Unsere Publikationen

Auch in Zeiten von Cloud-Diensten nimmt die Komplexität nicht ab, sondern zu. Nach Jahren des Customizings von Softwarelösungen wurde eine neue Abstraktion gesucht, um den Lifecycle von Produkten und den Herstellerwechsel zu vereinfachen. In der Folge setzte man vermehrt auf die Standardkomponenten von Software, und die Hersteller entwickelten eigene As-a-Code-Lösungen. Die Konfigurationen werden nicht mehr tief in die Software eingebettet oder über eine grafische Oberfläche eingegeben, sondern als Code.

Das führte zu einer zusätzlichen Ebene, der Konfigurationsebene, die eigenständig ist und leicht verständlich sowie einfach versionierbar und replizierbar sein soll.

Weiterlesen...

Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat 2018 den IKT Minimalstandard publiziert. Dieser soll als Empfehlung Unternehmen dabei helfen, sich besser vor Cyberangriffen zu schützen. Zielpublikum des Minimalstandards sind primär Betreiber kritischer Infrastrukturen, der Standard soll aber grundsätzlich für alle Organisationen anwendbar sein. Der IKT-Minimalstandard basiert auf dem NIST Cybersecurity Framework (NIST CSF). In den letzten Jahren haben beide Standards an Bedeutung gewonnen. Wenn man bei der Umsetzung ein paar wichtige Punkte beachtet, sind diese zwei Standards sehr gute Hilfsmittel für die Verbesserung der Cybersecurity in einer Organisation.

Weiterlesen...

Selten war die Welt mehr vernetzt als heute: Die Leute tauschen sich mehr aus und es gibt mehr Informationen für alle und über alles. Nun sollte man also meinen, dass ein Online-Meeting ganz einfach durchzuführen sei, besonders wenn eine Firma jahrelange Erfahrungen damit hat. Dennoch gestaltet sich die Organisation eines Online-Meetings mitunter schwierig. Schauen wir uns gemeinsam die häufigsten Fehler an und wie wir sie vermeiden können.

Weiterlesen...

DevSecOps ist eine Erweiterung des bestehenden Ansatzes, Entwicklung (Development) und Betrieb (Operations) bei einem einzigen Team anzusiedeln. Mit DevSecOps wird auch die Sicherheit (Security) im selben Team angesiedelt und erhält damit eine zentrale Rolle.

Mit DevSecOps wechselt man in der Regel von einer Welt, in der die meisten Dienste zentral verwaltet werden, in eine Welt, in der Dienste nur noch zur Verfügung gestellt werden. Dabei wird auch das Prinzip von Infrastructure as a Service (IaaS) gestärkt.

Weiterlesen...

In den letzten Jahren hat sich die Erkenntnis durchgesetzt, dass es längst nicht mehr ausreicht, nur präventive Schutzmassnahmen gegen Cyberangriffe zu ergreifen. Die Erkennung von Cyberangriffen und die rasche Reaktion auf Attacken sind vermehrt in den Fokus gerückt, nicht zuletzt auch aufgrund von Standards wie dem NIST Cybersecurity Framework oder dem IKT Minimalstandard des Bundes. Es ist zwar definitiv wichtig und richtig, in einer Cybersecurity-Strategie die Funktionen Detect und Response mit zu berücksichtigen, allerdings beobachten wir mittlerweile eine gefährliche Tendenz, im Gegenzug die Grundlagen im Bereich der präventiven Massnahmen zu vernachlässigen.

Weiterlesen...

Wer mit mehreren Partnerfirmen auf unterschiedlichen Collaboration-Plattformen zusammenarbeitet, der kennt sie: plattformspezifische Logins, zunehmend mit einer ebenfalls plattformspezifischen 2-Faktor-Authentifizierung.

Wer für das Identity and Access Management (IAM) einer Firma verantwortlich ist, der fürchtet sie: Collaboration-Accounts, die nach Abschluss der Zusammenarbeit bestehen bleiben, allzu oft auch nach dem Austritt eines Projektbeteiligten aus der Firma.

Weiterlesen...

Welcher Administrator kennt das nicht? Ein ablaufendes TLS-Zertifikat reisst eine wichtige Applikation runter und legt im schlimmsten Fall wichtige Dienste flächendeckend lahm. Die Fehleranalyse erweist sich als schwierig und zeitaufwändig, da Fehlermeldungen in Logs wie «Unable to connect to server» oder «Service unreachable» nicht viel über die eigentliche Fehlerursache aussagen. Erst nach mühsamer Fehleranalyse finden die Beteiligten heraus, dass ein internes TLS-Zertifikat abgelaufen ist – ärgerlich, da dies vermeidbar gewesen wäre.

Weiterlesen...

