ACHTUNG CYBER-ATTACKE
Als das World Wide Web im Jahr 1989 erfunden wurde, konnte sich vermutlich noch niemand so richtig vorstellen, dass sich die weltweite Vernetzung von Computern jeglicher Art zu einem der grössten Risiken für die Gesellschaft entwickeln würde.
Die Anzahl der vernetzen Geräte nimmt mit jedem Tag stetig zu. In den nächsten Jahren kommen Milliarden neuer Geräte dazu und ein Ende ist nicht in Sicht. Die Institute welche die Prognosen erstellen überbieten sich mit immer neuen Hochrechnungen.
Die grössten Trends gemäss repräsentativen Umfragen liegen vor allem in den Bereichen Metaverse, KI (Künstliche Intelligenz), Containerisierung, IoT (Internet of Things) für das Gesundheitswesen sowie Cybersecurity und IOT-Sicherheit. Ob sich die Trends bewahrheiten werden, sehen wir dann im nächsten Jahr. Aber eines ist sicher, die Informationssicherheit wird bei jedem der Trends eine wichtige Rolle spielen.
Wie sieht die aktuelle Bedrohungslage den eigentlich aus?
Quellen für Informationen zur Bedrohungslage gibt es viele. Eine davon ist das Nationale Zentrum für Cybersicherheit (NCSC). Dieses veröffentlich jeweils einen Halbjahresbericht über die Lage in der Schweiz und International.
Der Halbjahresbericht 2022 für die erste Hälfte des Jahres, welcher frei verfügbar ist, beinhaltet vor allem Themen mit Bezug auf den bewaffneten Konflikt in der Ukraine sowie Meldungen aus der Bevölkerung.
Gemäss NCSC sind vor allem im Bereich Betrug viele Meldungen eingegangen. Dies im speziellen durch den anhaltenden Trend zu „Fake Extortion“ und „Spoofing“.
Bei «Fake Extortion» drohen Erpresser mit der Veröffentlichung kompromittierender Bilder. Die Erpressungen kommen unerwartet und Erpresser und Opfer kennen sich nicht.
«Spoofing» ist eine Angriffstechnik, bei dem sich eine Person als vertrauenswürdiger Kontakt oder als vertrauenswürdiges Unternehmen ausgibt, um an sensible persönliche Daten zu gelangen. Beim Spoofing geht es darum, die Identität von bekannten Kontakten, das Design bekannter Marken oder die Adressen vertrauenswürdiger Websites zu kopieren und sich zunutze zu machen.
Die Anzahl der Meldungen hat stetig zugenommen und die Dunkelziffer ist nochmals um Faktoren höher. Nachfolgend die Statistik mit den Kennzahlen der Meldungen welche gemäss NCSC im ersten Halbjahr 2022 gemeldet wurden.
Quelle: Nationales Zentrum für Cybersicherheit NCSC, Halbjahresbericht 2022/I (Januar – Juni)
Wo sieht sich die CISTEC in diesem Umfeld?
Die CISTEC entwickelt und betreibt das Klinikinformationssystem KISIM und ist nach 20 Jahren in der Deutschschweiz marktführend in diesem Bereich. Die CISTEC leistet mit ihren rund 170 Mitarbeitenden einen wichtigen Beitrag zur Digitalisierung des Schweizer Gesundheitssystems. Dies bedeutet aber auch, dass die CISTEC eine Verantwortungsvolle Position innerhalb der Lieferkette innehat. Dieser Verantwortung ist sich die CISTEC bewusst und stellt hohe Ansprüche an sich selber sowie auch an ihre Kunden, Patienten, Lieferanten und Partner. Nachfolgend ein Auszug der Sicherheitspolitik der CISTEC welche den Anspruch deutlich macht:
…Die Informationssicherheitspolitik hat zum Ziel, die Wertschöpfungskette zu sichern unter der Berücksichtigung der rechtlichen und betrieblichen Anforderungen. Wir betrachten «die Information» zur richtigen Zeit am richtigen Ort in der richtigen Qualität als zentrale Erfolgsfaktoren für die CISTEC, für unsere Kunden und deren Patienten sowie auch für unsere Lieferanten und Partner, ohne die unser Unternehmen in seiner Geschäftstätigkeit massiv beeinträchtigt wäre. Schützenswerte IT-Objekte wie Daten/Informationen, Anwendungen, Systeme und Netzwerke sollen demnach dauerhaft und angemessen vor höherer Gewalt, technischem Versagen, vorsätzlichen Angriffen und menschlicher Nachlässigkeit geschützt werden…
Was unternimmt die CISTEC nun konkret gegen die wachsende Bedrohung?
Ein wichtiger Teilaspekt im Kampf gegen die Bedrohungen ist die Tatsache, dass sich die CISTEC der Qualität verschrieben hat und ein zertifiziertes Qualitätsmanagementsystem betreibt nach der Norm EN ISO 13485:2016 für die Entwicklung, Vertrieb, Installation und Wartung von klinischen Informationssystemen.
Konkreter im Kontext der Informationssicherheit war der Entscheid, die Stelle als CISO (Chief Information Security Officer) in der CISTEC möglichst rasch zu besetzen. In der Vergangenheit wurden die Sicherheitsthemen in einer Personalunion behandelt, was in der heutigen dynamischen Zeit und aufgrund der Menge an Themen nicht mehr als adäquat erachtet wurde.
Im gleichen Zeitraum hat man die Risiken neu bewertet und der zukünftige CISO wurde damit beauftragt eine neue Sicherheitsstrategie zu erarbeiten. Die Strategie sieht unter anderem vor, in Kooperation mit der Geschäftsleitung, der ICT, der Belegschaft, unseren Partner und Lieferanten die Risiken nachhaltig zu reduzieren. Dies wird erreicht mittels nachhaltigen und adäquaten Massnahmen unter Berücksichtigung von gängigen Standards und Best-Practice-Ansätzen. Im Vordergrund stehen hier vor allem die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit.
Die Sicherheit unserer Kunden und deren Informationen hat oberste Priorität und darum hat sich die CISTEC zum Ziel gesetzt die Cyber- und Informationssicherheit stetig auszubauen und die Resilienz nachhaltig sicherzustellen.
Ein weiteres Ziel ist es, unsere Kunden in diesen Bestrebungen tatkräftig zu unterstützen. Dies mittels Risikoanalysen und Sicherheitskonzepten in den Bereichen Sicherheitsarchitektur, Endpunktsicherheit, Identitätsmanagement, Business Continuity, Cloud-Security, Containerisierung, Überwachung und Incident Response falls es dennoch mal zu einem Vorfall kommen sollte.
Bestrebungen wie zum Beispiel die Zertifizierung nach ISO 27001 oder 27017, 27018 stehe zur Diskussion und unterstreichen unsere Motivation nicht nur marktführend im Bereich der Klinikinformationssysteme (KIS) zu sein, sondern auch zu den Besten im Bereich Informations- und Cyber-Sicherheit zu gehören.
Wir freuen uns in Zukunft unsere Kunden tatkräftig unterstützen zu dürfen und stehen für Fragen gerne zur Verfügung.
Für Fragen zum Blog steht Ihnen Harald Heinstein, CISO, gerne zur Verfügung (Email: moc.cetsic@nietsnieh.dlarah).