Medical Device Security…

Hi…

hier http://spectrum.ieee.org/podcast/biomedical/devices/hacking-pacemakers ist ein Artikel, über dessen Thema wir uns wahrscheinlich zunächst einmal noch keine Gedanken gemacht hätten. In Zukunft werden wir aber in der Welt des Internet of Things leben und damit werden auch Herzschrittmacher-Hersteller sich Gedanken über Firewalls auf ihren Devices machen müssen.

CU

0xff

Sicherheit und die Cloud – Die Gefahren liegen ganz wo anders…

Hi…

Auf die Frage, wer den Cloud Computing macht, wurde vor einigen Jahren im Fachpublikum noch mit leichten Lachanfällen reagiert. Alles viel zu unsicher. Wenn man dann gesagt hat, dass jeder, der privat eine gehostete Email-Adresse hat oder gar Online-Banking macht, eigentlich schon voll in der Cloud angekommen ist, gab es verdutzte Gesichter.

Heute ist das Thema Cloud salonfähig geworden – ob die IT-Abteilung das wollte oder nicht. Das Totschlag-Argument Sicherheit hat nicht gezogen – irgendwie. Ich nenne Sicherheit hier ein Totschlag-Argument, weil zumeist nicht viel dahinter steckt. Man sagt, „Unsicher“ und hofft, dass keiner eine weitere Frage stellt. In Wahrheit hat man sich mit dem Thema sowas von Null beschäftigt. Wenn man dann sagt, dass Cloud Daten wahrscheinlich die besser geschützten sind, reagiert man am besten mit Auslachen. Leider sprechen die Tatsachen eine andere Sprache.

Nehmen wir diesen netten Artikel http://www.cloudtweaks.com/2013/05/top-5-hipaa-security-risks-as-providers-migrate-to-tthe-cloud/ . Überrascht uns eigentlich, dass Hacking und IT Probleme mit 6.3% es gerade noch so in die Top 5 Probleme geschafft haben?? Probleme wie das Stehlen von Laptops, Herumliegen von Ausdrucken und derartiges mehr, sind halt immer noch die Spitze. Und das sind Hinterlassenschaften der alten Zeit.

Nun sind die 6.3% immer noch zu viel, keine Frage. Und die Tatsache, dass alte Bekannte wie SQL Injection noch immer die Top 10 der OWASP Liste anführen, macht einen wundern. Wer heute keine Tools wie Code Analyzer einsetzt, ist selber schuld und sollte dafür auch haftbar gemacht werden.

Die Diskussion, die man zum Thema Cloud Security noch führen sollte, ist der Speicherort der Daten. Leider ist das Internet da nicht eine homogene Landschaft. Der Speicherort der Daten bestimmt den gesetzlichen Rahmen zum Thema Datenschutz. Wir Deutschen dürfen mit Recht sagen, dass wir es erfunden haben. Wir sollten dieses Erbe auch in eine Tradition verwandeln und uns bewusst sein, dass dies unser Beitrag für das globale Netz werden könnte. Aber nur, wenn wir Tradition nicht mit dem Bewachen der Asche sondern mit dem Erhalten des Feuers übersetzen. Datenschutz muss sich wandeln und die Zeichen der Zeit mitnehmen. Die Aussage einiger Datenschutzfundamentalisten, dass Social Networks sowieso des Teufels wären, wird da nicht helfen.

CU

0xff

DG Code Analyzer your software…

Hi…

wie komme ich zum Code Analyzer?? Klarer weise beginnt alles auf der Website des Developer Gardens. Dort findet man einen LogIn-Button:

Step1_LoginDort erstmal mit seinem Konto anmelden. Danach erscheint dort der neue Link My Account. Wenn ich dem folge, kann ich Dienste ein-/ausschalten.

Step2_AccountManagementDort auf API-Management. Als neues Element seit Gestern erscheint Code Analyzer:

Step3_Code AnalyzerDamit kann ich den Dienst ein-/ausschalten. Wie man sieht, ich habe ihn bereits eingeschaltet (you guessed). Über den Link Config kann ich meinen Plan wählen. Ich arbeite derzeit auf dem freien Angebot.

Step3_ConfigDort findet sich auch der Hyperlink zum Dashboard, über das man Code hochlädt nd die Scan-Ergebnisse ansehen kann. Der Link lautet https://codeanalyzer.developergarden.com/Dashboard.aspx

Viel Spaß damit…

CU

0xff

Das Käsescheiben-Model in der IT Security

Hi…

Da ich es in letzter Zeit des Öfteren erzählt habe, hier mal ein Erwähnung des Käsescheiben-Models. Ich habe es kennengelernt, als ich meinen Master an der University of Liverpool gemacht habe. Im Kurs „Security Engineering“ haben wir Ross Andersons Buch zu dem Thema durchgearbeitet. Eine Buch, das ich für einen absoluten Meilenstein halte und das es mittlerweile hier http://www.cl.cam.ac.uk/~rja14/book.html zum Lesen gibt.

Das Käsescheiben-Model kommt eigentlich aus der Luftfahrt-Technik. Übrigens ein Bereich, der sich mit der Sicherheit von Systemen früh beschäftigen musste und daher einen gewissen Vorsprung hat. Das Model beschäftigt sich mit der Zusammenarbeit unterschiedlicher Sicherheitssysteme. Es lautet wie folgt:

Jedes Sicherheitssystem ist vergleichbar einer Käsescheibe. Sie hat geschlossene Flächen aber auch Löcher. Manche mehr und manche weniger. Und jeweils an hoffentlich unterschiedlichen Stellen. Ein Loch steht für ein Sicherheitsproblem. Die Aufgabe der Ingenieure ist es nun, ausreichend viele Käsescheiben so aufeinander zu legen, dass alle Löcher verdeckt werden.

Käsescheibenmodel

Anbei habe ich mal zwei Käsescheiben übereinander gelegt. Man erkennt, dass zwei Wege offengeblieben sind. Falls wir hier einen Angriff haben würden, würde dieser erfolgreich beide Sicherheitsschichten durchdringen.

Was lernen wir daraus?

  • Man sollte jedes Sicherheitssystem per se als „löcherig“ betrachten. Es gibt kein perfektes System!! Noch schlimmer: Sicherheit ist immer temporär. Jeden Tag werden neue Möglichkeiten entdeckt und billigere Rechenleistung zwingt zu längeren Schlüsseln.
  • Die Kombination der Sicherheitssysteme ist extrem wichtig. Sie müssen sich so ergänzen, dass sie gegenseitigen Schwächen (aka Löcher) aufheben (aka zudecken).
  • Wir alle wissen, dass man mit unendlich viel Käsescheiben dann auch eine absolute Abdeckung erreichen. Wir alle wissen auch, dass zu viel Käse fett macht. Ziel muss also sein, bei minimaler Menge Käse maximale Abdeckung zu erreichen. Hier kommt das Schlagwort Risiko-Management in’s Spiel.

CU

0xff