Was tun, damit Sicherheit nicht zum PR-Desaster wird

Wie würden Sie reagieren, wenn jemand Ihnen mitteilen würde, dass Ihr Produkt dermaßen gehackt werden könnte, dass es zu Todesfällen führen könnte? Diese Frage ist nicht aus der Welt gegriffen: Der Hersteller von Herzschrittmachern Medtronic wurde gewarnt und ist für 18 Monate untätig geblieben. Ist das unverantwortungsvolles Verhalten, oder ist die von den Sicherheitsforschern beschriebene Situation völlig überzogen?

Das ist nicht das erste Mal, dass solche Situationen aufgetreten sind, auch wenn es selten so direkt um Menschenleben geht. Und Anfgriffssicherheit ist heute aktueller denn je. Doch egal, was die Fakten sind: Wenn Management, Rechtsabteilung, Produktentwicklung und PR-Abteilung nicht richtig miteinander kommunizieren, dann ist die Bedrohung für die Firma unter Umständen höher als die für die Nutzer.

Die Fakten

Um den Medtronic-Fall zu verstehen, schauen wir uns zunächst den Standpunkt der zwei Parteien an:

Die Forschungsergebnisse

Die Forscher Billy Rios veröffentlichte diesen Fall mit seinem Kollegen Jonathan Butts auf der Sicherheitskonferenz Black Hat in Las Vegas. Die Forscher zeigten, dass ein Herzschrittmacher und eine Insolinpumpe der Firma mehrere Angriffspunkte zur Manipulation bieten. Dazu gehörten unter anderem unverschlüsselte HTTP-Verbindungen und im Programm verankerte, auslesbare VPN-Logindaten.

Die Forscher benachrichtigten das Unternehmen und sind nun mit den Ergebnissen an die Öffentlichkeit getreten, da die Firma innerhalb von 18 Monaten diese Schwachstellen nicht über ein Update gesichert hat.

Die Antwort von Medtronic

Medtronic hat auf die Forscher reagiert. Jedoch – laut Aussage der Forscher – sehr langsam und mit wenig Enthusiasmus. Letzen Endes kam Medtronic zu dem Ergebnis, dass „die Lücke keinen Einfluss auf das Wohl der Patienten [hat]. Daher sehe man keine Notwendigkeit, die Lücke per Update zu schließen.“

Mit mehr Detail geht Medtronic auf die Warnung in deren Security Bullet ein. Dort wird eine fachlich saubere Risikoanalyse vorgestellt. Das Ergebnis dieser ist, dass „diese Schwachstellen kein neues potenzielles Sicherheitsrisiko darstellen“. Als Begründung wird zum Beispiel darauf hingewiesen, dass die von den Forschern identifizierten Logindaten nur lesenden Zugriff zulassen. Weiterhin werden Maßnahmen empfohlen, bei denen es aber lediglich um die Handhabung geht. Zum Beispiel soll der Zugriff auf das (physikalische) Schreibgerät geschützt sein.

Wer hat Recht?

Es ist die falsche Frage sich damit auseinanderzusetzen, wer Recht hat. Dazu gibt es mehrere Gründe:

Zunächst werden harmlose Angriffspunkte häufig für weiterführende Angriffe benutzt. Allein schon lesenden Zugriff auf ein System zu haben kann der erste Schritt sein, schreibenden Zugriff zu bekommen. Wie das genau passieren könnte ist in der Regel gar nicht abzusehen. Daher sollten grundsätzlich bei Sicherheitsfragen auch als unproblematisch eingestufte Schwachstellen beseitigt werden.

Der zweite Punkt ist Haftung. Falls die Schwachstelle nun doch missbraucht werden sollte, kann dies für Medtronic teuer werden. Die Haftung wird sicherlich dadurch abgeschwächt, dass eine Risikoanalyse durchgeführt wurde. Dennoch wäre eine Sicherung der Schwachstelle bezüglich Haftungsrisiko die bessere Alternative gewesen.

Der dritte Punkt ist das Ansehen, der Ruf der Firma. Ein Fall wie dieser hat das Potential, dem Streisand-Effekt zum Opfer zu fallen. Wenn dieser Fall in der gemeinen Presse behandelt wird, werden viele Leser die Details nicht verstehen. Sie werden sich daran erinnern, dass Medtronik eine potentielle tödliche Softwareschwachstelle nicht entfernt hat.

Ethik

Ich habe ethische bewusst zurückgestellt. Es wäre zu wünschen, dass gerade im medizinischen Umfeld Firmen ethisch handeln sollten. Das ist jedoch schwer einzufordern. Dennoch wäre es wünschenswert, wenn Firmen nicht nur aus Angst vor Haftung, sondern auch aus Überzeugung sichere Produkte bauen.

Was tun?

Die Entwicklungen im Fall Medtronic deuten auf unzureichende Kommunikation innerhalb der Firma hin. Bestimmt haben die Autoren der Risikoanalyse nach bestem Wissen und Gewissen gehandelt. Es ist allerdings erstaunlich, dass die PR-Abteilung von Medtronic das so veröffentlicht hat. Es ist auch erstaunlich, dass das Management nicht ein Softwareupdate verlangt hat, das zumindest kosmetisch die Lücken abdeckt, oder wünschenswerter die Lücken in der Tiefe schließt.

Sicherheit ist Chefsache. Punkt. Twittern

Gerade der letzte Aspekt ist wichtig: In Firmen, bei denen Menschenleben auf dem Spiel stehen, muss Sicherheit Chefsache sein. Abgesehen von der Ethik macht dies auch geschäftlich Sinn. Denn Sicherheitsschwächen sind auch dann gefährlich, wenn sie noch nicht ausgenutzt wurden (PR-Desaster). Und wenn sie genutzt werden, kann es das Ende der Firma bedeuten.

Dieser Artikel erschien zuerst bei se-trends.de.