Kommentar zur Rückruf-Aktion der FDA

Sicherheits-Softwareupdate für Herzschrittmacher

| Autor / Redakteur: Susanne Haase* / Ira Zahorsky

Die FDA ruft Herzschrittmacher wegen Hacking-Gefahr für ein Softwareupdate zurück
Die FDA ruft Herzschrittmacher wegen Hacking-Gefahr für ein Softwareupdate zurück (© fotohansel - stock.adobe.com)

Am 29. August 2017 hat die US-Behörde zur Überwachung von Nahrungs- und Arzneimitteln (FDA) 465.000 Herzschrittmacher verschiedener Anbieter zurückgerufen, um ein Softwareupdate aufzuspielen und damit der Hacking-Gefahr vorzugreifen.

Viele medizinische Geräte, darunter die Herzschrittmacher der von Abbott, die im Januar 2017 den Hersteller St. Jude Medical übernommen hatten, verfügen über eingebettete und konfigurierbare Computersysteme. Solche Systeme können Schwachstellen aufweisen, die ein Eindringen in die betreffenden Systeme gestatten. Immer häufiger sind medizinische Geräte über das Internet miteinander verbunden, aber auch innerhalb von Kliniknetzwerken, mit anderen medizinischen Geräten oder mit Smartphones. Dadurch erhöht sich das Risiko, dass Sicherheitsschwachstellen ausgenutzt werden, dramatisch. Einige dieser Exploits haben zur Folge, dass die ordnungsgemäße Funktionsfähigkeit des jeweiligen Geräts beeinträchtigt wird.

Die FDA hat Informationen geprüft und bestätigt, nach denen die RF-Herzschrittmacher von Abbott Sicherheitsschwachstellen aufweisen sollen. Die betreffenden Schwachstellen können tatsächlich dahingehend ausgenutzt werden, dass ein nicht autorisierter Nutzer (also nicht der behandelnde Arzt des Patienten) auf das betreffende Gerät zugreifen kann. Und das mithilfe von kommerziell erhältlichen Tools. Über diesen Zugriff kann ein Angreifer Programmierbefehle verändern. Das kann den Patienten beispielsweise durch verkürzte Batterielaufzeiten oder falsch eingestellte Frequenzen der elektrischen Impulse schädigen.

Mit anderen Worten: es ist durchaus im Bereich des Vorstellbaren, dass jemand ernsthaft zu Schaden kommt oder sogar getötet werden könnte, würde sein Herzschrittmacher gehackt. Ob es tatsächlich passieren wird? Die FDA wollte das lieber nicht abwarten. Ein Software-Update wird das Problem glücklicherweise beheben. Das Unselige an der Sache aber ist die Tatsache, dass der Bedrohungslevel für medizinische Geräte und innerhalb des IoT (Internet der Dinge) im Allgemeinen eher steigt. Setzen wir uns den IT-Security-Hut auf und betrachten das Problem aus dem Blickwinkel der Cybersicherheit. Dann sind es im Wesentlichen die drei „Ps“, die einem ernsthaft Sorgen bereiten sollten: Personen, Prozesse, Produkte.

Personen, Prozesse, Produkte

Menschen sind und bleiben der Schlüssel, will man Probleme zufriedenstellend lösen. Das gilt auch für Cybersecurity, und selbst die elektronische Grundlage eines Herzschrittmachers bildet da keine Ausnahme. Beim aktuellen Beispiel gibt es gleich eine ganze Reihe von Entscheidungsschnittstellen an denen Personen direkt betroffen sind. Handelt es sich beim Träger eines Herzschrittmachers vielleicht um eine ältere Person, der wichtige Hintergrundinformationen einfach fehlen? Und bewertet sie das Problem deshalb als weniger kritisch? Werden sich diese Patienten ganz sicher mit ihrem Kardiologen in Verbindung setzen? Werden das sonst Angehörige für sie tun? Und die Kardiologen? Sie sind Ärzte und nicht ausgewiesene Spezialisten für Cybersicherheit. Haben sie in der ohnehin knapp bemessenen Zeit zwischen Operationen und Visiten überhaupt die Zeit und die nötigen Fähigkeiten, um das Problem im Sinne ihrer Patienten zu beheben? Und werden sie im Idealfall sogar aktiv auf die Patienten zugehen?

