Security

Versäumnis Sicherheit

Stefan Adelmann erörtert im funkschau-Kommentar, wieso Hersteller in der Pflicht stehen, die bestmögliche Gerätesicherheit zu gewährleisten.

26.10.2017 Quelle: funkschau Stefan Adelmann
Kommentar - Security Bild - Stefan Adelmann
Stefan Adelmann, Chefredakteur funkschau (Quelle: funkschau)

Ein bitterer Vorgeschmack auf ein Worst-Case-Szenario: Kürzlich hat der US-amerikanische Konzern Abbott seinen Herzschrittmachern ein Update verordnet, um eine mehr als kritische Sicherheitslücke zu schließen. Immerhin bestand vor dieser Maßnahme bei etwa 465.000 Menschen die Möglichkeit, die lebenswichtigen Rhythmusgeber über eine Funkschnittstelle zu manipulieren und die Batterie vorzeitig zu leeren oder die Taktrate zu ändern. Die betroffenen Patienten mussten daraufhin zum Facharzt, um das Firmware-Update vornehmen zu lassen. Ein Gefahrenpotenzial, das kaum auszumalen ist – auch wenn dem Anbieter zuletzt kein unrechtmäßiger Zugriff bekannt war. Ein von Ransomware gesperrter Arbeitsrechner wirkt in Anbetracht dieser lebensbedrohlichen Sicherheitslücke nichtsdestotrotz wie ein Dummejungenstreich.

Eieses drastische Beispiel zeigt auf, wie sich die Cyber-Bedrohungslage im Schatten der voranschreitenden Digitalisierung und der rasanten Vernetzung weiter massiv zuspitzen wird. Eine Gefahr, der auch Anwenderunternehmen mit einem ganzheitlichen Security-Ansatz, den passenden Werkzeugen sowie der richtigen Strategie begegnen müssen. Die Verantwortung darf jedoch nicht nur aufseiten der Nutzer liegen. Der omnipräsente Aufruf vieler Sicherheitsanbieter, die Mitarbeiter zu schulen und diese als de facto erste Verteidigungslinie gegen Angriffe in Stellung zu bringen, mutet oftmals wie ein letzter Strohhalm im Kampf gegen die Cyberkriminellen an. Allem voran sind aber die Hersteller gefragt, die Cyber-Tunichtgute vom Ausschöpfen der Sicherheitslücken abzuhalten. "Es handelt sich hier um eines der bislang bestürzendsten Beispiele für die Versäumnisse vieler Hersteller bei der Absicherung ihrer medizinischen Geräte", erklärt Julian Totzek-Hallhuber, Solutions Architect bei Veracode, in Hinblick auf die jüngste Gefahrenlage von knapp einer halben Million Herzschrittmacher-Patienten. „Die Hersteller müssen dieses neue Risiko dringend adressieren und sowohl organisatorische als auch technische Sicherheitsmaßnahmen umsetzen, um ihre Geräte besser zu schützen.“ Sonst würden Gefahren für Leib und Leben der Patienten entstehen.

Die Sicherheitslücke der Herzschrittmacher zeichnet schon jetzt das Bild einer bedrohlichen Zukunft. Denn wie in der Medizintechnik eröffnen auch vernetzte Fahrzeuge oder Gebäude eine enorme Angriffsfläche für Kriminelle. So zeigte eine Studie im Zuge des Forschungsprojektes "Vernetzte IT-Sicherheit kritischer Infrastrukturen" Anfang des Jahres, dass es immer mehr Fälle von Cyber-Angriffen auf Atomkraftwerke, Wasserwerke oder Flughäfen gibt. "Auch die IT-Systeme in Autos oder die Ampelsysteme in einer Stadt können heute Ziel einer Cyberattacke sein", erklärte Projektleiter Professor Ulrich Lechner. "Rettungsdienste könnten nicht mehr fahren, Eltern nicht mehr ihre Kinder von der Schule abholen, die Versorgung mit Lebensmitteln wäre in Gefahr."

Die Zahl der potenziellen Ziele steigt kontinuierlich, während sich auch die Cyber-Kriminellen immer ausgeklügeltere Methoden erarbeiten und ihr Arsenal aufstocken. Sprich: Die Sicherheitslage wird für Unternehmen und Anwender stetig unübersichtlicher. Besonders da die IT mittlerweile in fast alle Bereiche des täglichen Lebens Einzug hält. Umso wichtiger ist es, dass sich jeder Anbieter eines vernetzten Gerätes über diese Bedrohungslage bewusst ist und die nötigen Vorkehrungen trifft. Wie es scheint, wird aber oftmals zu leichtfertig mit der Thematik umgegangen. Immerhin gehen fast täglich neue Berichte von Sicherheitslücken durch die Medien, die letztlich alle Geräteklassen betreffen können.

Gleichzeitig gilt aber, dass am Ende des Tages jedes Glied der Security-Kette Verantwortung übernehmen muss. Immerhin zeigt der Fall Equifax und der Hack von bis zu 140 Millionen Kundendaten, dass selbst wenn die Hersteller Schwachstellen schließen, auch die Anwender reagieren müssen. Immerhin soll erst eine monatelang durch das Unternehmen ungepatchte Sicherheitslücke den Zugriff auf die sensiblen Informationen möglich gemacht haben.

Security RSS Feed abonnieren