In den gängigen Blueprints zum Aufbau eines Security Operation Centers (SOC) fehlt häufig ein wichtiges Element, nämlich das Vertrauen in das SOC durch die Organisation, die es zu schützen hat. Wenn der unvermeidliche kritische Vorfall eintritt, ist dies von grösster Bedeutung, denn das Management soll sich auf die Analysen und Empfehlungen seines SOC […]
Manch einer will nur noch Reissaus nehmen, wenn er liest, was in Wikipedia unter dem Stichworten Information Security Management System und ISO/IEC 27001 und 27002 gelistet ist. Von Verfahren und Regeln ist da die Rede, dauerhaft aufrecht zu erhalten und erst noch fortlaufend zu verbessern. So etwas Langweiliges! Das riecht nach harter Arbeit, […]
Security und die Cloud haben ein äusserst ambivalentes Verhältnis. Viele Security Spezialisten sind gegenüber der Cloud noch immer skeptisch und betrachten diese in erster Linie als Risiko. Die Cloud kann aber auch eine Chance und der Security sogar dienlich sein. Mit der Migration einer Business Applikation in die Cloud verändern sich die Risiken. […]
Die Verwaltung der Gesundheitsfachpersonen im nationalen Health Provider Directory des elektronischen Patientendossiers folgt einer langfristig ausgelegten Vision des Gesetzgebers. Dieser Artikel zeigt auf, wie diese Vision mit der heutigen Realität in Verbindung gebracht werden kann.
Gesundheitsfachpersonen (GFP), die das elektronische Patientendossier nutzen wollen, müssen im nationalen Health Provider Directory (HPD) verzeichnet sein. […]
Das EPDG verlangt eine 2-Faktor-Authentifizierung nicht nur von Patientinnen und Patienten, sondern auch von Gesundheitsfachpersonen und deren Hilfspersonen. Dieser Artikel zeigt auf, wie dies unter Nutzung der im Spital oder im Heim vorhandenen Mittel umgesetzt werden kann.
Der Identitätsdiebstahl ist eines der grossen Probleme der Informationssicherheit: Benutzerkonten bei Online-Diensten, die aus dem […]
Durch die Digitalisierung in der Industrie (Industrie 4.0, IIoT) steigt die Anzahl der vernetzten physischen Geräte und Systeme im Internet rasant an und Experten gehen davon aus, dass die Gesamtzahl der angeschlossenen Sensoren und Devices bis 2022 auf mehr als 50 Milliarden ansteigen wird. Ein Umstand, der zwar interessante Möglichkeiten eröffnet, aber auch […]
Mobile Devices wie Smartphones und Tablets spielen eine immer wichtigere Rolle im beruflichen wie im privaten Umfeld. In vielen Unternehmen sind iOS-Geräte von Apple als Standard gesetzt – aber wieso werden Geräte mit dem Android Betriebssystem nicht auch eingesetzt? Mit über 88% Marktanteil dominiert Android den Internationalen Markt bei den mobilen Geräten und […]
Die Erkennung von und der Umgang mit Sicherheitsvorfällen, auch bekannt als Security Information and Event Management (SIEM) oder als «Detection and Response» gemäss NIST Cybersecurity Framework, wird – leider – immer wichtiger. Bei der Implementierung der SIEM-Prozesse spielt das Security Operations Center (SOC) bzw. das Cyber Defence Center (CDC) eine zentrale Rolle. Die […]
Der Themenkomplex Datenschutz spielt im Design und Betrieb der Informationssicherheit immer wieder eine Rolle – nicht immer zur Freude der Geschäftsverantwortlichen.
In der Beratung zur Informationssicherheit geht es üblicherweise um Themengebiete wie Cyber Security, Identitäts- und Zugriffsmanagement oder Managementsysteme zur Informationssicherheit. Diese Bereiche sind meist in IT- oder in Business-Einheiten der Kunden […]
Die für jedermann spürbare Auswirkung der Europäischen Datenschutzgrundverordnung (DSGVO) erschöpft sich bislang in der mühseligen Bestätigung von Cookie Policies. Hinter den Kulissen ist aber eine Umwälzung im Gange, die das heutige Selbstverständnis der Sicherheitsverantwortlichen in den Grundfesten erschüttern kann. Diese Umwälzung ist in verschiedenen neuen Regulativen bereits sichtbar wie beispielsweise dem Elektronischen Patientendossier […]
Schon bereits vor einigen Jahren kündigten die Medien (siehe z.B. [1]) aber auch Fachkreise den Tod von Passwörtern an. Biometrie in allen Facetten (z.B. Fingerabdruck, Iris, Handvenen, Herzrate, Stimme) ist nur ein Beispiel, welches den nahen Tod herbeiführen sollte. Jahre später hantieren wir auch in Zeiten von […]
Um ein Haar wäre es Hackern im vergangenen Jahr gelungen, einen der grössten Betrugsfälle aller Zeiten durchzuziehen und eine knappe Milliarde US-Dollar zu erbeuten. Der SWIFT-Verbund macht nun Druck, die IT-Security in dem Bankennetzwerk flächendeckend zu stärken.
Es war eine Aktion, die das Zeug zum Krimi hatte. Im Februar 2016 schafften es […]
Beim Cloud Computing (oder «Rechnen in der Wolke») befinden sich Informatikanwendungen oder Daten nicht mehr lokal beim Anwender, sondern zentral bei einem Cloud-Service-Anbieter. Diese Verschiebung der IT in die Cloud hat auch in der Arztpraxis längst begonnen und lässt sich nicht aufhalten. Das Tempo ist aber für […]
Wenn sich eine Gesundheitseinrichtung einer EPD-Stammgemeinschaft und damit dem nationalen EPD Vertrauensraum anschliesst, dann bleibt dies nicht ohne Auswirkungen auf die internen Prozesse und Systeme. Dieser Artikel beleuchtet den Handlungsbedarf speziell im Bereich der Informationssicherheit.
Spitäler und Heime müssen sich bis 2020 respektive 2022 einer EPD Gemeinschaft anschliessen. Sie werden damit Teil […]
Herr Dr. Rhomberg, es war ein Hackerangriff, wie ihn die Bankenwelt bis dahin noch nicht kannte: Im Februar 2016 schafften es Hacker, gefälschte Überweisungen über mehr als 950 Millionen US Dollar bei der Bank Bangladesh ins SWIFT Netzwerk einzuspeisen. Wie konnte es dazu kommen?
Es zeigte sich, dass zum einen die betroffene […]
Das elektronische Patientendossier (EPD) und die informationelle Selbstbestimmung sind zwei Themen, über die wir in den kommenden Jahren viel hören, lesen und nachdenken werden. Lassen Sie uns darüber sprechen, weshalb das EPD zum Prüfstein für die informationelle Selbstbestimmung wird.
Am 19. Juni 2015 hat das Parlament das Bundesgesetz über das elektronische Patientendossier […]
Viren, Würmer, Trojaner, Phishing, Drive-by Attacken und Social Engineering [1] sind nur eine kleine Auswahl der möglichen Angriffsmittel, welche von kriminellen Kreisen eingesetzt werden um gewinnbringende Angriffe auf Informationssysteme vorzunehmen. Die Professionalisierung der kriminellen Seite hat dabei erschreckende Ausmasse angenommen. Längst sind es nicht mehr (nur) gelangweilte Computernerds in dunkeln Kellern, welche Systeme […]