Wird der Prozess funktionieren mit dem man die Träger der potenziell 465.000 betroffenen Herzschrittmacher kontaktieren will? Wie viele der Patienten sind noch am Leben? Sind sie vielleicht inzwischen umgezogen oder haben eine andere Telefonnummer? Wie lange wird es in etwa dauern, bis alle der 465.000 betroffenen Geräte gefunden sind? Und wie lange bis alle Patienten angesprochen und das Software-Update tatsächlich durchgeführt wurde?

Und dann sind da noch die Produkte selbst. Wie lassen sich solche Vorfälle in Zukunft verhindern? Wie lassen sich IoT-Geräte so entwickeln – insbesondere solche, die das Potenzial haben, unser gesundheitliches Wohl unmittelbar zu bedrohen – dass sie sicher vor Hackerangriffe sind? Die Frage ist nicht neu, aber sie stellt sich mit verschärfter Dringlichkeit: Wann werden die Hersteller solcher Geräte endlich beginnen, Cybersicherheit tatsächlich ernst zu nehmen? Klingt es ein bisschen abgedreht, wenn demnächst Patienten ihren Kardiologen fragen, ob der Herzschrittmacher, der in Kürze implantiert werden soll, Penetrationstests durchlaufen hat oder nicht?

Liest man sich die Patienteninformation der FDA weiter durch, drängen sich zusätzliche Fragen auf. Nehmen wir etwa diesen Satz: „Wenn Sie gemeinsam mit Ihrem Arzt zu dem Schluss kommen, dass es für Sie richtig ist, das Firmware-Update durchzuführen, kann das einfach während des nächsten routinemäßig anstehenden Termins geschehen.“ Ich wäre neugierig zu erfahren, unter welchen Umständen ein Firmware-Update denn nicht das richtige für jemanden wäre? Warum sollten nicht alle Patienten, denen eines der fraglichen Geräte implantiert worden ist, das Update durchführen (lassen)?

Die gute Nachricht in der schlechten ist, dass zumindest keine 465.000 Operationen nötig sind, um den betreffenden Herzschrittmacher zu ersetzen. Die schlechte Nachricht ist, dass es 465.000 potenziell betroffene Patienten gibt. Und möglicherweise noch eine ganze Menge mehr Menschen, die keine Ahnung haben, dass sie ein Gerät in der Brust haben, das für Hackerangriffe anfällig ist.

Man kann nur an die Verantwortlichen appellieren, die Debatte auszuweiten, und analog zum IoT Cybersecurity Improvement Act 2017 in den USA eine Gesetzesvorlage auszuarbeiten. Dieser US-Act verlangt, dass Hersteller von internetfähigen Geräten, die von der Bundesregierung der Vereinigten Staaten eingesetzt werden, mit Software-Patches aktualisiert werden können, dass keine hartkodierten Passwörter verwendet werden und dass die Geräte auf Schwachstellen getestet worden sind, bevor sie in den Handel kommen.

Das ist in meinen Augen ein wichtiger erster Schritt hin zu mehr Sicherheit im IoT. Das Rahmenwerk betrifft nur Geräte, die innerhalb von Behörden und Regierungsinstitutionen eingesetzt werden. Ich hoffe allerdings, dass von dieser Verordnung eine Signalwirkung ausgeht und beispielsweise auch Krankenhäuser verlangen, dass von ihnen eingesetzte Geräte ebenfalls diesen Compliance-Anforderungen unterliegen sollten. Es ist immens wichtig zu erkennen, dass Cybersecurity in unser Aller Verantwortung liegt. Fragen Sie die Hersteller, wie sie Schwachstellentests durchführen, welche Sicherheitsmaßnahmen generell ergriffen werden und wie reagiert werden soll, wenn tatsächlich Schwachstellen aufgedeckt werden.

*Susanne Haase ist Senior Solution Architect IAM EMEA bei One Identity

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44876679 / Sicherheit/Datenschutz)