Cyber-Attacken auf Spitäler häufen sich

Auf medinside.ch wird wieder einmal von Angriffen auf Spitäler und Arztpraxen berichtet.

Auszug: «Die erfolgreichen Hacker-Attacken auf medizinische Einrichtungen häufen sich», das schreibt der «Beobachter» in seiner Ausgabe vom 13. Mai 2022.  Allein 2021 sei es in der Schweiz zu über 100 grösseren Cybervorfällen im Gesundheitswesen gekommen.

Auszug: In einem anderen Spital erklärte ein Arzt dem IT-Security-Tester: Nein, Passwörter habe man keine. «Wir sind hier, um Leben zu retten, da kann ich nicht noch Passwörter eingeben», soll er gesagt haben. Ein ähnliches Bild bei den Hausarztpraxen. Auch dort fehle oft das Bewusstsein für Cybersicherheit. Vielerorts laute das Passwort beispielsweise Praxis1234 oder Hausarzt1234

Quelle und vollständiger Artikel:
https://www.medinside.ch/de/post/spitaeler-nehmen-die-gefahr-von-cyberattacken-nicht-ernst

Praktische Ausbildung für einen Audit mit 360inControl von CISS Ltd.

Im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik lernen unsere Studierenden, wie sie ein ISMS erfolgreich etablieren können. Dafür müssen sie auch lernen, wie man den Erfolg etappenweise überprüft – also auditiert. Wie jedes Semester haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS GmbH durchgeführt. Deren Lösung “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001, ISO 27002, ISO 9001, ISO 22301, COBIT 2019, IEC 62443) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Security-Pannen im Gesundheitswesen – Interview als Morgengast im SRF

Mitte Januar 2022 gab es zwei gravierende Sicherheitspannen im Schweizer Gesundheitssystem:

  • Bei SwissTransplant, der Schweizer Organspende-Datei war es möglich, irgendeine andere Person als Organspender zu nennen, weil es keine zuverlässige Identitätsprüfung gab. Auch war es möglich, Daten vom Applikationsserver abzusaugen. Weitere Infos
  • Beim Internationalen Komitee des Roten Kreuzes wurden sensitive Daten von 515’000 Personen (wie z.B. Flüchtlingen) durch Hacker gestohlen. Schuld ist ein Drittanbieter in der Schweiz, bei dem die Daten ausgelagert waren. Was mit den Daten erreicht werden kann, ist noch unklar. Weitere Infos

Zu diesen beiden Vorfällen wurde Peter E. Fischer von SRF eingeladen, am Freitag, 21. Januar 2022 als Morgengast Rede und Antwort zu stehen. Hier die beiden Teile des insgesamt 11-minütigen Interviews. Das Thema war SRF offensichtlich wichtig …

ISMS Praxisübung mit 360inControl von CISS

Als Hochschule bieten wir praxisnahen Unterricht und bereiten unsere Studierenden auf die Erfordernisse des Berufseinstiegs vor. Dazu sind wir auf Kooperationen mit uns wohlgesonnenen Unternehmen angewiesen. Für den Unterricht im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS GmbH. gefunden. Deren Lösung “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001, ISO 27002, ISO 9001, ISO 22302, COBIT 2019, IEC 62443) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Im Herbstsemester 2021 haben wir zwei Übungen mit Studierendengruppen durchgeführt. Nach einer gekonnten Einführung in das Tool haben die Studierenden eine Liste von häufigen Schwachstellen in einer virtuellen Firma mit den im 360inControl hinterlegten Controls verglichen, verletzte Kontrollen rapportiert und passende Massnahmen definiert und im Tool hinterlegt. Dies geschieht sehr intuitiv und benötigt keine Einarbeitungszeit.

