Sicherheit ist kein magischer Feenstaub, den man auf sein Produkt streut, nachdem es programmiert wurde.
Der Titel klingt romantisch, der wahre Hintergrund ist allerdings weit beunruhigender. Forscher haben herausgefunden, dass eine Übertragungsstation einer bestimmten Modellreihe von Herzschrittmachern Sicherheitslücken aufweist, die aus der Ferne hätten genutzt werden können. Der Hersteller hat ein Softwareupdate veröffentlicht, welches die Lücke behebt. Die amerikanische Behörde für Lebens- und Arzneimittel (FDA) hat eine Information veröffentlicht, die Patienten und medizinisches Personal über notwendige Schritte für ein Softwareupdate informiert.
Sicherheitslücken in medizinischen Geräten sind nichts Neues
Auch die Gesundheitsbranche kommt nicht mehr am immer noch steigenden Trend zur Vernetzung vorbei. Diese Vernetzung verspricht Vorteile, sowohl für Patienten als auch Ärzte und medizinisches Personal. Statt persönlich in der Praxis zu erscheinen, was je nach Erkrankung für sich genommen schon eine Herausforderung darstellen kann, können Patienten bestimmte Routineaufgaben von zuhause erledigen lassen, ohne einen Fuß vor die Tür setzen zu müssen. Die Überwachung bestimmter Parameter aus der Ferne ist für viele Beteiligte gleichbedeutend mit einer großen Zeitersparnis. Zwischen all den enthusiastischen Ankündigungen ertönen jedoch immer wieder Unkenrufe von Sicherheitsexperten, die vor potenziell unsicheren Systemen warnen.
Ein solcher Fall nahm seinen Anfang im August 2016, als Forscher darauf aufmerksam machten, dass es in einer bestimmten Produktreihe des Herstellers St. Jude Medical, ein führender Hersteller von Herzschrittmachern und internen Defibrillatoren, Sicherheitslücken gibt. Derzeit befindet sich die Firma in Übernahmegesprächen - sie soll von Abbott Laboratories übernommen werden. Das System, um das es geht, beinhaltet einen Funksender mit Online-Anbindung, der eine Fernüberwachung der Herzwerte sowie Statusabfragen des implantierten Gerätes ermöglicht. Auch eine Neukonfiguration ist über dieses System möglich. Einzige Voraussetzung: der Patient muss sich in der Nähe des Gerätes befinden.
Ein Forscherteam hatte herausgefunden, dass ein Angreifer unter bestimmten Voraussetzungen Zugang zu verschiedenen Punkten des Systems erlangen kann, und damit auch zum Implantat selbst. Desweiteren hätte ein Angreifer die Sicherheitslücke ausnutzen können, um das Gerät umzuprogrammieren und es damit unsachgemäß arbeiten zu lassen. So wäre es möglich gewesen, einen internen Defibrillator darauf zu programmieren, unnötige Schocks zu verabreichen, welche dazu führen, dass die Batterie des Geräts schneller erschöpft ist. Je nach Gerät kann eine Änderung der Programmierung für Patienten auch körperlich sehr unangenehm sein. Eine weitere Folge einer vorzeitig erschöpften Batterie kann auch sein, dass das Gerät seinen Dienst versagt, wenn es am dringendsten benötigt wird.
Zwar wurde kein Fall bekannt, in dem ein implantiertes Gerät tatsächlich Ziel eines Angriffs wurde, allerdings macht der Vorfall deutlich, dass IT-Sicherheit mittlerweile bei der Entwicklung von Medizinischen Geräten eine große Rolle spielt. Es steht für die Beteiligten viel auf dem Spiel: die Reputation eines Herstellers kann großen Schaden erleiden, wenn wiederholt bekannt wird, dass die Sicherheit bei seinen Produkten mangelhaft ist. Finanzielle Interessen gehen damit einher: bekommt ein Unternehmen durch mangelhafte Sicherheit einen schlechten Ruf, hat das einen direkten Einfluss auf Aktienkurse. Und, was am wichtigsten ist, die Sicherheit zahlloser Patienten steht auf dem Spiel, die den Produkten des Herstellers buchstäblich ihr Leben anvertrauen.
Diese Art von Berichten ist jedoch nicht neu: im Jahr 2015 gelang es einen Sicherheitsforscher aus Deutschland, die Beatmungsfunktion eines Narkosegerätes zu deaktivieren, welches eine Netzwerkanbindung hatte. Er machte deutlich, dass in einigen Fällen die Sicherheitsstandards medizinischer Geräte auf die 1990er Jahre zurückgehen. Sicherheitslücken in Medizinprodukten bieten bereits seit längerem Grund zur Besorgnis: Es gab mehrfach Berichte über automatische Insulinpumpen, mit Sicherheitslücken in der Steuerungssoftware, die es einem Angreifer ermöglicht hätten, eine tödliche Dosis Insulin zu verabreichen. Gleiches gilt für Infusionspumpen, wie sie in Krankenhäusern Verwendung finden. Jedes moderne, netzwerkfähige medizinische Gerät, das heute auf den Markt kommt, hängt in Sachen Sicherheit potenziell mehrere Jahre hinterher. Einer der Gründe ist, dass Genehmigungs- und Zertifizierungsprozesse sehr lange dauern. Genehmigungen sind oft ausschließlich für die Gerätekonfiguration gültig, für die sie erteilt wurden. Je nach Beschaffenheit und Einsatzzweck des Gerätes kann jede Änderung eine neuerliche Genehmigung oder Zertifizierung erfordern.
