scip AG Labs http://www.scip.ch/ Entwicklungen aus den scip Labs de Tue, 31 May 2016 04:00:00 +0200 60 Saturday Sunday 0 1 2 3 4 5 6 20 21 22 23 (c) 2002-2016 by scip AG scip AG Labs http://www.scip.ch/_thm/rss-icon.png http://www.scip.ch/ Blog Digest Mai 2016 http://www.scip.ch/?labs.20160526 http://www.scip.ch/?labs.20160526 Thu, 26 May 2016 00:00:00 +0200 Marc Ruef
  • A dubious cyber security conference (lightbluetouchpaper.org)
  • Artificially Intelligent Lawyer ‘Ross’ Has Been Hired (futurism.com)
  • Automated Malware Analysis: Adaptive Internet Simulation (joe4security.blogspot.com)
  • Autonomous medical drones will soon transport emergency organ donations (mashable.com)
  • Besa Mafia: Dark Web Hitman For Hire Site Takes A Hit (riskbasedsecurity.com)
  • Changes to Security Update Links (blogs.technet.microsoft.com)
  • Creator Of The Gozi Virus Sentenced In Manhattan (justice.gov)
  • FBI announcement: paying the ransom is a bad idea (blog.malwarebytes.org)
  • German TV show gets scammed trying to buy an AK47 on the DarkNet (deepdotweb.com)
  • Here’s how I verify data breaches (troyhunt.com)
  • How Technology Hijacks People’s Minds (medium.com)
  • How to tell if you’re infected with malware (blog.malwarebytes.org)
  • Malware and non-malware ways for ATM jackpotting (securelist.com)
  • Mastering Mobile Forensics (resources.infosecinstitute.com)
  • Observations and thoughts on the LinkedIn data breach (troyhunt.com)
  • RoboCop is real – and could be patrolling a mall near you (theguardian.com)
  • Robots won’t just take jobs, they’ll create them (techcrunch.com)
  • Run Metasploit Framework as a Docker Container Without Installation Pains (zeltser.com)
  • Software security suffers as startups lose access to Google’s virus data (venturebeat.com)
  • ]]>
    Mit Qubes OS einen funktionstüchtigen Laptop umsetzen http://www.scip.ch/?labs.20160519 http://www.scip.ch/?labs.20160519 Thu, 19 May 2016 00:00:00 +0200 Rocco Gagliardi Benutzen Sie bei der Arbeit einen einzelnen Computer, um Ihre Arbeiten zu erledigen? Oder greifen Sie auf dedizierte Geräte zurück, um das unnötige Exponieren von Daten unterschiedlicher Klassifizierungen zu verhindern? Ist die physische Trennung die richtige Antwort auf die vielen Security-Fragen, die damit einhergehen? (Software Compartmentalization vs. Physical Separation).

    Seit mehr als einem Jahrzehnt hilft Virtualisierung den IT-Architekten dabei, Applikationen von Applikationen und ebendiese von Daten zu trennen. Dienste werden einfacher administrierbar und die teure Hardware im Datencenter kann effizienter eingesetzt werden.

    Zum Beispiel haben wir eine Log-Appliance namens HERON entwickelt. Auf der Basis von Virtuellen Maschinen (VMs) konnten wir eine Minimierung des Systems vornehmen und dadurch die Exponiertheit von Daten und Diensten markant einschränken. Unser Produkt verfolgt einen serverbasierten Ansatz, bei dem ein Minimum an Benutzerzugriffen gegeben ist. Dementsprechend war die Umsetzung relativ einfach.

    Qubes OS versucht das gleiche Ziel am anderen Ende des Kabels zu erreichen: Dem Client-Gerät, wobei der Benutzer im Mittelpunkt steht, da er die Wurzel des Problems ist.

    Ich habe viele Jahre mit Qubes OS herumgespielt und mit Version 3 habe ich mich entschiedenen, es als Grundlage für meine Installation sowohl für private als auch geschäftliche Zwecke einzusetzen. In diesem Beitrag werde ich mich auf die schwierigste Aufgabe konzentrieren: Die Orchestrierung der Ressourcen, um eine Lösung im täglichen Gebrauch möglichst nutzbar zu machen.

    Was ist das Ziel?

    Ich möchte ein einzelnes Gerät haben, um meine Aktivitäten durchführen zu können. Dies reicht vom Lesen von Geschäftsnachrichten bis hin zum anonymen Surfen auf ask.fm. Richtig: Keine Einschränkung, um irgendetwas auf dem Gerät ausführen zu können, unabhängig vom vorinstallierten Betriebssystem und den gegebenen Kontoeinstellungen. Sicher: Wir erstellen unterschiedliche Konten für Geschäftliches, Privates und anonyme Nutzungen. Wir müssen also zwischen dem Benutzerkontext umschalten können, ohne den Bezug zur gestarteten Applikation zu verlieren. Die Probleme eines einzelnen Kontexts bleiben bestehen, sind aber auf ihn reduziert.

    Es wäre grossartig, für jede Aufgabe ein dediziertes Gerät nutzen zu können. Doch normalerweise müssen die Daten zwischen den Anwendungen ausgetauscht werden. Und eine physische Trennung der Anwendungen führt nur zur Einführung kreativer Möglichkeiten, um die errichtete Sicherheit wieder zu reduzieren.

    Wenn wir im Umkehrschluss eine einzelne Hardware verwenden können, wird es dann möglich, die Anwendungen unterschiedlicher Plattformen einheitlich darstellen zu können? Das ist genau das Ziel, das Qubes OS verfolgt: Eine Reihe von verschiedenen VMs zeitgleich auszuführen und die Ausgaben auf einem einzelnen Desktop (dem dom0-Desk) als vereinheitlichtes Betriebssystem darzustellen.

    Vorteile

    Sicherheit! Als erstes werden die VMs virtuell voneinander getrennt. Falls eine VM kompromittiert wurde, bestehen grosse Chancen, dass die anderen VMs davon nicht berührt werden.

    Als zweites wird der Kontakt zwischen den Domains minimiert. Nur die für das Netzwerk und Firewalling zuständigen VMs stehen in Verbindung mit dem gefürchteten Any. Alle anderen VMs werden durch die Firewall-VM geschützt. Dies Reduziert die Exponiertheit auf die Treiber und Software der Firewall-VM. Alle anderen Komponenten der anderen Betriebssysteme/Applikationen in den abgeschotteten VMs werden nie direkt zugänglich.

    Als Beispiel eine Untrusted-VM, die den Browser für den Internet-Zugriff stellt. Diese exponiert zwar den Code des Browsers gegenüber dem Internet. Der Treiber der Netzwerkkarte hingegen nicht.

    Dies führt eine zusätzliche Ebene der Sicherheit für die Systeme ein, indem der Kontakt zwischen den Domains und den virtualisierten Systemen auf die gemeinsamen Zugriffe zur Display-Engine reduziert wird.

    Nachteile

    Die Komplexität wird erhöht. Tatsächlich baut Qubes OS eine ganze Netzwerkinfrastruktur auf, um die einzelnen Anwendungen betreiben zu können. Diese Infrastruktur muss optimiert und bewirtschaftet werden.

    Einige Einschränkungen bei der Nutzung. Für Qubes OS stellt der Benutzer lediglich ein weiterer Prozess dar. Wenn also ein Prozess durch das System eingeschränkt werden will, tangiert das auch immer den Benutzer direkt.

    Einige Einschränkungen bezüglich Hardware. Die Hardware muss Virtualisierung unterstützen, weshalb keine Low-Level Hardware eingesetzt werden kann. Zusätzlich ist genügend Speicher und Speicherplatz erforderlich.

    So funktioniert es

    Ich werde nicht direkt darauf eingehen, wie Qubes OS intern funktioniert. Laden Sie es am besten herunter und probieren Sie es aus. Weitere Informationen finden sich online.

    Grundsätzlich handelt es sich um ein reduziertes Betriebssystem mit Hypervisor (Xen), das die Vorteile der modernen CPU-Architekturen (VT-x/d) für sich einsetzt. Es gibt speziell entwickelte Software-Komponenten, um die Geräte zu bewirtschaften (Emulatoren) und zur Darstellung von Applikationen.

    Dabei gilt es zu bemerken, dass die Sicherheit innerhalb einer VM grundsätzlich die Gleiche bleibt. Eine in einer VM betriebene Applikation ist genauso (un)sicher, wie wenn sie auf einem normalen Linux betrieben wird. Alle herkömmlichen Sicherheitsmassnahmen, die da erforderlich wären, sind auch im Rahmen von Qubes OS angeraten.