Moderne Authentisierungsprotokolle sind in Zeiten von Cloud und zunehmender standortübergreifender Zusammenarbeit nicht mehr wegzudenken. Nachdem Kerberos jahrzehntelang den Benchmark in der On-Premise-Welt setzte, verabschiedete OASIS im Jahr 2002 SAML V1.0 und ermöglichte somit erstmals eine standardisierte SSO-Integration von Webanwendungen. Im Jahr 2005 stellten dann Brad Fitzpatrick und Johannes Ernst der Welt OpenID Connect als weiteres Web-SSO-Protokoll vor. Fortan bestanden die beiden Web-SSO-Verfahren und die immer noch weitverbreiteten Legacy-Protokolle nebeneinander.

Weiterlesen...

Advanced-Persistent-Threat-Cyberattacken (APT), Identity Access Management (IAM) und Authentication Management sind Themen im Bereich der Informationssicherheit, mit denen sich die meisten Sicherheitsleute wohl bereits einmal befasst haben. Doch wieso führen gerade Mängel im IAM und im Authentication Management immer wieder dazu, dass APT-Angriffe möglich werden? Und warum werden diese nicht erkannt, obwohl die bestehenden Identitäten aktiv überwacht werden? Wir zeigen Ihnen anhand des SolarWinds-Angriffs auf, wie solche Attacken erfolgreich bekämpft werden können.

Weiterlesen...

Das Jahr 2021 bringt für SWIFT-Nutzer zwei Änderungen. Erstens die Notwendigkeit eines Independent Self-Assessments und zweitens eine neue Version des Customer Security Controls Framework (CSCF) in der Version 2022. Während Letzteres eine kalkulierbare Neuerung darstellt, handelt es sich bei Ersterem um eine ernst zu nehmende Verschärfung.

Weiterlesen...

Eine 2-Faktor Authentifizierung der Benutzer sollte beim Zugriff auf Cloud-Services im Gesundheitswesen zur Selbstverständlichkeit werden. Damit dies gelingt, benötigen Spitäler und Heime ein elektronisches Äquivalent zum Personalausweis.

Weiterlesen...

Im Juni dieses Jahres musste Honda aufgrund einer Cyberattacke Teile der Produktion an unterschiedlichen Standorten einstellen. Die Angreifer haben bekannte Sicherheitslücken ausgenutzt, um Zugang zum internen Netz zu erhalten, und haben die erhaltenen Informationen in die Ransomware einprogrammiert. Die Malware wurde dann intern verteilt und hat auf den infizierten PCs ausgewählte Dateien verschlüsselt, die für produktionsspezifische Prozesse notwendig sind. Dabei wurden die Domain-Controller verschont, da auf diesen die Ransomnote hinterlegt wurde. Die Produktion musste in der Folge für einige Tage eingestellt werden, was zu einem hohen Schaden führte. Honda äussert sich indes zu diesem Vorfall bis heute nicht.

Weiterlesen...

IT-Architekten stehen heutzutage vor der Herausforderung, vielseitige Anforderungen des Fachbereichs, der Sicherheit und der Regulatoren erfüllen zu müssen. Die Themen reichen von der Cloud-Integration über die Multi-Faktor-Anmeldung bis hin zur App-Integration und das unter dem Aspekt des stetig steigenden Schutzbedarfs, welcher wiederum neue Ansätze erfordert.

Weiterlesen...

In den gängigen Blueprints zum Aufbau eines Security Operation Centers (SOC) fehlt häufig ein wichtiges Element, nämlich das Vertrauen in das SOC durch die Organisation, die es zu schützen hat. Wenn der unvermeidliche kritische Vorfall eintritt, ist dies von grösster Bedeutung, denn das Management soll sich auf die Analysen und Empfehlungen seines SOC verlassen können.

Weiterlesen...

Manch einer will nur noch Reissaus nehmen, wenn er liest, was in Wikipedia unter dem Stichworten Information Security Management System und ISO/IEC 27001 und 27002 gelistet ist. Von Verfahren und Regeln ist da die Rede, dauerhaft aufrecht zu erhalten und erst noch fortlaufend zu verbessern. So etwas Langweiliges! Das riecht nach harter Arbeit, Anstrengung und Fleiss – definitiv nicht nach dem, was den modernen Nerd vom Hocker haut!

Weiterlesen...

Security und die Cloud haben ein äusserst ambivalentes Verhältnis. Viele Security Spezialisten sind gegenüber der Cloud noch immer skeptisch und betrachten diese in erster Linie als Risiko. Die Cloud kann aber auch eine Chance und der Security sogar dienlich sein. Mit der Migration einer Business Applikation in die Cloud verändern sich die Risiken. Ob diese Veränderung negativ ausfällt, hängt von verschiedenen Faktoren ab und kann nicht pauschal beantwortet werden.

