„Bei Hacking-Risiken oder Sicherheitslücken fragen Sie bitte Ihren Arzt oder Apotheker“

“¦in etwa diese Maßnahme empfahl am 29. August der Medizingerätehersteller Abbott etwa 745 000 Patienten weltweit, die sich im Krankenhaus nun ein Software-Update für ihren Herzschrittmacher aufspielen lassen müssen. Das Update soll eine Sicherheitslücke in der Systemsoftware schließen, die Hacker per Funk ausnutzen und damit potentiell den Tod von Patienten verursachen können.

In Deutschland sind etwa 13 000 Patienten betroffen. “Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist”, sagte eine Sprecherin des Unternehmens Spiegel Online

Regelmäßige Software-Updates zum Schließen von Sicherheitslücken (“šPatching”˜) ist den meisten Computernutzern nur von ihren Desktop-Computern bekannt. Im Zeitalter des “šInternet der Dinge”˜ aber wird Patching unabdinglich für die Instandhaltung kritischer Infrastrukturen, zum Beispiel medizinischer Systeme, Autos oder Industrieanlagen, sein.

Software-Updates lassen sich jedoch nicht so einfach auf Herzschrittmacher oder Industriesysteme aufspielen wie auf Desktop-Computer. Das liegt auch daran, dass Updates selbst ein Sicherheitsrisiko für Systeme darstellen können. Updates bedeuten einen Eingriff in ein System, der potentiell unvorhergesehene Interaktionen mit der Gebrauchsumgebung bis hin zum System-Crash herbeiführen kann. Ein kritisches Update muss daher vor seinem Einsatz in der Gebrauchsumgebung getestet werden. Außerdem muss der Hersteller eines Updates sicherstellen, dass dieses nicht manipulierbar und über einen sicheren Kanal aufspielbar ist. Hinzu kommt, dass viele Gerätehersteller Software in ihre Systeme einbauen, die sie nicht selbst entwickeln, sondern von dritten Anbietern einkaufen. Wird also eine Lücke im Gerät bekannt, muss nicht nur der Gerätehersteller, sondern auch der oder die Hersteller der Subsysteme das Problem beheben.

Fast sechs Wochen nach der Veröffentlichung des Softwareupdates für die Sicherheitslücken in betroffenen Abbott-Herzschrittmachern ist das Update in Deutschland noch nicht verfügbar. Der Grund: es muss noch von einer “šBenannten Stelle”˜ zertifiziert werden, bevor es für Ärzte und Patienten verwendbar ist. (Benannte Stellen sind von einer nationalen Behörde akkreditierte Unternehmen, welche Medizinprodukte vor deren Inverkehrbringen prüfen und zertifizieren.) In der Zwischenzeit müssen die etwa 13 000 deutschen Patienten mit dem Wissen leben, dass sich in ihrem Herzschrittmacher eine kritische Sicherheitslücke befindet. Auch wenn bisher noch niemand durch einen Hacking-Angriff gegen den Herzschrittmacher getötet wurde, haben verschiedene IT-Sicherheitsexperten seit zehn Jahren wiederholt gezeigt, dass dies theoretisch möglich ist.

Langfristig wird dieser Zustand allein logistisch nur schwer haltbar sein. Herzschrittmacher, Insulinpumpen und auch Geräte in Krankenhäusern, die lebenswichtige Funktionen haben, können nicht im Monatsrhythmus ge-updated und Patienten und Ärzte zur entsprechenden Durchführung verpflichtet werden. Um Sicherheitsrisiken sowie die Anzahl nötiger Updates so weit wie möglich zu minimieren, müssen Hersteller ihre Geräte von der frühesten Entwicklungsphase an sicher bauen; vertrauenswürdige, sicherheits-zertifizierte Software einsetzen; Konnektivität der Geräte auf ein Minimum reduzieren; und gesundheitskritische Komponenten des Systems von anderen, potenziell sicherheitsanfälligen Komponenten innerhalb des System trennen. Außerdem sollten Hersteller Verfahren für das Melden und verantwortungsvolle Handhaben von Schwachstellen (“vulnerability reporting) etablieren und Informationen mit anderen Herstellern, Gesundheitsorganisationen und Informationsaustauschorganisationen teilen.   

Mit der neuen Medizingeräteverordnung der Europäischen Union, welche im Mai 2017 in Kraft trat, ist das Einhalten von IT-Sicherheitsstandards für Hersteller von Medizingeräten nun auch explizit gesetzlich verbindlich. Einheitliche technische Standards zur Umsetzung jener gesetzlichen Anforderungen, die auch zur Überprüfung der IT-Sicherheit in Medizingeräten dienen können, fehlen jedoch. Etablierte Standards für funktionale Sicherheit und Leistungsfähigkeit von Medizingeräten lassen sich nicht ohne weiteres auf IT-Sicherheit übertragen und vice versa. Bis es diese gibt, werden Hersteller und Zertifizierungsstellen eigene Entwicklungs- und Prüfverfahren entwickeln müssen. Einheitliche europäische oder internationale Mindeststandards sind hier jedoch vorzuziehen, da ansonsten eine Fragmentierung von Sicherheitsanforderungen und steigende Transaktionskosten für Hersteller drohen. Das vorgeschlagene EU Cybersecurity Certification Framework (siehe DSI Blogpost vom 25.09.2017) könnte hierfür als Grundlage dienen.