Suchen

Black Duck Software Open-Source-Security-Management erkennt Software-Schwachstellen in Medizinprodukten

| Autor / Redakteur: Mike Pittenger* / Kathrin Schäfer

Die FDA hat vor kurzem den Rückruf von 465.000 Herzschrittmachern angekündigt, um die Geräte gegen Manipulationen durch Hacker abzusichern. Ein Kommentar von Mike Pittenger.

Firmen zum Thema

„Was wir heute für sichere Software halten, kann sich über Nacht ändern“, Mike Pittenger, Black Duck Software.
„Was wir heute für sichere Software halten, kann sich über Nacht ändern“, Mike Pittenger, Black Duck Software.
(Bild: Black Duck Software)
  • FDA kündigt Rückfruf von Herzschrittmachern an
  • Software-Schwachstellen bieten Angriffsfläche für Hacker
  • Open-Source-Systeme erfordern Open-Source-Securtiy Management und mehr Eigeninitiative von Medtech-Herstellern

Immer wieder nutzen Angreifer Software-Schwachstellen aus. Die United States Federal Drug Administration hat vor kurzem den Rückruf von 465.000 Herzschrittmachern angekündigt, zu denen Angreifer unberechtigten Zugang erlangen und diese potentiell böswillig stören könnten. Es handelt sich dabei um vier verschiedene Schrittmacher-Modelle, hergestellt von Abbott (ehemals St. Jude Medical).

Software-Schwachstellen bieten Angriffsfläche für Hacker

Die Rückruf-Aktion ist ein deutlicher Hinweis darauf, wie wesentlich Software für fast jeden Aspekt unseres Lebens geworden ist. Der Gedanke an Software-Schwachstellen in Herzschrittmachern und anderen medizinischen Geräten und Systemen ist besonders beunruhigend. Was wir heute für sichere Software halten, kann sich über Nacht ändern, sobald neue Schwachstellen entdeckt und bekannt gegeben werden. Während ein Code altert, erhöht sich die Wahrscheinlichkeit, dass möglicherweise noch Schwachstellen offengelegt werden.

Open-Source-Systeme erfordern mehr Eigeninitiative von Nutzern

Dies gilt für Open-Source-Systeme ebenso wie für kommerzielle Codes. Speziell bei Open-Source-Software gilt es zu bedenken, dass es keinen Anbieter gibt, der Updates und Sicherheitshinweise aktiv verbreitet. Es ist an jedem Open-Source-Nutzer selbst, diese Thematik im Auge zu behalten und die Updates in seine Codebasis zu übertragen. Doch wie geht das, ohne genau zu wissen, welche Open-Source-„Bestandteile“ benutzt wurden? In Hinblick auf über 3.000 neue Schwachstellen, die jedes Jahr offengelegt werden, ist Einblick in die verwendeten Open-Source-Komponenten unerlässlich.

Open Source-Nutzung zieht sich durch alle Branchen, einschließlich der Medizintechnikbranche. Die Open-Source-Sicherheits- und Risiko-Analyse (OSSRA) 2017 von Black Duck hat ergeben, dass die durchschnittliche kommerzielle Anwendung fast 150 diskrete Open-Source-Komponenten enthielt, und dass 67 Prozent der über 1.000 gescannten kommerziellen Anwendungen anfällige Open-Source-Komponenten enthielten.

Open-Source-Management erfordert Risiko- und Security-Management

Open-Source-Schwachstellen können Anwender sowohl gezielten als auch nicht-zielgerichteten Attacken aussetzen. Wenn der Angriff auf implantierbare Medizingeräte abzielt, könnte dies eine Frage von Leben oder Tod sein.

Unternehmen in der Lieferkette für medizinische Geräte sollten die von ihnen genutzte Open-Source-Software deshalb sorgfältig im Blick haben und diese hinsichtlich der Tausenden von Schwachstellen, die jedes Jahr bekannt gegeben werden, überprüfen. Andernfalls werden sie nicht in der Lage sein, ihre Anwendungen und damit ihre Kunden vor diesen Schwachstellen zu schützen. Hersteller von Medizinprodukten und ihre Zulieferer benötigen vielmehr Open-Source-Management-Praktiken, die

  • Open-Source-Software inventarisieren
  • Software hinsichtlich bekannter Schwachstellen überprüfen und bei neuen Sicherheitsbedrohungen warnen sowie
  • potenzielle Lizenz- und Qualitäts-Risiken im Code identifizieren.

Erst dann sind Hersteller von Medizinprodukten in der Lage, die Vorteile der Open-Source-Nutzung zu maximieren und gleichzeitig deren Risiken zu bewältigen.

Dieser Beitrag erschien zuerst in unserem Partnerportal Devicemed.

Lesen Sie auch:

* Mike Pittenger ist Vice President Security Strategy bei der Firma Black Duck Software.

(ID:44901176)