Weiterlesen...

Die Verwaltung der Gesundheitsfachpersonen im nationalen Health Provider Directory des elektronischen Patientendossiers folgt einer langfristig ausgelegten Vision des Gesetzgebers. Dieser Artikel zeigt auf, wie diese Vision mit der heutigen Realität in Verbindung gebracht werden kann.

Weiterlesen...

Das EPDG verlangt eine 2-Faktor-Authentifizierung nicht nur von Patientinnen und Patienten, sondern auch von Gesundheitsfachpersonen und deren Hilfspersonen. Dieser Artikel zeigt auf, wie dies unter Nutzung der im Spital oder im Heim vorhandenen Mittel umgesetzt werden kann.

Weiterlesen...

Durch die Digitalisierung in der Industrie (Industrie 4.0, IIoT) steigt die Anzahl der vernetzten physischen Geräte und Systeme im Internet rasant an und Experten gehen davon aus, dass die Gesamtzahl der angeschlossenen Sensoren und Devices bis 2022 auf mehr als 50 Milliarden ansteigen wird. Ein Umstand, der zwar interessante Möglichkeiten eröffnet, aber auch grosse Bedenken aufwirft. Grosse Bedenken deswegen, weil Fragen zur Privatsphäre, der Integrität von Daten oder deren Herkunft nicht oder unzureichend beantwortet werden können.

Weiterlesen...

Mobile Devices wie Smartphones und Tablets spielen eine immer wichtigere Rolle im beruflichen wie im privaten Umfeld. In vielen Unternehmen sind iOS-Geräte von Apple als Standard gesetzt – aber wieso werden Geräte mit dem Android Betriebssystem nicht auch eingesetzt? Mit über 88% Marktanteil dominiert Android den Internationalen Markt bei den mobilen Geräten und die grössten Hersteller wie Samsung und Huawei bieten vergleichbare High-End Smartphones an wie Apple. In Bezug auf die Sicherheit steht Android jedoch im Ruf, unsicherer als iOS zu sein. Die TEMET AG ging der Sache auf den Grund und hat die Sicherheit beider Betriebssysteme in einem Report verglichen. Dazu sind die dokumentierten Schwachstellen der beiden Betriebssysteme seit 2013 sowie Mobile Threats der letzten 3 Jahre analysiert worden.

Weiterlesen...

Die Erkennung von und der Umgang mit Sicherheitsvorfällen, auch bekannt als Security Information and Event Management (SIEM) oder als «Detection and Response» gemäss NIST Cybersecurity Framework, wird – leider – immer wichtiger. Bei der Implementierung der SIEM-Prozesse spielt das Security Operations Center (SOC) bzw. das Cyber Defence Center (CDC) eine zentrale Rolle. Die Anforderungen an das Know-How und die Verfügbarkeit des SOC/CDC sind hoch; Angriffe aus dem Internet können leider nicht auf Bürozeiten eingeschränkt werden. Dies sind wichtige Gründe dafür, dass SOC Services gerne an Dritte ausgelagert werden, und das Marktangebot wächst entsprechend rasant.

Weiterlesen...

Der Themenkomplex Datenschutz spielt im Design und Betrieb der Informationssicherheit immer wieder eine Rolle – nicht immer zur Freude der Geschäftsverantwortlichen.

In der Beratung zur Informationssicherheit geht es üblicherweise um Themengebiete wie Cyber Security, Identitäts- und Zugriffsmanagement oder Managementsysteme zur Informationssicherheit. Diese Bereiche sind meist in IT- oder in Business-Einheiten der Kunden angesiedelt und sollen die Informationen der Unternehmen vor allen möglichen Verletzungen schützen.

Weiterlesen...

Die für jedermann spürbare Auswirkung der Europäischen Datenschutzgrundverordnung (DSGVO) erschöpft sich bislang in der mühseligen Bestätigung von Cookie Policies. Hinter den Kulissen ist aber eine Umwälzung im Gange, die das heutige Selbstverständnis der Sicherheitsverantwortlichen in den Grundfesten erschüttern kann. Diese Umwälzung ist in verschiedenen neuen Regulativen bereits sichtbar wie beispielsweise dem Elektronischen Patientendossier (EPD): Im EPD entscheiden die Patientinnen und Patienten selber, wie sie Ihre Dokumente klassifizieren und welche Ärzte auf ihr Dossier zugreifen dürfen. Dieselbe Stossrichtung verfolgt die europäische Payment Services Directive (PSD2) für das digitale Bankgeschäft.

Weiterlesen...