In der ersten Übung ging es darum, Schwachstellen im Grundschutz zu finden, zu dokumentieren und auszumerzen. Für den Grundschutz wurden die Controls vor allem aus ISO 27002 abgeleitet. Für die zweite Übung wurden diverse Standards (wie z.B. ISO 27001, ITIL und Cobit) herangezogen, um Defizite in einem Information Security Management System (ISMS) zu finden. Die online erfassten Feststellungen (Findings) und die definierten Massnahmen hat 360inControl in einen automatisch generierten Bericht gefasst, den die Studierenden anschliessend im pdf-Format zur Bewertung eingereicht haben.

Wir danken Andreas von Grebmer und Heike Klaus von CISS Ltd. für die ausgezeichnete Zusammenarbeit und die grosse Unterstützung, die sie durch die kostenlose Bereitstellung von 360inCon trol und ihrer Zeit seit Jahren erbringen.

Ausblick

Momentan bereiten wir eine Anpassung für das Herbstsemester 2022 vor. Die Studenten haben dann die Möglichkeit echte Assessments in Ihren eigenen oder anderen Firmen durchzuführen. Dieser Ansatz erlaubt einen erhöhten Praxisbezug und Lerneffekt. Zu gegebener Zeit wird das Konzept in einem Blogbeitrag vorgestellt.

Interessierte Firmen können sich jetzt schon gerne bei Peter E. Fischer melden.

Vakanz: Senior Incident Response Analyst und weitere bei InfoGuard AG in Baar ZG

  • Unterstützung des Cyber Defence Center (CDC) bei Eskalationen von Sicherheitsvorfällen
  • Verantwortlich für Untersuchungen, Kommunikation und Koordination bei Kunden als Incident Responser (Tier 3 Analyst CSIRT) und bei der Durchführung von Compromise Assessments und Threat Huntings
  • Training, fachliche Führung und Weiterentwicklung der Tier 2 Analysten bei forensischen Untersuchungen
  • Weiterentwickeln der Detection & Response Services, Threat Hunting Methoden und der Angriffserkennung
  • Validieren und Anpassen der Quellen für die Threat Intelligence
  • Mitarbeit bei Red / Blue und Purple Teamings

Alle Details

Alle offene Stellen bei InfoGuard AG

Banking-Trojaner und Money Mules

Die Sendung Patti chiari berichtet über einen Vorfall, bei welchem von einem gehackten Mobiltelefon nicht legitimierte Zahlungen ausgeführt wurden.

Die betroffenen Finanzinstitute PostFinance und die Raiffeisen reagieren unterschiedlich. Während erstere umgehend und erfolgreich einen Rückerstattungsantrag auslöst, bewertet letztere die Transaktion als legitim und sieht die Verantwortung bei der Geschädigten.

Durch Nachforschungen von Patti chiari kann die Inhaberin eines der Zielkonten der Überweisungen identifiziert werden. Die Frau wurde selbst Opfer eines Scharlatans und von diesem als so genannter Money Mule rekrutiert.

Gegenmassnahmen Banking-Trojanern:

  • Nutzen Sie ein Virenschutzprogramm, aktivieren Sie dessen automatische Update-Funktion und prüfen Sie Ihr Gerät regelmässig auf Schädlingsbefall.
  • Installieren Sie nur nötige Programme und Apps und laden Sie diese immer von der Herstellerseite oder einem offiziellen Store herunter.
  • Aktivieren Sie die automatische Update-Funktion für das Betriebssystem und alle installierten Programme und Apps.
  • Schützen Sie Ihren Computer und mobilen Geräte mit einem Sicheren Passwort und nutzen Sie wenn möglich die Zwei-Faktor-Authentifizierung
  • Seien Sie beim Surfen im Internet stets misstrauisch und überlegen Sie sich gut, wo und wem Sie Ihre persönlichen Informationen preisgeben.
  • Finanzinstitute, Telekommunikations- und sonstige Dienstleistungsunternehmen fragen nie nach einem Passwort
  • Holen Sie sich bei Unsicherheit oder Verdacht auf einen Angriff Unterstützung.