    Wie man loslegt

    Bevor mit dem Anlegen der Domains begonnen wird, sollte man sich überlegen, wo Daten abgelegt werden und in welche Richtung eine Kommunikation stattfinden muss. Und zwar für und zwischen allen Domains! Dies gilt also nicht nur für Netzwerkverbindungen, sondern zum Beispiel auch für Zugriffe auf die Zwischenablage oder den Dateitransfer auf externe
    Datenträger.

    Ich habe damit begonnen, sämtliche Abreiten aufzulisten, diese zu kategorisieren und Ziele sowie Interaktionsmöglichkeiten festzuhalten.

    Arbeit Beschreibung
    Email Zugriff auf unseren Mailserver via Browser
    Wiki Zugriff (R/W) auf das Wiki des Unternehmens
    Dokumente Nutzung der Microsoft Office Anwendungen (W/E/P/A, Visio), um auf Dateien auf dem Dateiserver zuzugreifen
    Admin Administration der internen Server via ssh/https/rdp
    Admin Administration der externen Server via ssh/https
    Entwicklung Code schreiben und in der Test-Umgebung ausführen (SVN Check-In/Out)
    Archiv Nützliche Dokumente, die nicht täglich gebraucht werden
    Privat Beschreibung
    Email Zugriff auf private Emails
    Dokumente Nutzung der Microsoft Office Anwendungen (Visio + Access) , um auf Dateien auf in der privaten oder öffentlichen Clous zuzugreifen
    Admin Administration der privaten Infrastruktur via ssh/https/rdp
    Blog Bewirtschaftung des privaten Blogs
    Finanz Nutzung von Online-Banking zur Auslösung von Zahlungen
    Online-Shopping Online einkaufen über den Webbrowser (Zugriff mit Kreditkarte)
    Browsen zur Recherche Könnte einige merkwürdige Seiten beinhalten
    Browsen zur Unterhaltung Twitter, Facebook

    Umsetzung

    Als Hardware setze ich auf einen Lenovo T420s, i7, 16GB RAM und 256 SSD.

    Zu Beginn komme ich mit den Fedora-Distributionen zurecht. In einem weiteren Schritt habe ich Windows 7, die dazugehörigen Tools sowie ein BSD eingerichtet.

    Erstellen von Domains

    Basierend auf der zuvor diskutierten Zusammenstellung werden nun die folgenden Domains eingerichtet:

    Domain Zweck
    Secure Betreiben von wenigen Applikationen, die auf dedizierte Datenbestände zugreifen können, keine Hardware-Zugriffe und Einschränkungen bezüglich Copy&Paste
    Personal Betreiben einer beschränkten Anzahl an Applikationen, die auf beschränkte Datenbestände und Hardware-Ressourcen zugreifen können
    Work Ausführen von Windows-Applikationen, Zugriff auf Freigaben im Unternehmensnetzwerk, Zugriff auf das Unternehmensnetzwerk mittels VPN
    Untrusted Ausführen von Browser und anderen Applikationen zur Umsetzung von Zugriffen auf unsichere Ressourcen
    Netzwerk-Rules

    Für die privaten und geschäftlichen Domains pflege ich anstatt des Blacklist-Ansatzes einen Whitelist-Ansatz zu verfolgen: Alle Zugriffe einschränken und lediglich zulassen, was erforderlich ist. Dies ist das gleiche Vorgehen, das ich bei meinen Geräten für die Personal Firewalls verfolge. Es mag zwar zu beginn aufwändig erscheinen. Doch nach einigen Tagen hat sich ein sehr solides Regelwerk eingependelt.

    Copy & Paste-Regeln

    Zusätzlich schränke ich das Copy & Paste-Verhalten zwischen den Domains ein:

    Domain FW Policy Secure Personal Work Untrust
    Secure drop all, allow banks Nicht anwendbar Erlaubt Nicht erlaubt Nicht erlaubt
    Personal drop all, allow trusted sites Nicht erlaubt Nicht erlaubt Erlaubt Nicht erlaubt
    Work drop all, allow company nets Nicht erlaubt Erlaubt Nicht anwendbar Nicht erlaubt
    Untrusted allow all Nicht erlaubt Erlaubt Nicht erlaubt Nicht anwendbar
    Zusätzliches

    Durch das Hinzuführen von Whonix wird das anonyme Surfen möglich. Dieser Artikel diskutiert, wie Whonix auf Qubes OS installiert wird.

    Desweiteren kann eine Authentisierung mittels Yubikey umgesetzt werden. Selbst wenn ich selbst nicht hunderprozentig vom Produkt überzeugt bin, hat mir mein Kollege Andrea einen zu Testzwecken zur Verfügung gestellt. In diesem Artikel wird erklärt, wie Yubikey mit Qubes OS betrieben wird.

    Probleme / Lösungen

    Die Lösung kostet uns etwas. Das allgemeine Arbeitsverhalten muss der neuen Umgebung angepasst werden. Hier einige Beispiele:

    • Copy & Paste zwischen Domains erfordert Zwischenschritte, um erfolgreich zu sein
    • Gleiches gilt für Dateiübertragungen
    • Das Durchführen einer PayPal-Zahlung auf einer Seite ist nicht ohne weiteres möglich, ohne einige Regeln zu brechen
    • Der Einsatz von zusätzlicher Hardware erfordert weitere Anpassungen

    Fazit

    Qubes OS benutzt Virtualisierung, um eine Separierung und damit eine bessere Kontrolle der Zugriffe auf Daten unterschiedlicher Klassifizierungen zu erreichen. Dadurch wird die Exponiertheit des Systems und der einzelnen Applikationen erreicht.

    Dies auf einem Client durchzuführen, erfordert spezielle Software, um die Interaktion mit dem Benutzer abzufangen und zu kontrollieren. Dabei soll die Funktionalität des Systems intakt bleiben. Das ist dann das Schwierige daran. Auf der anderen Seite muss der Benutzer darauf vorbereitet sein, anders zu denken und zu handeln, als er es normalerweise gewohnt ist.

    So lange der Hypervisor seine Arbeit richtig macht, ist dies der bevorzugte Weg, um die gewünschte Sicherheit erreichen zu können.

    ]]>
    Absichern von veralteten und nicht mehr unterstützten Systemen http://www.scip.ch/?labs.20160512 http://www.scip.ch/?labs.20160512 Thu, 12 May 2016 00:00:00 +0200 Andrea Covello Plötzlich sieht man sich mit dem Problem auseinandergesetzt, ein System absichern zu müssen, das in an einem hoffnungslosen Zustand ist. Dies kann verschiedene Gründe haben:

    • Ein ausgelaufenes Betriebssystem, wie zum Beispiel Windows XP, Windows NT, OS/2, ein alter Linux Kernel, etc.
    • Ein zertifiziertes System, das nicht angepasst werden darf, da es sonst seine Zertifizierung und den Support des Herstellers verliert. Diese Art von Systemen wird oft im medizinischen Umfeld, Pharmaunternehmen und Produktionsstätten angetroffen.
    • Eine schlecht portierbare Applikation, die nur auf einer spezifischen – jedoch nicht mehr weiterentwickelten Hardware – läuft; POS (Point of Sale Systems) sind ein gutes Beispiel hierfür.
    • Ein generischer Industriecontroller, der Netzwerkzugriffe zwecks Monitoring und Management benötigt.

    Dies zeigt offensichtlich, dass es eine Vielzahl möglicher Szenarien gibt, in denen die herkömmliche Herangehensweise zur Absicherung von Systemen nicht möglich ist. Und falls Sie davon ausgehen, dass heute OS/2 und Windows NT nicht mehr angetroffen werden: Das können wir so definitiv nicht bestätigen! Geldautomaten sind ein allgegenwärtiges Beispiel.

    Fakt ist, dass auf solchen Systemen keine Antiviren-Lösung installiert wird (die alten Plattformen werden nicht mehr unterstützt) und eine Anpassung des Systems würde die Funktionalität negativ beeinträchtigen. Nicht umsonst werden diese Systeme als untouchable bezeichnet.

    Ein anderer Fakt ist, dass sich das Bedrohungspotential in letzter Zeit massiv geändert hat. Und so lange diese Systeme am Netz sind, können sie angegriffen werden.

