Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert.
Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2!
Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar.
Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.
Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.
Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: info@8com.de