Gegenmassnahmen Money Mule:

  • Bei lukrativen Jobangeboten mit raschen Verdienstmöglichkeiten ohne entsprechenden Arbeitsaufwand grundsätzlich misstrauisch sein.
  • Ihre Bankkonten nie Dritten zur Verfügung stellen.
  • Ihre Bankangaben und persönliche Angaben nur an Personen weitergeben, die Sie kennen und denen Sie vertrauen.
  • Niemals Geld von Ihrem Konto abheben oder weiterleiten, dessen Herkunft Sie nicht zweifelsfrei kennen. Lassen Sie solche Gelder durch Ihre Bank an den Absender zurücküberweisen.
  • Niemals Geld im Auftrag von Dritten an Empfänger versenden, die Ihnen nicht näher bekannt sind – erst recht nicht per Postsendung oder mittels Geldtransfer-Services.
  • Vertiefte Abklärungen zum vermeintlichen Arbeitgeber tätigen und sich im Detail darüber informieren, was von Ihnen erwartet wird.
  • Anfragen, bei denen Sie auf Ihrem Bankkonto Gelder empfangen und in irgendeiner Form weiterleiten müssen, umgehend der Polizei melden.

Quelle: “e-Banking – aber sicher!” per Newsletter

Live-Übung mit 360inControl von CISS

Als Hochschule bieten wir praxisnahen Unterricht und bereiten unsere Studierenden auf die Erfordernisse des Berufseinstiegs vor. Dazu sind wir auf Kooperationen mit uns wohlgesonnenen Unternehmen angewiesen. Für den Unterricht im Kernmodul “Information Security Management” des Bachelor-Studiengangs “Information & Cyber Security” der Hochschule Luzern – Informatik haben wir dies mit Andreas von Grebmer und Heike Klaus von der Firma CISS Ltd. gefunden. Deren Produkt “360inControl®” dient uns als professionelles Online-Assessment-Tool für zwei Gruppenübungen pro Semester.

360inControl ist eine “Software as a Service” (SaaS), die webbasiert ein Assessment oder Audit der firmeneigenen Zustände im Bereich der Informationssicherheit und des Datenschutzes dient. Als GRC-Lösung (Governance, Risk & Compliance) ist es damit Teil des Internal Control System (ICS) und dient dem Aufbau eines Information Security Management Systems (ISMS). Es sind vielfältige passende Standards (wie z.B. ISO 27001) als “Controls” hinterlegt, die dann für ein Assessment sehr intuitiv und spezifisch selektiert werden können. Diese Prüfpunkte werden dann schrittweise abgearbeitet, die Findings eingetragen und die nötigen Massnahmen ebenfalls in 360inControl eingetragen.

Im Frühjahrssemester 2021 haben wir zwei Übungen mit Studierendengruppen durchgeführt. Nach einer gekonnten Einführung in das Tool haben die Studierenden eine Liste von häufigen Schwachstellen in einer virtuellen Firma mit den im 360inControl hinterlegten Controls verglichen, verletzte Controls rapportiert und passende Massnahmen definiert und im Tool hinterlegt. Dies geschieht sehr intuitiv und benötigt keine Einarbeitungszeit.

In der ersten Übung ging es darum, Schwachstellen im Grundschutz zu finden, zu dokumentieren auszumerzen. Für den Grundschutz wurden die Controls vor allem aus ISO 27002 abgeleitet. Für die zweite Übung wurden diverse Standards (wie z.B. ISO 27001, ITIL und Cobit) herangezogen, um Defizite in einem Information Security Management System (ISMS) zu finden. Die online erfassten Findings und die definierten Massnahmen hat 360inControl in einen automatisch generierten Rapport gefasst, den die Studierenden anschliessend im pdf-Format zur Bewertung eingereicht haben.

Wir danken Andreas von Grebmer und Heike Klaus von CISS Ltd. für die ausgezeichnete Zusammenarbeit und die grosse Unterstützung, die sie durch die kostenlose Bereitstellung von 360inControl und ihrer Zeit erbringen.