Bug Bounty und Spezialteam – so will das Unispital Zürich Cyberangriffe verhindern

10. Februar 2022, 12:54
image
Foto: Nico Wick / USZ

Auch das USZ stellt eine Zunahme von Attacken fest. Information Security Officer Franziska Fink erklärt uns die verstärkten Abwehrmassnahmen.

An seiner Jahresmedienkonferenz präsentierte das Universitätsspital Zürich (USZ) vor allem Finanz- und Patientenzahlen sowie Baupläne. Thema waren aber auch Cyberangriffe auf Gesundheitseinrichtungen und wie sich das Unispital besser dagegen schützen will. Wir haben dazu bei Franziska Fink detaillierter nachgefragt. Sie ist seit Juni 2021 Information Security Officer des USZ.
"Wie in allen Unternehmen sind Angriffsversuche von Cyberkriminellen zum Beispiel mittels Phishing E-Mails oder Scans gegen den Perimeter leider zur Tagesordnung geworden. Dies gilt auch für das USZ", hält sie fest. Bis anhin sei aber keiner dieser Versuche am Spital erfolgreich verlaufen.

Zusammenarbeit mit anderen Spitälern und NCSC

Um dies auch in Zukunft aufrecht erhalten zu können, wurden am Unispital verschiedene Massnahmen aufgegleist. "Das USZ hat in den letzten Jahren, in Ergänzung zu den Sicherheitsexpertinnen und -experten der ICT, ein spezifisches Information Security Office aufgebaut", so Fink. Eine Aufgabe des Teams sei der Betrieb des Security Operations Centers (SOC) in Zusammenarbeit mit einem externen Dienstleister. Zudem arbeite das USZ eng mit dem Nationalen Zentrum für Cybersicherheit (NCSC) und weiteren Partnern zusammen.
Das Spital hat zudem ein eigenes technisches Abwehrsystem aufgebaut. "Hier handelt es sich um ein System für die systematische und zentrale Erkennung von Schwachstellen und Cyber-Vorfällen. Dieses besteht aus einem SIEM (Security Information & Event Management) und verschiedenen Sensoren, über welche auch die ins Netzwerk integrierten, medizinischen Geräte abdeckt werden", erklärt Fink.
image
Franziska Fink.
Um die Cyberresilienz zu stärken, würden sich die Verantwortlichen für Informationssicherheit der Kantons- und Universitätsspitäler in der Schweiz auch regelmässig im Rahmen einer fixen Arbeitsgruppe sowie nach Bedarf austauschen. Zudem verfolge man genau, was zum Beispiel bei Ransomware-Angriffen im In- und Ausland passiere. Diese hatten zuletzt auch auf Gesundheitseinrichtungen zugenommen. Für Aufsehen sorgte etwa der Angriff auf die irische Gesundheitsbehörde HSE im Mai 2021.

Bug-Bounty-Prämien eingeführt

Deshalb lege das USZ besonders Wert auf interne Schulungen aller Mitarbeitenden, so Fink. "Das USZ betreibt eine Information Security Awareness Plattform mit diversen Materialien. Zudem werden die Mitarbeiterinnen und Mitarbeiter beim Eintritt sowie im Rahmen von gezielten Veranstaltungen geschult." Auch würden regelmässig Awareness-Kampagnen und Phishing-Simulationen durchgeführt.
Ein weiterer, relativ neuer Bestandteil der Abwehrmassnahmen ist ein Bug-Bounty-Programm. Dieses wird zusammen mit Bug Bounty Switzerland betrieben. Erstmals wurde es 2020 im Rahmen des neuen Internetauftritts des USZ getestet und angewandt. "Gegen Ende 2021 wurde die technische und organisatorische Integration etabliert und so die Voraussetzungen für ein kontinuierliches Programm geschaffen. Dieses erlaubt es uns nun, das bereits sehr hohe Sicherheitslevel der ohnehin extern exponierten Systeme unter realen Bedingungen einer kontinuierlichen Prüfung zu unterziehen."
Die Methode "Bug Bounty" habe sich dabei als äusserst effektiv erwiesen, erklärt Franziska Fink. Die Belohnungen seien abhängig von der Schwere der gefundenen Lücke gemäss Common Vulnerability Scoring System (CVSS). "Marktüblich sind dabei Preise von einigen hundert bis von einigen tausend Franken."

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

#Security: NCSC-Entscheid hat Potenzial für Kollateralschäden

Am Freitag hat der Bundesrat entschieden, das aus dem NCSC entstehende Bundesamt für Cybersicherheit im VBS anzusiedeln. Weil der Bund daraus entstehende Interessenkonflikte verschweigt, sind jetzt schnell Tatbeweise des VBS nötig, kommentiert Martin Leuthold von der Stiftung Switch.

publiziert am 8.12.2022 1