PresseBox
Pressemitteilung BoxID: 869891 (One Identity)
  • One Identity
  • http://www.oneidentity.com
  • Ansprechpartner
  • Dagmar Schulz
  • +49 (511) 35224692

Die gute Nachricht: Operiert werden muss nicht...

(PresseBox) (USA, ) Am 29. August 2017 hat die US-Behörde zur Überwachung von Nahrungs- und Arzneimitteln

(kurz FDA) 465.000 Herzschrittmacher verschiedener Anbieter zurückgerufen. Für alle Fans der Serie „Homeland“ sei noch ein Mal an eine Episode aus dem Jahr 2012 erinnert. Der amerikanische Vize-Präsident wird in dieser Folge nämlich über eine Schwachstelle in seinem Herzschrittmacher ermordet.

 “Viele medizinische Geräte, darunter die Herzschrittmacher der Firma St. Jude Medical[1], verfügen über eingebettete und konfigurierbare Computersysteme. Solche Systeme können Schwachstellen aufweisen, die ein Eindringen in die betreffenden Systeme gestatten. Immer häufiger sind medizinische Geräte über das Internet miteinander verbunden, aber auch innerhalb von Kliniknetzwerken, mit anderen medizinischen Geräten oder mit Smartphones. Dadurch erhöht sich das Risiko, dass Sicherheitsschwachstellen ausgenutzt werden dramatisch. Einige dieser Exploits haben zur Folge, dass die ordnungsgemäße Funktionsfähigkeit des jeweiligen Geräts beeinträchtigt wird.“

Die FDA hat Informationen geprüft, nach denen die RF-Herzschrittmacher von St. Jude Medical, jetzt Abbott, Sicherheitsschwachstellen aufweisen sollen. Die Behörde hat das inzwischen bestätigt. Die betreffenden Schwachstellen können tatsächlich dahingehend ausgenutzt werden, dass ein nicht autorisierter Nutzer (also nicht der behandelnde Arzt des Patienten) auf das betreffende Gerät zugreifen kann. Und das mithilfe von kommerziell erhältlichen Tools. Über diesen Zugriff kann ein Angreifer Programmierbefehle verändern. Das kann den Patienten beispielsweise durch verkürzte Batterielaufzeiten oder falsch eingestellte Frequenzen der elektrischen Impulse schädigen.“

Mit anderen Worten: es ist durchaus im Bereich des Vorstellbaren, dass jemand ernsthaft zu Schaden kommt oder sogar getötet werden könnte, würde sein Herzschrittmacher gehackt. Ob es tatsächlich passieren wird? Die FDA wollte das lieber nicht abwarten. Ein Software-Update wird das Problem glücklicherweise beheben. Das Unselige an der Sache aber ist die Tatsache, dass der Bedrohungslevel für medizinische Geräte und innerhalb des IoT (Internet der Dinge) im Allgemeinen eher steigt. Setzen wir uns den IT-Security-Hut auf und betrachten das Problem aus dem Blickwinkel der Cybersicherheit. Dann sind es im Wesentlichen die drei „Ps“, die einem ernsthaft Sorgen bereiten sollten: Personen, Prozesse, Produkte. 

Personen

Menschen sind und bleiben der Schlüssel, will man Probleme zufriedenstellend lösen. Das gilt auch für Cybersecurity, und selbst die elektronische Grundlage eines Herzschrittmachers bildet da keine Ausnahme. Beim aktuellen Beispiel gibt es gleich eine ganze Reihe von Entscheidungsschnittstellen an denen Personen direkt betroffen sind. Handelt es sich beim Träger eines Herzschrittmachers vielleicht um eine ältere Person, der wichtige Hintergrundinformationen einfach fehlen? Und bewertet sie das Problem deshalb als weniger kritisch? Werden sich diese Patienten ganz sicher mit ihrem Kardiologen in Verbindung setzen? Werden das sonst Angehörige für sie tun? Und die Kardiologen? Sie sind Ärzte und nicht ausgewiesene Spezialisten für Cybersicherheit. Haben sie in der ohnehin knapp bemessenen Zeit zwischen Operationen und Visiten überhaupt die Zeit und die nötigen Fähigkeiten, um das Problem im Sinne ihrer Patienten zu beheben? Und werden sie im Idealfall sogar aktiv auf die Patienten zugehen?