    Wir werden nicht über das Design der Sicherheitsarchitektur und Massnahmen diskutieren, die anderweitig auf das Netzwerk auswirken können. Dazu gehören ein Zonenmodell, Sicherheitsmechanismen, Prozeduren und anderweitige Hilfsmittel der IT-Sicherheit. In unserem Fall wollen wir einen pragmatischen Ansatz verfolgen, der sich für Einzelsysteme sowohl in kleineren als auch in grösseren Umgebungen nutzen lässt. Das hier vorgestellte Szenario basiert auf konkreten Erfahrungen.

    Szenario

    Ein langjähriger Bekannter ging mich an, da er sich mit einem POS-System (Point of Sale) auseinandersetzen musste, das auf Windows XP basierte. Selbstverständlich wusste er, dass XP nicht mehr offiziell unterstützt sei und dass viele Applikationen (z.B. Antivirus-Lösungen) End-of-Life gingen. Das Problem war nun, dass der Entwickler der POS-Plattform nicht mehr existierte, es konnte nicht auf eine neuere Windows-Version migriert werden und der Aufbau einer neuen Plattform war zu zeitaufwendig. Also fragte er mich, wie das Risiko im Zeitalter von CryptoLocker minimiert werden konnte.

    Wir fassen dementsprechend die Ausgangslage wie folgt zusammen:

    • Keine Änderungen am System möglich, da die Software auf die spezifische Hardware lizenziert wurde (Reverse Engineering war keine Option)
    • Das Betriebssystem erhält keine Security Patches mehr
    • Generische Antiviren-Lösungen sind End-of-Life und erhalten kurzfristig keine Pattern-Updates mehr
    • Der Webbrowser ist ebenfalls End-of-Life und erhält keine Patches mehr
    • Ebenso die Email-Software, die End-of-Life ist

    Die folgenden Anforderungen stehen dem gegenüber:

    • Das Betriebssystem darf nicht geändert werden
    • Keine Installation zusätzlicher Sicherheitssoftware möglich
    • Zugriffe auf das Internet mittels IMAP/SMTP/HTTP
    • Schutz vor diverser Malware
    • Keine Anpassungen am Netzwerklayout
    • Lösung sollte kostengünstig für Einzelsysteme sein

    Der erste Ansatz, der in den Sinn kam, war das Etablieren eines separaten Sicherheitselements, das den Datenverkehr im Sinn einer Firewall prüfen sollte. Eine solche Lösung auf der Basis von PC Engines APU wurde in einem vorangehenden Artikel dokumentiert. Die Nachfolge APU2 bringt mittlerweile genug Leistung mit, um als verlässliches Inline-Element agieren zu können.

    Leider kann hier kein herkömmlicher Firewall-Ansatz durchgesetzt werden, da damit eine Anpassung des Netzwerkdesigns und mit ihm Änderungen an IP-Adressierung und Routing erforderlich wäre. Aus diesem Grund werden wir eine sogenannte Bridge bzw. transparente Firewall realisieren.

    Dabei handelt es sich um die gleiche Technologie, die auch für das Absichern von Netzwerkverbindungen in virtuellen Umgebungen, also Produkten wie VMware NSX Edge und Cisco NSX 1000V, Verwendung finden. Bei dieser Art Firewalling wird auf ISO-Layer 2 in transparenter Weise gearbeitet, so dass keine Veränderungen an den Konfigurationen erforderlich werden, solange die zu schützenden Systeme direkt an die APU Appliance angeschlossen werden. Das Test-Setup sieht dementsprechend so aus:

    Test Setup
    Test Setup

    Die IP-Adresse 192.168.169.254 wird für die Administrationsschnittstelle des Geräts verwendet.

    Lösung & Voraussetzungen

    Um den Anforderungen gerecht werden zu können, wird die angestrebte Lösung die folgenden Komponenten einsetzen:

    1. APU2c4 Hardware
    2. Sophos UTM 9.4 Software

    APU2c hat die folgenden Spezifikationen:

    • CPU: AMD Embedded G Series GX-412TC, 1 GHz Quad Jaguar Core mit 64 bit und AES-NI Unterstützung
    • Speicher: 4 GB DDR3-1333 DRAM (ECC)
    • Strom: 12V DC, 6-12W (abhängig von Auslastung)
    • Anbindung: 3 Gigabit Ethernet (Intel i210AT)
    • Ein-/Ausgabe: DB9 serielle Schnittstelle, 2 USB 3.0 Extern + 2 USB 2.0 Intern, SD-Kartenleser
    • Erweiterung: 2 miniPCI Express, 1 mSata Slot

    Die Sophos UTM 9.4 Firewall bringt sämtliche Funktionen mit, die gebraucht werden (Inline Intrusion Prevention, Application Proxies, Web-Konfiguration). Sie wird ohne Probleme auf der APU-Hardware funktionieren. Eine Version für den Heimbereich von online bezogen werden. Nachdem eine Lizenz eingerichtet wurde, kann die Software Appliance heruntergeladen und das ISO installiert werden.

    Die folgenden Hardware-Komponenten werden insgesamt erforderlich, um die Lösung zu realisieren:

    Komponente Referenz EUR
    Board PC Engines apu2c4 130.00
    Speicher Kingston mSata SSD 60 oder gleichwertig (>32GB) 40.00
    Gehäuse PC Engines case1d2redu 10.00
    Stromzufuhr PC Engines EU AC Adapter 5.00
    Kosten Total   185.00

    Der Preis für eine solche Appliance ist gering und die erreichte Performance deckt die Bedürfnisse ohne weiteres ab. Weitere technische Details finden sich im APU2-Handbuch (PDF).

    Bevor wird mit der Installation loslegen, möchte ich auf einen vorangegangenen Artikel verweisen. In diesem wurde aufgezeigt, wie eine serielle Schnittstelle eingerichtet wird. Sie gilt als Grundlage für den Abschnitt zur Konfiguration mittels Terminal.

    Eine letzte Voraussetzung: Wir benötigen ein externes USB-DVD/CD-Laufwerk sowie eine USB-Tastatur. Das mag sonderbar klingen, jedoch wird die Installation von UTM sonst sehr mühselig, da quasi blind vorgegangen werden muss. Der damit verbundene Schmerz wollen wir uns ersparen.

    Installation

    Schritt Beschreibung Abbildung
    Bereiten Sie die Installation für den Terminal-Zugriff vor Stellen sie folgende Konstellation sicher: Ein Laptop mit einem USB-zu-Serial Konverter, ein serielles Nullmodem-Kabel, eine an den USB-Port 1 angeschlossenes USB-Tastatur und ein an den USB-Port angeschlossenes externes USB-DVD-Laufwerk. Setzen Sie nun die von Ihnen bevorzugte Terminal-Software ein, um die serielle Schnittstelle – in diesem Fall /dev/ttyS0 – wie folgt zu konfigurieren: 38400,8,N,1 (weitere Details)
    Verbinden von Kabeln und Stromzufuhr Verbinden Sie das eine Ende des Nullmodem-Kabels mit der seriellen Schnittstelle und das andere Ende mit dem USB-zu-Seriell Adapter (weitere Details) – Denken Sie daran, die angeschlossene USB-Tastatur für Eingaben und das Terminal lediglich als Ausgabegerät zu benutzen.
    Aufstarten der APU und den Anweisungen zur Installation von UTM 9.4 folgen Die Konsole des APU2 BIOS hat standardmässig die Geschwindigkeit von 115200 Baud, weshalb nach dem Aufstarten lediglich Unsinn auf dem Bildschirm ausgegeben wird. Die Boot-Routine des Sophos UTM ISO setzt die Geschwindigkeit auf 38400 Baud. Nach 2-3 Minuten wird jedoch das Aufstarten angezeigt und Detected Hardware ausgegeben.
    Tastatur auswählen Wählen Sie das Layout für die Tastatur – In diesem Fall English (USA)
    Zeitzone auswählen Wählen Sie die geografische Zeitzone – Europe/Zurich
    Setzen von Datum und Zeit Üblicherweise wird durch die BIOS-Uhr auf der Basis von UTC das korrekte Datum und die Uhrzeit der gewählten Zeitzone eingestellt.
    Bestimmen des Admin Interface Es werden die erkannten Schnittstellen und der dazugehörige Link-Status ausgegeben. Selektieren Sie eth0 und fahren Sie weiter.
    Konfiguration des Netzwerks Jetzt kann das Administrations-Netzwerk konfiguriert werden, wodurch Zugriffe auf das WebAdmin-Interface möglich werden. In unserem Fall haben wir 192.168.169.254/24 definiert. Da der Zugriff direkt stattfindet, sind keine Anpassungen bezüglich des Default Gateway erforderlich.
    64-bit Kernel-Unterstützung Aktivieren Sie den 64-bit Kernel Support.
    Enterprise Toolkit Wählen Sie das Enterprise Toolkit.
    Partitionieren der Platten Bestätigen Sie das Partitionieren der Datenträger und fahren Sie weiter.
    Formatieren der Platten In einem weiteren Schritt kann Partitionierung und Formatierung vorgenommen werden.
    Installation – Pakete kopieren Der Installationsvorgang wird die jeweiligen Pakete kopieren. Dies kann einige Minuten dauern…
    Abschluss der Installation Nach erfolgreichem Abschluss der Installation wird die entsprechende Meldung ausgegeben, dass mit der Konfiguration der Sophos UTM Appliance mittels WebAdmin weitergefahren werden kann: https://192.168.169.254:4444/ – Führen Sie nun einen Neustart durch.

