Versäumnis Sicherheit

Stefan Adelmann erörtert im funkschau-Kommentar, wieso Hersteller in der Pflicht stehen, die bestmögliche Gerätesicherheit zu gewährleisten.

Ein bitterer Vorgeschmack auf ein Worst-Case-Szenario: Kürzlich hat der US-amerikanische Konzern Abbott seinen Herzschrittmachern ein Update verordnet, um eine mehr als kritische Sicherheitslücke zu schließen. Immerhin bestand vor dieser Maßnahme bei etwa 465.000 Menschen die Möglichkeit, die lebenswichtigen Rhythmusgeber über eine Funkschnittstelle zu manipulieren und die Batterie vorzeitig zu leeren oder die Taktrate zu ändern. Die betroffenen Patienten mussten daraufhin zum Facharzt, um das Firmware-Update vornehmen zu lassen. Ein Gefahrenpotenzial, das kaum auszumalen ist – auch wenn dem Anbieter zuletzt kein unrechtmäßiger Zugriff bekannt war. Ein von Ransomware gesperrter Arbeitsrechner wirkt in Anbetracht dieser lebensbedrohlichen Sicherheitslücke nichtsdestotrotz wie ein Dummejungenstreich.

Eieses drastische Beispiel zeigt auf, wie sich die Cyber-Bedrohungslage im Schatten der voranschreitenden Digitalisierung und der rasanten Vernetzung weiter massiv zuspitzen wird. Eine Gefahr, der auch Anwenderunternehmen mit einem ganzheitlichen Security-Ansatz, den passenden Werkzeugen sowie der richtigen Strategie begegnen müssen. Die Verantwortung darf jedoch nicht nur aufseiten der Nutzer liegen. Der omnipräsente Aufruf vieler Sicherheitsanbieter, die Mitarbeiter zu schulen und diese als de facto erste Verteidigungslinie gegen Angriffe in Stellung zu bringen, mutet oftmals wie ein letzter Strohhalm im Kampf gegen die Cyberkriminellen an. Allem voran sind aber die Hersteller gefragt, die Cyber-Tunichtgute vom Ausschöpfen der Sicherheitslücken abzuhalten. „Es handelt sich hier um eines der bislang bestürzendsten Beispiele für die Versäumnisse vieler Hersteller bei der Absicherung ihrer medizinischen Geräte“, erklärt Julian Totzek-Hallhuber, Solutions Architect bei Veracode, in Hinblick auf die jüngste Gefahrenlage von knapp einer halben Million Herzschrittmacher-Patienten. „Die Hersteller müssen dieses neue Risiko dringend adressieren und sowohl organisatorische als auch technische Sicherheitsmaßnahmen umsetzen, um ihre Geräte besser zu schützen.“ Sonst würden Gefahren für Leib und Leben der Patienten entstehen.

Die Sicherheitslücke der Herzschrittmacher zeichnet schon jetzt das Bild einer bedrohlichen Zukunft. Denn wie in der Medizintechnik eröffnen auch vernetzte Fahrzeuge oder Gebäude eine enorme Angriffsfläche für Kriminelle. So zeigte eine Studie im Zuge des Forschungsprojektes „Vernetzte IT-Sicherheit kritischer Infrastrukturen“ Anfang des Jahres, dass es immer mehr Fälle von Cyber-Angriffen auf Atomkraftwerke, Wasserwerke oder Flughäfen gibt. „Auch die IT-Systeme in Autos oder die Ampelsysteme in einer Stadt können heute Ziel einer Cyberattacke sein“, erklärte Projektleiter Professor Ulrich Lechner. „Rettungsdienste könnten nicht mehr fahren, Eltern nicht mehr ihre Kinder von der Schule abholen, die Versorgung mit Lebensmitteln wäre in Gefahr.“

Die Zahl der potenziellen Ziele steigt kontinuierlich, während sich auch die Cyber-Kriminellen immer ausgeklügeltere Methoden erarbeiten und ihr Arsenal aufstocken. Sprich: Die Sicherheitslage wird für Unternehmen und Anwender stetig unübersichtlicher. Besonders da die IT mittlerweile in fast alle Bereiche des täglichen Lebens Einzug hält. Umso wichtiger ist es, dass sich jeder Anbieter eines vernetzten Gerätes über diese Bedrohungslage bewusst ist und die nötigen Vorkehrungen trifft. Wie es scheint, wird aber oftmals zu leichtfertig mit der Thematik umgegangen. Immerhin gehen fast täglich neue Berichte von Sicherheitslücken durch die Medien, die letztlich alle Geräteklassen betreffen können.

Gleichzeitig gilt aber, dass am Ende des Tages jedes Glied der Security-Kette Verantwortung übernehmen muss. Immerhin zeigt der Fall Equifax und der Hack von bis zu 140 Millionen Kundendaten, dass selbst wenn die Hersteller Schwachstellen schließen, auch die Anwender reagieren müssen. Immerhin soll erst eine monatelang durch das Unternehmen ungepatchte Sicherheitslücke den Zugriff auf die sensiblen Informationen möglich gemacht haben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler