Slides Thema 8

Unsichere Webprotokolle

... im Netzwerk des Unternehmens.

­čÄ» Sie lernen welche Protokolle unsicher sind.


Business LAN

Bei der Arbeit bewegt man sich meistens im Local Area Network (LAN) des Unternehmens.

­čĄö Welcher Datenaustausch ist bei eurem Unternehmen sicherer?

  • Austausch innerhalb LAN
  • Austausch ausserhalb LAN mit Internet

Unsichere Protokolle

Im Netzwerk des Unternehmens sind oftmals unsichere Protkolle im Einsatz:

  • LDAP: Authentisierung von Benutzern
  • SMTP: Mail-Versand
  • SNMP: Verwaltung von Netzwerkger├Ąten
  • HTTP: Websites ohne Zertitifikate

­čĄö K├Ânnt Ihr das best├Ątigen?


Aufgaben

­čÄČ L├Âsen Sie die Aufgaben 1 in Gruppen oder Breakout-Rooms.


Vernetzung der Ger├Ąte

Die Ger├Ąte im Spital werden immer vernetzter (oder sind es schon). Neuere Standards wie HL7open in new window kommen zu Einsatz. Diese regeln das Nachrichtenformat, aber nicht die sichere ├ťbertragung.


FHIR

Das kennt ihr vermutlich.

FHIRopen in new window steht f├╝r Fast Healthcare Interoperability Resources, und ist wie der Name schon sagt mit dem Ziel angetreten, schnelle und einfache Interoperabilit├Ąt in medizinischen Anwendungen zu erm├Âglichen.


Sicherheit in FHIR

Sicherheit ist optional.

Fast Healthcare Interoperability Resources (FHIR) is not a security protocol, nor does it define any security related functionality.

https://www.hl7.org/fhir/security.htmlopen in new window


Kommunikationssicherheit: Jegliche Kommunikation soll durch Transport Layer Security (TLS) beziehungsweise Secure Sockets Layer (SSL) verschl├╝sselt erfolgen.

Authentifizierung: BenutzerInnen sollten sich authentifizieren. OAuth ist hier empfohlen.

Zugriffskontrolle: FHIR hat eine auf Sicherheitsmarkierungen basierte Infrastruktur (Security Label) definiert, um Zugriffskontrolle prinzipiell zu erm├Âglichen.

Digitale Signaturen: FHIR unterst├╝tzt Signaturen.

­čĄö Wer ist verantwortlich f├╝r die sichere ├ťbertragung?


Analyse Schutzziele

Kurze Analyse der Schutzziele bezl. FHIR:

SchutzzielStatus
Vertraulichkeit ­čśłNachrichten k├Ânnen mitgelesen werden
Integrit├Ąt ­čĺÄNachrichten werden signiert
Authentitzit├Ąt ­čÖőÔÇŹAuthentisierung mit OAuth
Verbindlichkeit ­čôŁGel├Âst mit Protokollierung

Ein Aufruf

Stellt in eurem Unternehmen sicher, dass:

  • Ger├Ąte und Computer ├╝ber sichere Kan├Ąle kommunzieren
  • Der Zugriff auf eine Schnittstelle authorisiert ist
  • Nachrichten signiert werden