    Initiale Konfiguration

    Nachdem die Sophos UTM Software auf der APU installiert wurde, kann nun mti der Konfiguration der Security Policy begonnen werden:

    Schritt Beschreibung Abbildung
    Netzwerkanbindung Stellen Sie sicher, dass die Netzwerkkabel wie abgebildet verbunden sind: 1) Management (192.168.169.254), 2) Internet-Anbindung (TO NETWORK), 3) direkt mit dem PC-Verbunden (TO DEVICE)
    Grundlegende Systemkonfiguration Verbinden Sie sich mittels Browser auf die Webschnittstelle unter https://192.168.169.254:4444 – Sie werden zur Vergabe eines Hostnamens, Firmeninformationen und den Login-Daten für den administrativen Zugriff aufgefordert. Sobald dies getan ist, findet eine Weiterleitung auf die Login-Seite von WebAdmin statt (siehe offizielles Handbuch)
    WebAdmin-Login Verwenden Sie nun das zuvor vergebene Passwort für den Login – Vorerst lautet der Benutzername admin
    Setup Wizard – Start Jetzt wäre es möglich, ein früheres Backup einzuspielen. Wir sehen jedoch davon ab und wählen continue.
    Setup Wizard – License An dieser Stelle kann nun die durch Sophos bezogene Lizenz angegeben werden. Man kann dies auslassen und die voll funktionsfähige Version für 30 Tage kostenlos testen.
    Setup Wizard – Internal Network (LAN) Settings Bestätigen Sie die IP-Adresse für die Admin-Schnittstelle – In unserem Fall 192.168.169.254/24.
    Setup Wizard – Internet (WAN) Settings Wir werden eine spezifische Konfiguration zu einem späteren Zeitpunkt anwenden, weshalb wir vorerst Setup Internet connection later auswählen.
    Setup Wizard – Allowed Service Settings Zum gegenwärtigen Zeitpunkt werden lediglich die folgenden Dienste aktiviert: web, file transfer, Email, DNS and forwarding PING – Ein Feintuning nehmen wir später vor.
    Setup Wizard – ATP Aktivieren Sie die Advanced Threat Protection Features.
    Setup Wizard – Web Protection Settings In diesem Schritt wird die grundlegende Web Security Policy erstellt. Die Details diskutieren wir zu einem späteren Zeitpunkt. Vorerst wird das Blockieren der folgenden Kategorien empfohlen: Criminal Activities, Extremistic Sites, Nudity and Suspicious – Aktivieren Sie zudem Scan sites for viruses.
    Setup Wizard – Email Protection Settings Wählen Sie Scan email fetched over POP3, falls Sie noch ältere Email-Konten bewirtschaften wollen.
    Setup Wizard – Initial Configuration Done Der Wizard ist beendet und zeigt eine kurze Zusammenfassung der zuvor gewählten Optionen.

    Funktionierende Konfiguration

    Nachdem die APU nun mit der Sophos UTM Software bestückt wurde, kann die individuelle Konfiguration unter Berücksichtigung der angestrebten Sicherheitsrichtlinie abgeschlossen werden:

    Schritt Beschreibung Abbildung
    Interfaces & Routing – Configure the Bridged Interfaces Als erstes müssen die Schnittstellen ETH1 und ETH2 in den Bridge-Modus versetzt werden. Wir greifen auf das WebAdmin GUI zu, gehen zu Interfaces & Routing und wählen Interfaces.
    Interfaces & Routing – Add a new Interface Klicken Sie auf den Knopf New Interface… und nehmen Sie die Konfiguration wie folgt vor: 1) Definieren Sie einen Namen für die Schnittstelle [Bridge br0], 2) wählen Sie [Ethernet Bridge] als Typ für [eth1] und [eth2], 3) wählen Sie [Dynamic IP], um der UTM den Internet-Zugriff zwecks Pattern-Updates zu ermöglichen, 4) expandieren Sie [Advanced Bridge] und wählen Sie [Allow ARP broadcast], 5) (optional) wählen Sie [Spanning Tree Protocol], falls mehr als ein System gesichert werden soll, 6) und klicken Sie auf [save] zwecks Speicherung der Konfiguration.
    Interfaces & Routing – Interface overview Nachdem nun die Schnittstellen konfiguriert worden sind, kann die Kommunikation zwischen dem System und der Aussenwelt geprüft werden – Falls alles richtig gesetzt wurde, können auf der Bridge-Schnittstelle die ersten Zugriffe für ein Pattern-Update aus dem Internet beobachtet werden.

    Hinweis: Es ist zwar möglich, eine Konfiguration ohne Internet-Zugriff umzusetzen. Dabei geht jedoch die Möglichkeit verloren, die Pattern für die Einbruchs-/Malware-Erkennung und das Webfiltering zu aktualisieren. Der eigentliche IP-Zugriff über das Gerät würde aber normal funktionieren.
    Network Protection – Default Firewall Rules Während dem Aufsetzen haben wir einige zugelassene Protokolle definiert. Diese werden wir jetzt in der Konfiguration nocheinmal durchgehen, um die Optionen der UTM zu optimieren.

    Wählen Sie Network Protection auf dem seitlichen Menu und klicken Sie auf Firewall.
    Network Protection – Custom Firewall Rules Die Standardregeln sollten in den meisten Fällen ausreichend sein. Bei Bedarf können weitere Protokolle unterstützt werden.

    In unserem Fall, in dem wir nicht um die Details des POS wissen, haben wir einen Monitoring-Ansatz verfolgt: Alle Kommunikationen werden zugelassen, wobei die Zugriffe durch die Intrusion Detection Engine beobachtet werden.
    Network Protection – ICMP Settings Hier werden die Einstellungen für ICMP vorgenommen: Es kann von Vorteil sein, ICMP-Zugriffe durch die Firewall zuzulassen, da die Applikationen diese benötigen könnten.
    Network Protection – Advanced Firewall Settings Um Analysen vorantreiben zu können, lohnt sich das Aktivieren von Log invalid packets.
    Network Protection – Activate Advanced Threat Protection Wählen und aktivieren Sie Advanced Threat Protection, um auf Systemen etablierte Malware erkennen zu können.
    Network Protection – Intrusion Prevention Settings In unserem Fall benutzen wir die Intrusion Detection Engine, um Angriffsversuche abzuwenden. Zu diesem Zweck aktivieren wir alle verfügbaren Signaturen.

    Dies weicht vom üblichen Vorgehen normaler Firewall-Instanzen ab. Da wir hier unter Umständen sehr alte Angriffsmöglichkeiten ausgesetzt sehen, ist es kontraproduktiv, gerade die älteren Angriffsvarianten nicht zu adressieren. Dementsprechend gibt es kein time limit bezüglich rules age.
    Network Protection – Intrusion Prevention Advanced Wählen Sie Advanced und aktivieren Sie [Activate file related patterns].
    Web Protection – Web Filtering Settings Wählen Sie Web Protection aus dem WebAdmin-Menu, um die Einstellungen für den HTTP-Proxy zu konfigurieren.

    Wir pflegen hier eine untypische Konfiguration ein, da wir Any den zugelassenen Netzwerken zuordnen. Da dies so ungewohnt ist, wird UTM eine Warnmeldung ausgeben. Weil wir die Komponente im Full Transparent Mode betreiben, spielt dies für uns keine Rolle.
    Web Protection – HTTPS Gegenwärtig sind die Scan-Möglichkeiten für HTTPS deaktiviert: Aus gutem Grund.