Das Passwort lebt immer noch

Schon bereits vor einigen Jahren kündigten die Medien (siehe z.B. [1]) aber auch Fachkreise den Tod von Passwörtern an. Biometrie in allen Facetten (z.B. Fingerabdruck, Iris, Handvenen, Herzrate, Stimme) ist nur ein Beispiel, welches den nahen Tod herbeiführen sollte. Jahre später hantieren wir auch in Zeiten von Blockchain und Kryptowährungen nach wie vor täglich mit Passwörtern. An der Situation hat sich dabei wenig geändert: Jeder Nutzer verfügt über unzählige Accounts und es werden immer mehr.

Weiterlesen...

Um ein Haar wäre es Hackern im vergangenen Jahr gelungen, einen der grössten Betrugsfälle aller Zeiten durchzuziehen und eine knappe Milliarde US-Dollar zu erbeuten. Der SWIFT-Verbund macht nun Druck, die IT-Security in dem Bankennetzwerk flächendeckend zu stärken.

Es war eine Aktion, die das Zeug zum Krimi hatte. Im Februar 2016 schafften es bis heute unbekannte Hacker, das Zahlungsnetzwerk von SWIFT für ihre kriminellen Zwecke auszunutzen. Sie missbrauchten Zugriffsrechte und Systeme der Bangladesh Bank, um 35 Zahlungsaufträge mit einem Gesamtwert von über 950 Millionen US-Dollar vom Konto der Bank bei der Federal Reserve Bank of New York (New York FED) direkt ins SWIFT-Netzwerk einzuspeisen. Beinahe wäre den Hackern ein unglaublicher Coup gelungen, hätten nicht weiterführende manuelle Kontrollen den grössten Schaden verhindert.

Weiterlesen...

Cloud Computing in der (Arzt-)Praxis

Beim Cloud Computing (oder «Rechnen in der Wolke») befinden sich Informatikanwendungen oder Daten nicht mehr lokal beim Anwender, sondern zentral bei einem Cloud-Service-Anbieter. Diese Verschiebung der IT in die Cloud hat auch in der Arztpraxis längst begonnen und lässt sich nicht aufhalten.

Weiterlesen...

Wenn sich eine Gesundheitseinrichtung einer EPD-Stammgemeinschaft und damit dem nationalen EPD Vertrauensraum anschliesst, dann bleibt dies nicht ohne Auswirkungen auf die internen Prozesse und Systeme. Dieser Artikel beleuchtet den Handlungsbedarf speziell im Bereich der Informationssicherheit.

Spitäler und Heime müssen sich bis 2020 respektive 2022 einer EPD Gemeinschaft anschliessen. Sie werden damit Teil des Vertrauensraums EPD, dessen Regeln von Gesetz und Ausführungsrecht bestimmt werden.

Weiterlesen...

Herr Dr. Rhomberg, es war ein Hackerangriff, wie ihn die Bankenwelt bis dahin noch nicht kannte: Im Februar 2016 schafften es Hacker, gefälschte Überweisungen über mehr als 950 Millionen US Dollar bei der Bank Bangladesh ins SWIFT Netzwerk einzuspeisen. Wie konnte es dazu kommen?

Es zeigte sich, dass zum einen die betroffene Bank erhebliche Mängel in der Sicherheit ihrer IT aufwies. Zum anderen waren die Angreifer nicht nur über die eingesetzte Software und IT-Infrastruktur genauestens informiert, auch wussten sie, wo exakt die Schwachstellen lagen und zu welchem Zeitpunkt ihr Angriff erfolgen musste. Neben der Erwirtschaftung des grösstmöglichen Profits verfolgten die Hacker das Ziel, die Überweisungen lange geheim zu halten, um das Geld von den Zielbanken weiter transferieren oder in bar abholen zu können.

Weiterlesen...

Das elektronische Patientendossier (EPD) und die informationelle Selbstbestimmung sind zwei Themen, über die wir in den kommenden Jahren viel hören, lesen und nachdenken werden. Lassen Sie uns darüber sprechen, weshalb das EPD zum Prüfstein für die informationelle Selbstbestimmung wird.

Weiterlesen...

Viren, Würmer, Trojaner, Phishing, Drive-by Attacken und Social Engineering [1] sind nur eine kleine Auswahl der möglichen Angriffsmittel, welche von kriminellen Kreisen eingesetzt werden um gewinnbringende Angriffe auf Informationssysteme vorzunehmen. Die Professionalisierung der kriminellen Seite hat dabei erschreckende Ausmasse angenommen. Längst sind es nicht mehr (nur) gelangweilte Computernerds in dunkeln Kellern, welche Systeme hacken, sondern vielmehr ist es ein florierender (Schwarz-)Markt mit ausgeklügelten Standardwerkzeugen für den Bau von massgeschneiderter Schadsoftware [2] bis hin zur Denial of Service Attacke as a Service.

Weiterlesen...