Prozesse

Wird der Prozess funktionieren mit dem man die Träger der potenziell 465.000 betroffenen Herzschrittmacher kontaktieren will? Wie viele der Patienten sind noch am Leben? Sind sie vielleicht inzwischen umgezogen oder haben eine andere Telefonnummer? Wie lange wird es in etwa dauern, bis alle der 465.000 betroffenen Geräte gefunden sind? Und wie lange bis alle Patienten angesprochen und das Software-Update tatsächlich durchgeführt wurde?

Produkt

Und dann sind da noch die Produkte selbst. Wie lassen sich solche Vorfälle in Zukunft verhindern? Wie lassen sich IoT-Geräte so entwickeln – insbesondere solche, die das Potenzial haben unser gesundheitliches Wohl unmittelbar zu bedrohen – dass sie sicher vor  Hackerangriffe sind? Die Frage ist nicht neu, aber sie stellt sich mit verschärfter Dringlichkeit: Wann werden die Hersteller solcher Geräte endlich beginnen Cybersicherheit tatsächlich ernst zu nehmen? Klingt es ein bisschen abgedreht, wenn demnächst Patienten ihren Kardiologen fragen, ob der Herzschrittmacher, der in Kürze implantiert werden soll, Penetrationstests durchlaufen  hat oder nicht?  Liest man sich die Patienteninformation der FDA weiter durch, drängen sich zusätzliche Fragen auf. Nehmen wir etwa diesen Satz:

Wenn Sie gemeinsam mit Ihrem Arzt zu dem Schluss kommen, dass es für Sie richtig ist, das Firmware-Update durchzuführen, kann das einfach während des nächsten routinemäßig anstehenden Termins geschehen. 

Ich wäre neugierig zu erfahren unter welchen Umständen ein Firmware-Update denn nicht das richtige für jemanden wäre? Warum sollten nicht alle Patienten, denen eines der fraglichen Geräte implantiert worden ist, das Update durchführen (lassen)?

Die gute Nachricht in der schlechten ist, dass zumindest keine 465.000 Operationen nötig sind, um den betreffenden Herzschrittmacher zu ersetzen. Die schlechte Nachricht ist, dass es 465.000 potenziell betroffene Patienten gibt. Und möglicherweise noch eine ganze Menge mehr Menschen, die keine Ahnung haben, dass sie ein Gerät in der Brust haben, das für Hackerangriffe anfällig ist.

Man kann nur an die Verantwortlichen appellieren, die Debatte auszuweiten, und analog zum  IoT Cybersecurity Improvement Act 2017 in den USA eine Gesetzesvorlage auszuarbeiten. Dieser US-Act verlangt, dass Hersteller von internetfähigen Geräten, die von der Bundesregierung der Vereinigten Staaten eingesetzt werden, mit Software-Patches aktualisiert werden können, dass keine hartkodierten Passwörter verwendet werden und dass die Geräte auf Schwachstellen getestet worden sind, bevor sie in den Handel kommen.

Das ist in meinen Augen ein wichtiger erster Schritt hin zu mehr Sicherheit im IoT. Das Rahmenwerk betrifft nur Geräte, die innerhalb von Behörden und Regierungsinstitutionen eingesetzt werden. Ich hoffe allerdings, dass von dieser Verordnung eine Signalwirkung ausgeht und beispielsweise auch  Krankenhäuser verlangen, dass von ihnen eingesetzte Geräte ebenfalls diesen Compliance-Anforderungen unterliegen sollten. Es ist immens wichtig zu erkennen, dass Cybersecurity in unser Aller Verantwortung liegt. Fragen Sie die Hersteller wie sie Schwachstellentests durchführen, welche Sicherheitsmaßnahmen generell ergriffen werden und wie reagiert werden soll, wenn tatsächlich Schwachstellen aufgedeckt werden.

[1] Im Januar dieses Jahres von Abbott aufgekauft