    Falls Sie eine Prüfung von mit SSL geschütztem Verkehr vornehmen wollen, ohne mit den Anwendungen zu interferieren, muss diese Funktionalität ausgeschaltet bleiben. Andernfalls werden Fehlermeldungen bezüglich ungültiger Zertifikate auftreten, was bei den meisten Applikationen zu Funktionsunterbrüchen führen kann.

    Die Wahrheit bleibt, dass gerade verschlüsselter Datenverkehr ein Problem für Sicherheitsmechanismen dieser Art ist.

    Falls keine Anpassungen am zu schützenden System vorgenommen werden können (da es als “untouchable” gilt), muss hier nun auf das Einschalten von HTTPS-Scans verzichtet werden (es sei denn, dass Sie Zugriff auf die Private Keys haben, dieser Ansatz ist aber nicht Teil dieses Artikels).

    Nun kann Certificate Authority in den Certificate Store des zu schützenden Systems eingepflegt werden, wobei auf der Sophos UTM CA der entsprechende Public Key abgelegt werden muss.

    Optional: Um in UTM ein selbst signiertes Zertifikat einzufügen, muss folgendes getan werden: 1) Wählen Sie Remote Access aus dem Menu und klicken Sie auf Certificate Management, 2) suchen sie das Zertifikat namens Local X509 Cert und klicken Sie auf [Download], 3) wählen Sie PEM als Export-Format und klicken Sie auf [Download], 4) Importieren Sie das Zertifikat in den Store Trusted Root CA des Systems. Nachdem das getan wurde, kann HTTPS-Scanning aktiviert werden, ohne das mit disruptiven Effekten zu rechnen ist.

    Hinweis: Anwendungen, die Certificate Pinning benutzen, werden auch weiterhin einen Certificate Mismatch Fehler ausgeben. Um dies zu verhindern, muss auf HTTPS-Scanning verzichtet werden.
    Web Protection – Policy Wählen Sie den Tab Policies und prüfen Sie, ob die Base Policy aktiv (grün).
    Die Grundeinstellungen bieten eine gute Ausgangslage. Anpassungen können zu einem späteren Zeitpunkt vorgenommen werden, um zusätzliche Kategorien und Dateitypen adressieren zu können.
    Web Protection – Test Rule Wir empfehlen das Einrichten einer Testregel, um die korrekte Funktionsweise der Security Policy prüfen zu können.

    Dies wird wie folgt angestrebt: 1) Klicjen Sie auf Default content filter block action im Tab policies, 2) wählen Sie den Tab Websites und dann bei Block These Websites auf das grüne + klicken, 3) befüllen Sie unter Domains den Eintrag [test.com].
    Web Protection – Test Rule Check Nachdem die Regel abgespeichert wurde, kann auf dem geschützten System geprüft werden, ob die entsprechende Meldung ausgegeben wird.
    Web Protection – FTP Wählen Sie im Menu den Punkt FTP und vergewissern Sie sich, dass der FTP-Proxy aktiviert ist. Fügen Sie nun Any als Netzwerk hinzu (bestätigen Sie die Warnmeldung bezüglich des Any) und selektieren Sie Transparent als Operation mode.
    Web Protection – Application Control Aktivieren Sie die Funktion Network Visibility unter dem Menupunkt Application Control.

    Dies erlaubt es zu erkennen, falls fremde Applikationen HTTP/HTTPS benutzen. Dadurch kann besser gefiltert, überwacht und mittels Quality of Service (QoS) priorisiert werden.
    Email Protection – SMTP Settings Jetzt wenden wir uns den Mailprotokollen zu. Wählen Sie Email Protection im WebAdmin-Menu, selektieren Sie den Tab Global, vergewissern Sie sich, dass der Proxy Status auf ON ist (green) und dass sie sich im Simple Mode befindet.

    Wählen Sie nun den Tab Malware und dann Dual Scan (Email-Security gilt es heutzutage ernst zu nehmen)

    Optional: Wir empfehlen das Aktivieren von Quarantine unscannable and encrypted content, sofern dies nicht mit den Requirements kollidiert.
    Email Protection – SMTP Advanced Settings Wählen Sie den Advanced Tab, um den Transparent mode aktivieren zu können. Andernfalls wird eine Inspection unmöglich.
    Email Protection – POP3 Settings Wählen Sie nun den Menupunkt POP3 und vergewissern Sie sich, dass der POP3 Security Proxy aktiviert ist und Any als zugelassene Netzwerke definiert ist.

    Als letztes wählen Sie Dual scan in den Einstellungen bezüglich Malware.


    WebAdmin Dashboard Config Review Zum Schluss kann im Dashboard eine Übersicht der angewendeten Konfiguration eingesehen werden. Sämtliche Services sollten aktiv sein und ihre Arbeit verrichten.

    Monitoring

    Schritt Beschreibung Abbildung
    Dashboard Monitoring – Application Control Overview Oben rechts im Dashboard werden Statistiken zum Netzwerkverkehr pro Schnittstelle angezeigt. Auf die einzelnen Werte kann geklickt werden, um Details anzeigen zu lassen.

    In diesem Fall haben wir br0 ausgewählt, um die Protokoll-Statistiken anzeigen zu lassen (IMAP, mDNS, HTTP & unclassified).

    Es können weitere Details zu aktivitäten angezeigt werden: BLOCK, Shape or Throttle. Die beiden letztgenannten Punkte betreffen QoS-Policies und helfen dabei, die maximale Bandbreite für spezifische Dienste, wie zum Beispiel Youtube or Facebook, zu definieren. Dadurch kann die Zuverlässigkeit und Erreichbarkeit von geschäftsrelevanten Diensten wie E-Mail und Salesforce gewährleistet werden.
    Dashboard Monitoring – Application Control Graphs Die gleiche Information wird noch grafisch dargestellt, wodurch ein besserer Überblick gewonnen werden kann. Gerade in Bezug auf die eingesetzten Applikationen und Protokolle.
    Dashboard Monitoring – Application Details Durch das Klicken auf ein Protokoll können zusätzliche Informationen zu den Sessions dargestellt werden.
    In diesem Beispiel verbindet sich die Anwendung Java Update mit dem Server 104.74.88.59 auf Port TCP/443 (HTTPS). Derlei Daten sind besonders nützlich, wenn es um das Auswerten von Kommunikationsbeziehungen geht.
    Dashboard Monitoring – Application Details Und falls Sie sich fragen, was die Gruppe unclassified bedeutet: Multicast und Broadcast. Doch was passiert bei dieser unbekannten SSL-Verbindung zu 193.85.216.233? Da wir ob der Rechtmässigkeit dieser Verbindung nicht sicher sind, sind weitere Abklärungen erforderlich.
    Dashboard Monitoring – Network Statistics Durch das Klicken auf den Menupunkt Network Protection kann die folgende grafische Aufgliederung angezeigt werden.

    Die gleichen Informationen sind für Webzugriffe über Web Protection und für Email-Verkehr über Email Protection einsehbar. Also weitere Informationen von hohem Nutzen über die bestehenden Kommunikationen.
    Dashboard Monitoring – IPS Statistics Das Gleiche gilt für Statistiken zu Intrusion Prevention, die über Logging & Reporting, Network Protection und IPS erreicht werden können.
    Dashboard Monitoring – APT Alerting Hier ein kleines Beispiel, wie die APT-Funktionalität ein Botnet erkennen würde…
    Dashboard Monitoring – APT Alerting Details ...und die dazugehörigen Details. Sobald dieser Fall eintritt, sind unverzüglich weitreichende Nachforschungen erforderlich…
    Logging & Reporting Ein Mehr an Reporting, Statistiken und rohe Log-Daten finden sich hier. Man muss dementsprechend Zeit mitbringen, um sich mit den Daten auseinanderzusetzen und die gewünschten Informationen auszugraben.
    Sophos UTM & More… Sophos UTM kommt mit einer Vielzahl an Features daher, die wir bisher noch nicht besprochen haben. Wir haben jedoch gezeigt, dass damit das beschriebene Szenario durchaus erfolgreich adressiert werden kann.

    Weitere Informationen stehen online zur Verfügung, unter anderem in der Sophos UTM Knowledge Base – Zusätzliche Informationen werden in den Videos auf Youtube bereitgestellt.
     

    Fazit

    Die relativ simple Lösung, wie sie in diesem Artikel vorgestellt wurde, kann für verschiedene Szenarien und mehrere Systeme verwendet werden. Dadurch lässt sich die Sicherheit massgeblich erhöhen. Die APU-Appliance bringt mittlerweile genug Power mit, um mehrere hundert Verbindungen zeitgleich verarbeiten zu können.