Sicherheitslücken zu vermeiden ist kompliziert, Patchen ist schwierig
Es wäre einfach, allein dem Hersteller den schwarzen Peter zuzuschieben. Man muss sich allerdings vergegenwärtigen, dass jede Hard- oder Software, die im medizinischen Bereich eingesetzt wird, ausgiebigen Tests unterzogen wird, bevor eine Genehmigung erteilt wird. Die Vorgaben, denen die Geräte zu folgen haben, sind um so strenger, wenn ein Versagen des Produkts Gefahr für Patienten bedeutet. All die Zertifizierungsprozesse dauern mitunter Jahre und sind für die Hersteller sehr kostenintensiv. Hard- und Software für den medizinischen Bereich unterliegt auch zahlreichen Beschränkungen, was die Updatefähigkeit angeht. In manchen Fällen sind Softwareupdates und Sicherheitspatches selten, wenn sie denn überhaupt bereitgestellt werden.
Mit der Zunahme an Ransomware hat sich eine weitere überaus beunruhigende Möglichkeit ergeben: Dass Angreifer eines Tages Geld von Patienten, Kliniken oder Praxen erpressen, indem sie damit drohen, bei ausbleibender Zahlung solche lebenserhaltenden Systeme zu deaktivieren. Um dieser Herausforderung zu begegnen, gibt es eigentlich keine Alternative zu einer engen Zusammenarbeit zwischen Sicherheitsforschern und Herstellern, bei der responsible disclosure betrieben wird, um das Leben von Patienten vor den Konsequenzen von Sicherheitslücken zu schützen. Diese Zusammenarbeit sollte allerdings nicht alleine auf die Geräte selbst beschränkt werden, denn viele Geräte werden heutzutage in irgendeiner Weise an Online-Plattformen angebunden. Diese Plattformen werden am ehesten vom Kriminellen als Ziel ausgewählt oder werden anderweitig kompromittiert. Das gilt für Kinderspielzeug ebenso wie für derlei lebenserhaltende Systeme. Jedes Produkt, das auf den Markt kommt, muss einem behutsamen Bewertungsprozess durchlaufen - rechtfertigt die Praktikabilität das Risiko einer Online-Verbindung? Außerdem müssen die Zertifizierungsprozesse beschleunigt werden. Die Entwicklung im Bereich der IT-Sicherheit hat einen Grad an Schnelllebigkeit erreicht, bei dem langwierige Prozeduren hinderlich sind. Ebenso ist es von entscheidender Wichtigkeit, dass Patienten-Sicherheit bereits in der Entwicklungsphase mit bedacht wird ("security by design"). Dem obenstehenden Bericht der Forscher zur Folge hat der Hersteller genau dies an mehreren Stellen versäumt.
Die Nutzung von Sicherheitslücken in Finanzmärkten
Der vorliegende Fall hat eine weitere interessante Facette, die in zuknüftigen, ähnlich gelagerten Fällen zum Tragen kommen könnte:
Die Überprüfung der betroffenen Produkte wurde von zwei Firmen angeregt. Es handelt sich hier einerseits um das Sicherheitsunternehnmen MedSec und andererseits um Muddy Waters Capital, die nach eigener Aussage "investment research" betreiben. Mit anderen Worten, sie prüfen Zahlen, Statistiken und Produkte darauf, wie "wasserdicht" sie sind. Das Vorauswissen, welches aus der Analyse der Geräte gewonnen werden konnte, wurde mit der Absicht genutzt, bei Leerverkäufen und Termingeschäften Profit zu generieren. Wie bereits erwähnt, befand sich St. Jude Medical zum Zeitpunkt der Veröffentlichung der Ergebnisse in Übernahmeverhandlungen mit einem Volumen von 25 Milliarden US-Dollar. Lukratives Vorauswissen über Sicherheitslücken in Produkten eines Herstellers versetzt jeden, der über dieses Wissen verfügt, in die Lage über Leerverkäufe von einem Kursabfall der Unternehmensaktien nach Veröffentlichung der Ergebnisse zu profitieren. St. Jude Medical hat Klage gegen sowohl MedSec als auch Muddy Waters Capital eingereicht. Der Prozess dauert an.
Dieser Fall hat Präzedenzwirkung, da möglicherweise ein neuer "Spieler" aus dem Bereich des Börsenhandels das Feld der IT-Sicherheit betreten könnte. Es sind also Fälle denkbar, in denen Finanzexperten in Einheit mit Sicherheitsforschern eine gewinnbringende Wissenslücke schaffen wollen, mit der Absicht, durch Börsengeschäfte finanziellen Gewinn zu machen und dann ihre Ergebnisse zu publizieren. Einerseits liegt hier ein starker Anreiz für Hersteller, diese Art von Geschäften zu verhindern, indem sich effektiv die Sicherheit ihrer Produkte verbessern. Andererseits gibt hier ein nicht zu unterschätzendes ethisches Dilemma: hier wird gezielt Gewinn gemacht, auf Basis von Erkenntnissen, die für Andere unter Umständen lebensbedrohend sein können - und von denen die betroffenen Hersteller keine Kenntnis erlangen.
Sogenannte Bug Bounties sind ein Anreiz für Sicherheitsforscher, den Herstellern Sicherheitslücken vertraulich zu melden, damit diese vor Veröffentlichung der Informationen behoben werden können. Je nach Schwere einer Sicherheitslücke kann ein einzelner Bug Report dem Melder sechsstellige Beträge einbringen. Sollte sich allerdings herausstellen, dass der von MedSec und MWC verfolgte Ansatz potenziell höhere Gewinne bringt (ein Urteil steht hier noch aus), dann kann dies durchaus einen Einfluss darauf nehmen, wie Sicherheitsforscher ihre Erkenntnisse nutzen.
