerseits müssen wir super vorsichtig sein, uns andererseits aber nicht von Hoaxes verängstigen lassen.

Einfacher Test: Kopiert den Text einer verdächtigen Nachricht in Google und staunt, was es dazu meist schon gibt. Es gibt auch professionelle Quellen!

Und wie immer gilt: Nichts, ich meine NICHTS weiterschicken, was man erhalten hat: Keine “Superpreise”, “Lottogewinne”, Warnungen etc. Je dramatischer der Text, umso mehr acht geben. Und die penetrante Anweisung “Sofort an alle Kontakte schicken, sonst …” ignorieren. Das Zeug löschen und fertig. Macht Euch nicht zum Sklaven solcher Nervensägen! Kettenbriefe jeder Art sind verboten – aus gutem Grund!

Es gibt genügend Quellen mit seriösen Informationen, glaubt einfach nicht alles, was man Euch erzählt. Vorsicht und Zurückhaltung!

Weitere Infos: <eBanking – aber sicher!>