    Systeme, die als untouchable bestimmt sind und/oder nicht mehr supported werden, sind eine offensichtliche und eminente Gefahr der heutigen Zeit. Eine konkrete Strategie, wie man mit einzelnen Komponenten umgehen will, sollte individuell ausgearbeitet werden. Dabei kann man sich von der simplen Ein-Rechner-Lösung für Industrie-Controller bis zu ganzen Frameworks vorarbeiten.

    ]]>
    mHealth - Mobile Möglichkeiten http://www.scip.ch/?labs.20160504 http://www.scip.ch/?labs.20160504 Wed, 04 May 2016 00:00:00 +0200 Flavio Gerbino Ohne jeden Zweifel überwiegt die Gesundheit alle äusseren Güter. Ihr Stellenwert wird, angetrieben durch den gesellschaftlichen Anspruch auf eine gesteigerte Leistungsfähigkeit bis ins hohe Alter, in Zukunft vermutlich sogar noch zunehmen. Nun ergeben sich, dank der Innovation in der Digitalisierung und deren Verschmelzung mit der Medizin, auch immer weitere Möglichkeiten, unsere Gesundheit zu erhalten und zu verbessern. Durch mobile Geräte (z.B. Smartphones, Wearables) und Internet, werden uns sukzessive die Möglichkeiten eröffnet selbst Diagnosen zu stellen und uns irgendeinmal selber eine geeignete Behandlung zu verschreiben.

    Einführung

    Schon heute können wir unseren Organismus mit Hilfe von Mobile Devices und Mobile Health Applications in Echtzeit vermessen und überprüfen. Zukunftsgläubige sehen in dieser Entwicklung schon jetzt das Potential, um die Effizienz und Qualität des Gesundheitswesens in Zukunft substantiell zu verbessern.

    Diese Entwicklung konnte nur dadurch entstehen, da unsere vorangegangene Interaktion mit digitalen Geräten – besonders mobilen Geräten – in den letzten Jahrzenten, durch eine sukzessive intensiver werdende Intimität geprägt war.

    Der Philosoph Tom Chatfield beschreibt dies in seinem Buch Wie man im digitalen Zeitalter richtig aufblüht folgendermassen:

    Meiner Ansicht nach bewegen wir uns von einer nur persönlichen Gerätenutzung hin zu etwas, das man als intime Gerätenutzung bezeichnen könnte, eine vollkommen neue Stufe der Verschmelzung digitaler Technologien mit unserem Leben. In Cafés und Wohnzimmern werden persönliche digitale Geräte so liebevoll und häufig gebraucht, dass man fast meinen könnte, die Benutzer sähen darin einen Partner oder ein Haustier. Für die Generation der Digital Natives sind Mobile Devices oft das Erste, was sie morgens nach dem Aufwachen berühren, und abends vor dem Zubettgehen das Letzte.

    Er schliesst daraus:

    Wenn wir auf bestmögliche Weise mit der Technologie leben wollen, müssen wir erkennen, dass nicht das von uns genutzte Gerät an sich von Bedeutung ist, sondern sein konkreter Gebrauch.

    Es ist also kein Wunder, dass diese ausgezeichneten, multifunktionalen digitale Geräten, die innerhalb weniger Jahrzehnte im Leben von Milliarden von Menschen einen essentiellen Stellenwert eingenommen haben, durch ihre Omnipräsenz auch dazu verwendet werden können, die verschiedensten medizinischen Zwecke zu erfüllen.

    Allerdings resultieren aus dieser neuartigen Anwendungsform natürlich auch diverse komplexe Fragen. Beispielsweise muss klargestellt werden, wie sensitive Gesundheitsdaten von Patienten, die mittels mobilen Geräten und Applikationen etc. ermittelt und übermittelt werden, angemessen geschützt werden können. Wie die mHealth Devices und Applikationen so abgesichert werden können, dass sie nicht manipuliert (gehackt) werden können und schlimmstenfalls das Leben von Patienten durch unsichere mobile Health Lösungen gefährdet wäre.

    Weiter, wie man mit wachsenden Datenmengen umgehen wird, so dass der Datenschutz nicht untergraben wird. Darüber hinaus ist vielleicht ein zu viel an Information auch schädlich oder führt zur Desinformation und Desorientierung, indem das Wesentliche in der Menge untergeht. Auch gesundheitsrelevante Fakten werden der Herausforderung unterliegen, dass allgemein der Wahrheitsgehalt von Daten, die übers Internet transferiert werden, nicht immer einfach zu verifizieren ist.

    Dies sind die Kernpunkte und Themen, die sich im Zusammenhang mit den Sicherheitsaspekten der Digitalen Innovation im Gesundheitswesen (eHealth und mHealth) für uns ergeben.

    Mobile Health – mHealth Begriff

    Mobile Health (mHealth) ist heute eine offensichtliche Weiterentwicklung und ein Teilgebiet von eHealth (electronic Health) und umfasst die medizinische Unterstützung des privaten und öffentlichen Gesundheitswesen mittels Einsatz mobiler digitalen Geräte und Applikationen. Diese werden im Zusammenhang mit Prävention, Diagnostik, Behandlung (Therapie), Überwachung (Kontrolle), bzw. ganz allgemein für die medizinische Intervention und Gesundheitsvorsorge, wie auch für Verfahren im Zusammenhang mit Sport, Fitness, Lifestyle, Wellness etc. eingesetzt.

    mHealth subsumiert quasi den medizinischen und technischen Fortschritt unter einem Begriff. Daraus – so erhofft man sich – sollen die Methoden in der medizinischen Prävention, Diagnostik, Therapie etc. so erweitert werden, dass neue Möglichkeiten der Patientenversorgung erschlossen werden können.

    Optimisten sehen im mHealth das Potential, zwei an sich diametral gegensätzliche Ziele des Gesundheitssystems gleichzeitig zu erreichen: Nämlich (1) eine zeitnahe, effizientere und hochqualifiziertere Behandlung von Patienten, bei (2) gleichzeitiger Ressourceneinsparung.

    Abgrenzung des Begriffs

    Es ist offensichtlich, dass das Präfix mobil im Kontext von mHealth eine tragende Rolle spielt. Dabei ist aber keineswegs die Mobilität von Patienten, Anwendern oder medizinischen Fachpersonen gemeint, sondern viel mehr die Relation der Mobilität innerhalb einer Anwendung selbst. D.h. die Charakteristik mobil ergibt sich erst aus der Interaktion mit einer wichtigen mobilen Anwendungskomponente. Dies bedeutet, dass bei weitem nicht jeder Bestandteil eines mHealt-Verfahrens zwingend mobil sein muss; und im Umkehrschluss darf auch nicht jede zufällige, mobile Komponente mit medizinischem Kontext per se als mHealt-Lösung eingestuft werden.

    Offizielle Definition der WHO und EU

    Die gängige Definition der WHO aus dem Jahre 2011, wie sie auch die Europäische Union (EU) verwendet, lautet folgendermassen (Quelle):

    Der Begriff Mobile Health (mHealth) beschreibt medizinische Verfahren sowie Massnahmen der privaten und öffentlichen Gesundheitsfürsorge, die durch Mobilgeräte wie Mobiltelefone, Patientenüberwachungsgeräte, persönliche digitale Assistenten (PDA) und andere drahtlos angebundene Geräte unterstützt werden.

    Auch aus der WHO Definition ist ersichtlich, dass keine strenge Unterscheidung gemacht wird, zwischen professionellen mobile Healthcare Anwendung/Verfahren und solchen, die eher zum Lifestyle-, Wellness- bzw. Fitness-Segment gehören: Quantified Self Bewegung, oder auch Observations of Daily Living (ODL).

    Es liegt also auf der Hand, dass mit mHealth nicht nur wichtige medizinische Möglichkeiten der Gesundheitsförderung und der modernen Medizinalversorgung erschlossen werden sollen, sondern dass das Potential auch dahingehend genutzt werden soll, um bei Anwendern und Patienten eine selbstverantwortlichen, sensibilisierten Blick auf ihre eigene Gesundheit zu wecken und dadurch insgesamt ihre Gesundheitskompotenz zu stärken, mit dem Ziel allgemeiner Prävention, Gesundheitserhaltung bzw. -verbesserung und Lebensqualitäterhöhung.

    Die EU beschreibt dies in Ihrem Green Paper on mobile Health wie folgt:

    Aufgeklärte Mitwirkung der Patienten: Mobile-Health-Lösungen unterstützen den Wandel von einer eher passiven Rolle der Patienten zu einer stärker partizipativen Rolle und geben ihnen mehr Verantwortung für ihre eigene Gesundheit.

    Eigenschaften von mHealth

    Betrachtet man nun diese medizinische Verfahren, die mittels mobiler digitaler Geräte angeboten werden, so geht es im Kern immer darum, anhand von mHealt mit mobilen technischen Mitteln medizinische und physiologische Vitalwerte, sowie Umgebungsvariablen (z.B. Luftqualität, GPS-Position, etc.) und Aktivitätsdaten aller Art zu ermitteln, messen, aufzeichnen, oder übertragen etc. Dazu gehören z.B. Herzfrequenz, Puls, Temperatur, Blutdruck, Blutzuckerspiegel, Hirnaktivität. Die gemessenen Daten werden nun herangezogen, um die medizinischen Praktiken zu unterstützen und sowohl dem Patienten, wie auch Ärzten, Therapeuten, Fachpersonen und anderen involvierten Akteuren effizientere und möglichst zeitnahe Praxisprozesse zu ermöglichen. Der Vorteil liegt dabei besonders darin, dass diese mobile Art der medizinischen Fürsorge quasi losgelöst von Ort und Zeit (also asynchron) angeboten und genutzt werden kann.

    Dabei können bereits einige wichtige Aspekte bzw. Unterscheidungsmerkmale differenziert werden:

    Art der Geräte
    1. Smartphones, Tablets, Wearables, Smartwatches, Fitnesstrackers
    2. allgemeine IoT (Internet of Things) fähige Devices
    3. spezifischere mobile medizinische Geräte sowie medizinische Implantate
    Mess- & Kommunikationsmethoden
    1. WLAN, Mobile Networks (4g, LTE, etc.) Bluethooth, RFID, SMS, E-Mail etc.
    2. spezifischere Technologien, wie Wireless Body Area Networks (WBANs) oder auch Wireless Sensor Networks (WSN), die im Zusammenhang mit mHealth auftreten
    3. Intelligent Wireless Sensors ein enorm wichtiges Thema: Als populäre Beispiele hierfür gelten Galvanic Skin Response (GSR) oder auch die lichtempfindlichen Fotodioden, die mit Hilfe von Infrarot-LEDs eine Herzfrequenzmessung ermöglichen
    Einsatzzweck
    1. Wellness / Fitness mHealth-Verfahren ohne direkte medizinische Erfordernisse, d.h. meist aus persönlichem Interesse, Sport, Fitness Training, Selbstoptimierung Self-tracking, (digitale Vermessung des Ichs)
    2. Medizinische Indikation gegeben: Fachliches mHealth-Verfahren mit verschriebenem medizinischem Zweck und von einer medizinischer Fachperson beraten. Für die Diagnose, Therapie, Überwachung, Intervention bei chronischen bzw. akuten Erkrankungen von Patienten.
    3. Organisatorischer- und Administrativer Einsatz von mHealts-Möglichkeiten für Fachpersonen zur Unterstützung bestehender eHealth-Prozesse im Zusammenhang mit dem Management von Praxen, Klinken, Spitälern etc. Aus der Sicht des Patienten bzw. Anwenders auch für triviale Aufgaben, wie mobile Termin-, Untersuchungs- und Medikationserinnerungen, Überweisungen an Fachspezialisten, so wie auch Terminvereinbarungen, etc.

    Herausforderungen, Aktuelle Diskussionen

    Es dürfte klar sein, dass die Anwendung von mHealth, vor allem jenseits der Lifestyle/Fitness Möglichkeiten, hohe Sicherheitsanforderungen stellt, die besonders auf Seiten des Datenschutzes mit allen Akteuren im Gesundheitswesen, aber auch mit den Bürgern und Patienten erkannt, diskutiert, kommuniziert und vereinbart werden müssen.

    • Datenschutz und Informationssicherheit von Gesundheitsdaten
    • Inkl. Massendatenverarbeitung (Big Data)
    • Medizinische Definition mHealth (Abgrenzung Fitness/Wellness Anwendungen)
    • Integration mHealth in eHealth (z.B. elektronisches Patientendossier ePD)
    • Interoperabilität, Internationale Kompatibilität, etc.
    • Vergütung und Erstattung
    • Haftung
    • Patientensicherheit, Transparenz der Informationen (Zertifizierungen)
    • Chancengleichheit, Solidaritätsprinzip mHealth
    • technische Sicherheit und Safety der eingesetzten mobile Devices und Applikationen (in diesem Artikel nicht thematisiert)

    Wir hinken der Realität noch hinterher

    Eines der grössten Risiken ist, dass man nur die fantastischen Möglichkeiten betrachtet und es versäumt, auch die vielen Stolpersteine und Hürden der mHealth Technologie als Ganzes – d.h. rechtlich, medizinisch, technisch, sozio-ökonomische, kulturelle und ethisch – zu registrieren. Schon der Umstand, dass durch die Anwendungen von mHealth Apps irreversible digitale Spuren hinterlassen werden, wirft in punkto Privatsphäre, Datenschutz, Informationssicherheit rechtliche, technische wie auch ethische Fragen auf. Bei der Beantwortung dieser Fragen hinken wir der technischen Realität hinterher.

    Es ist, wenn man so will, auch eine äusserst politische Frage, die darin kulminiert, welche Bedeutung Privatsphäre im Zusammenhang mit eHealth und mHealth für uns haben soll, und welche Rechte wir bezüglich unserer Gesundheitsdaten noch haben, wenn wir sie grosszügig und massenhaft durch das Internet kommunizieren und z.B. in unterschiedlichsten Clouds speichern. Dabei sollte allen klar sein, dass auch in der digitalen Sphäre, ob nun als Bürger oder Patient, allen jederzeit die volle Kontrolle, Hoheit und das Bestimmungsrecht über die eigenen Daten zusteht. Dieses Prinzip muss kategorisch sichergestellt bzw. gewährleistet werden.

    Der Philosoph Byung-Chul Han weist in seinem digitalpessimistischen Buch Im Schwarm von 2013 unter der Rubrik die Totalprotokollierung des Lebens unter anderem auf die Problematik solcher Technologien hin, wie sie sich auch bei mHealth manifestieren könnte:

    So ist es möglich, jedes Ding im Alltag mit einer Internetadresse zu versehen. [z.B.] RFID-Chips (Radio Frequenz Identifikation) machen die Dinge selbst zu aktiven Sendern und Akteuren der Kommunikation, die selbstständig Informationen senden und miteinander kommunizieren. Dieses Internet der Dinge vollendet die Kontrollgesellschaft. Dinge, die uns umgeben, beobachten uns. Überwacht werden wir dadurch nun auch von den Dingen, die wir tagtäglich gebrauchen. Sie senden pausenlos Informationen über unser Tun und Lassen. Sie wirken aktiv mit an der Totalprotokollierung unseres Lebens.

    Regulierung für Hersteller und Entwickler mHealth

    Auch die mHealth App-Entwickler und Hersteller selbst stehen in der Pflicht. Denn gemäss einem vielzitierten Artikel aus der Financial Times übermittelten im 2013 an 50% der sogenannten Gesundheits-Apps Daten an Unternehmen mit globaler, marktbeherrschender Stellung. Im 2014 zählte die EU in ihrem mHealth Factsheet rund 100’000 mHealth Apps (Quellen: EU, Financial Times).

    Es stellt sich also auch die Frage, wo und wie die Grenze zwischen Lifestyle/Ftiness und echten mHealth Diensten bzw. Gesundheitsapps gezogen werden kann. Wenn die Grenzen zwischen ärztlich, medizinischer Behandlung und Lifestyle – Selbstoptimierung verwässern, kann der Anwender unmöglich unterscheiden, in welchem Fall eine App als Medizinalprodukt einzustufen ist und wann eben nicht. Diese Unschärfe würde auch das nötige Vertrauen seriöser strikt medizininscher mHealth Anwendungen untergraben. Ohne das Vertrauen der Verbraucher in die jeweiligen mHealth Lösungen, ist aber jede mHealth Gesundheitsapp zum Scheitern verurteilt.

    Im Lifestyle/Fitness Bereich mögen die Anforderungen an die Informationssicherheit und Datenzuverlässigkeit von mobilen Gesundheits Apps ja noch verhandelbar sein: Da liesse sich von Fall zu Fall auch mal ein Auge zudrücken. Doch für medizinische Zwecke sollte allen Beteiligten und natürlich auch den Entwicklern solcher Apps, ganz klar sein, dass andere, wesentlich strengere Voraussetzungen gelten müssen, wenn es um sensitive Patientendaten geht. Die Frage lautet also, unter welchen Bedingungen ist eine mHealth-Anwendung ein Medizinprodukt? Denn dann gilt es ernst.

    Ab wann ist mHealth ein Medizinprodukt

    Der Begriff Medizinprodukt, wie er bis anhin verwendet wurde, erhält unter dem Blickwinkel von mHealth bisher unberücksichtigte Definitions-Aspekte, Dimensionen, Konnotationen, denen in den heutigen Gesetzen und Verordnungen noch nicht genügend Rechnung getragen wird. Für die Schweiz sind dies:

    In den USA z.B. hat die US Food and Drug Administration (FDA) Richtlinien in Form von Mobile Medical Guidance Documents erlassen, um Kriterien für eine klare Unterscheidung zwischen Medizinprodukten und Lifestyle-Anwendungen zu ermöglichen. Diese Regularien dienen der Zulassung von Gesundheitsapps und definieren die Mindestanforderungen und Kriterien, welche eine mHealth-Apps zu erfüllen hat, damit sie als Medizinprodukt eingesetzt werden kann.

    Damit soll auch die gängige Praxis unterbunden werden, dass Entwickler von kostengünstigen oder Free-Apps im Zusammenhang mit mHealth (heute vermeintlich im Fitness und Wellness-Bereich angesiedelt) damit Geld verdienen, dass sie Daten verkaufen, oder analysieren, um individualisierte Werbungen zu generieren. Der Anwender weiss meist nichts von dieser Datennutzung.

    Fazit

    Die technologische Stosskraft von mHealth ist energisch, ihre Verfechter sind eifrig und engagiert. Dennoch sehen wir, dass die grossflächige Einführung von digitalen Innovationen im Gesundheitswesen oft träge und schleichend geschieht (so z.B. auch die Einführung des elektronischen Patientendossiers). Friktionen ergeben sich primär an den Schnittstellen, wo Aufwand und Nutzen von Lösungen und die vorauszusetzenden strukturellen Änderungen der verschiedenen Bereiche und der Akteure des Gesundheitswesens ungenügend geklärt wurden. Auch hier gilt nämlich, dass nebst der Erbringung der rein technischen Lösung zuerst einmal bisher nicht integrierte Versorgungsstrukturen und Prozesse aufeinander abgestimmt und aufgebaut werden müssen. Es geht auch bei mHealth primär um eine ganzheitliche Optimierung von Prozessen.

    Es liegt auf der Hand, dass ein wirksamer Datenschutz und eine angemessene Informationssicherheit das evidente Fundament von mHealth Anwendungen bilden müssen. Der Datenschutz kann nur wirkungsvoll sein, wenn er auch die Technik dazu nutzt, die durch die Digitalisierung erzeugten Datenverarbeitunsprozesse von mHealth so zu schützen, dass die Technik den rechtlichen Rahmen nicht verlassen kann. Dazu benötigt man nicht nur Innovation der mHealth Lösungen per se, sondern auch Anstrengungen in Richtung technischer Innovation der Informationssicherheit (Privacy by Design, Privacy by Default).

    Der durch mHealth sukzessive zunehmende Informationstransfer von sensitiven Daten im Gesundheitswesen wird auch das Risiko bergen, dass schlimmstenfalls das informationelle Selbstbestimmungsrecht des Patienten beeinträchtig werden könnte. Bei der Erarbeitung der komplexen eHealth und mHealth Verfahren müssen daher die rechtlichen Voraussetzungen und die Anforderungen an die Informationssicherheit und Technik beim gesamten Lifecycle der Daten, von der Erhebung, Verarbeitung, Nutzung, bis hin zur Speicherung und Löschung mit grosser Sorgfalt mitberücksichtigt werden. Dabei müssen die rechtlichen Grundsätze des Datenschutzes, wie auch das Recht auf informationelle Selbstbestimmung gewahrt werden und zwar vollkommen unabhängig davon, auf welche Art und Weise und durch welche mHealth-Lösung die Daten verarbeitet werden.

    Die Herausforderungen und zahlreichen Aspekten der Patientensicherheit (Safety) im Umgang mit solchen mHealth relevanten mobile Devices und Applikationen, auf die in diesem Artikel kaum eingegangen wird, bilden einen eigenen bedeutenden Themenkreis, der in Anlehnung an die Sicherheit von Medizingeräten im Allgemeinen so bald wie möglich ebenfalls verstärkt thematisiert und diskutiert werden sollte.

    Ein weiteres Risiko jenseits des Datenschutzes und der Informationssicherheit sollte an dieser Stelle noch erwähnt werden: Nämlich, dass Durch den erwähnten Fokus von mHealth auf technologische Innovationen und deren Durchdringung der medizinischen Verfahren sich auch das Risiko und die latente Angst einer Entmenschlichung der Medizin einschleicht und erhöht – und dies bei gleichzeitiger Überforderung der meisten Menschen. Denn die Kommunikation zwischen Arzt und Patient wird sich durch diesen Trend sicherlich auch verändern. So könnte man sich denken, dass der klassische Praxisbesuch teiweise verdrängt wird (in entfernter Analogie an die Finanzbranche, wo man als Kunde auch nur noch selten, nur für besondere Erfordernisse an den Bankschalter geht und sonst alles digital abwickelt) durch eine rund um die Uhr Möglichkeit des Austausches von mHealth Informationen via mobile Apps, SMS, Text, Photos etc. mit dem zusätzlichen Risiko, dass Ärzte regelrecht mit digitaler Kommunikation überschwemmt werden könnten.

    Das EU – Green Book on mobile Health schreibt dazu folgendes

    Dabei sollen Mobile-Health-Dienste keineswegs die Angehörigen der Gesundheitsberufe ersetzen, deren Arbeit für die Gesundheitsversorgung weiterhin entscheidend ist, sie werden vielmehr als unterstützendes Werkzeug für die Verwaltung und Erbringung von Gesundheitsfürsorgeleistungen betrachtet.

    Und weiter:

    Mobile-Health-Dienste haben das Potenzial, bei der Veränderung unseres Lebens zum Besseren eine Schlüsselrolle zu spielen. Es muss jedoch sichergestellt sein, dass die verwendete Technik sicher ist und von den Bürgern auch sicher genutzt werden kann.

    Quellen

    Tom Chatfield: Wie man im digitalen Zeitalter richtig aufblueht. 2012
    Kailash Verlag – Verlagsgruppe Random House – Bertelsmann
    ISBN 978-3-641-08841-5

    Byung-Chul Han: Im Schwarm. 2013
    MSB Matthes & Seitz Berlin
    ISBN 978-3-88221-037-8

    ]]>
    Blog Digest April 2016 http://www.scip.ch/?labs.20160428 http://www.scip.ch/?labs.20160428 Thu, 28 Apr 2016 00:00:00 +0200 Marc Ruef
  • 10 Steps for Protecting Yourself From Ransomware (blog.fortinet.com)
  • Bangladesh Bank hackers compromised SWIFT software, warning issued (reuters.com)
  • Cyclist banned for six years after racing with a hidden motor (engadget.com)
  • Empty DDoS Threats: Meet the Armada Collective (blog.cloudflare.com)
  • German nuclear plant infected with computer viruses, operator says (reuters.com)
  • Got a Hot Seller on Amazon? Prepare for E-Tailer to Make One Too (bloomberg.com)
  • Hacking Your Phone (cbsnews.com)
  • How iMessage distributes security to block ‘phantom devices’ (securosis.com)
  • No, Internet should be capitalized (blog.erratasec.com)
  • On distracted driving and required phone searches (freedom-to-tinker.com)
  • OSVDB: FIN (blog.osvdb.org)
  • Panama Papers – 6 Security Takeaways (bankinfosecurity.com)
  • Should you store your data in the cloud? (blog.malwarebytes.org)
  • The Untold Story of Magic Leap, the World’s Most Secretive Startup (wired.com)
  • These unlucky people have names that break computers (bbc.com)
  • This Massive VPN Comparison Spreadsheet Helps You Choose the Best for You (lifehacker.com)
  • Ubuntu on Windows – The Ubuntu Userspace for Windows Developers (blog.dustinkirkland.com)
  • Welcome to the Virtual Age (oculus.com)
  • ]]>