Skip to content

Internet der Dinge

Gehackte Herzschrittmacher

Share article

Wenn ĂŒber den Toaster Kontodaten mitgelesen, Autos in einen See manövriert oder Herzschrittmacher manipuliert werden, kann dies Biografien zerstören oder gar Menschenleben kosten. Erst im vergangenen September gab es einen Hackerangriff auf das UniversitĂ€tsklinikum DĂŒsseldorf. Die Angreifer verschlĂŒsselten mehrere Server und hinterließen ein Erpresserschreiben. Das Krankenhaus erließ einen Aufnahmestopp von Neupatienten, bis die Situation aufgeklĂ€rt war. Eine Patientin, die dringend versorgt werden musste, musste 25 Kilometer in ein Krankenhaus nach Wuppertal gefahren werden. Sie verstarb kurze Zeit spĂ€ter. Die Verzögerung kostete sie das Leben.

Bei dem sogenannten Internet der Dinge (»Internet of things«, IoT) handelt es sich um ein Netzwerk unterschiedlicher GerĂ€te und Technologien, die ĂŒber eine Software miteinander kommunizieren können – zum Beispiel ĂŒber das Internet. Aktuell sind circa 27 Milliarden IoT-Geräte weltweit in Benutzung. SchĂ€tzungen gehen fĂŒr das Jahr 2030 von einem Anstieg auf 50 bis 80 Milliarden Geräte teils sehr weit auseinander. Mittlerweile sind sie aus unserem Alltag kaum mehr wegzudenken. Dass Handys permanent mit dem Internet verbunden sind, kennt man schon lĂ€nger, auch dass man sie deshalb Smartphones nennt. Doch die Zahl vernetzter GerĂ€te (»Smart Devices«) in unserem Alltag nimmt stetig zu: KĂŒchenmaschinen, KĂŒhlschrĂ€nke, Fernseher, Autos – die Liste ist lang.

98 Prozent des Netzverkehrs läuft unverschlüsselt ab

Experten schĂ€tzen die Sicherheit dieser GerĂ€te allerdings als zu gering ein – erst im Sommer verkaufte Aldi eine KĂŒchenmaschine, in die ĂŒberhaupt keine Sicherheitsvorkehrungen eingebaut waren. Einem Forschungsteam gelang es, ĂŒber das WLAN auf das Smart Device zuzugreifen und es zu manipulieren. Außenstehende können so das GerĂ€t steuern und Einstellungen verĂ€ndern. IoT-GerĂ€te sind deshalb ein beliebtes Angriffsziel von Hackern. Es gab in den letzten Jahren zahlreiche FĂ€lle, die zu denken geben: gehackte Türschlösser etwa oder ein Auto, das aus der Ferne beschleunigt, verlangsamt und sogar von der Straße gebracht werden konnte. Bei einem globalen Angriff auf mindestens 500.000 GerĂ€te aus Privathaushalten gleichzeitig wurden ganze Webseiten fĂŒr Stunden lahmgelegt. Nicht irgendwelche: Darunter waren Netflix, Twitter und Reddit.

Das Problem dabei ist, dass die eingebauten Sicherheitsstandards dieser Smart Devices meist sehr niedrig sind und Hacker leichtes Spiel haben, in diese einzudringen. Ein internationales Forscherteam untersuchte in einer aktuellen Studie die Sicherheit von IoT-GerĂ€ten. Ergebnis: HĂ€ufig halten sich die Hersteller nicht an internationale Sicherheitsstandards. ZusĂ€tzlich mangele es vielen Nutzern an Wissen und einem angemessenem Bewusstsein fĂŒr die Gefahren dieser noch sehr neuen Produkte. Dass viele mittlerweile eine echte E-Mail von Computerviren ĂŒbertragendem Spam unterscheiden können, ist zwar gut, doch sind sich die meisten gar nicht ĂŒber die kreativen Möglichkeiten von Hackern im Klaren, SicherheitslĂŒcken des IoT fĂŒr ihre Zwecke auszunutzen. Ein erhebliches Problem sind den Forschern zufolge aber auch mangelnde Sicherheitsupdates. Der Druck, das Produkt möglichst schnell auf den Markt zu bringen, spielt dabei eine entscheidende Rolle. Die allgemeine FunktionalitĂ€t der Smart Devices hat oft Vorrang gegenĂŒber der Sicherheit. Es bestehe die Gefahr, die GerĂ€te mit Schadsoftware zu infizieren. Dabei stehlen die Angreifer hĂ€ufig gespeicherte, personenbezogene Daten oder verschlĂŒsseln diese, um die Besitzer mit ihren Daten um Lösegeld zu erpressen.

Die »Unit 42«, ein Forscherteam des IT-Sicherheitsunternehmens Palo Alto Networks, prĂŒfte mehr als 1,2 Millionen IoT-GerĂ€te von Unternehmen verschiedener Branchen in den USA auf ihre Sicherheit. Die Ergebnisse sind ernĂŒchternd: 98 Prozent des IoT-Netzverkehrs laufe unverschlĂŒsselt ab, persönliche Daten seien damit gefährdet.

Google, IBM und Facebook setzen sich für schwächere Datenschutzgesetze ein

Markus Beckedahl, Chefredakteur der Nachrichtenwebsite fĂŒr digitale Themen Netzpolitik.org, erklĂ€rte im GesprĂ€ch mit KATAPULT, warum so wenig Einsatz bei der Integration von angemessenen Sicherheitsstandards gezeigt wird. Es gehe im GeschĂ€ft mit Smart Devices um viel Geld. Es fehlten aber stĂ€rkere, verbindliche Standards, um Zertifizierungen etwa vom TÜV zu erhalten. Bei einer Zertifizierung wird ĂŒberprĂŒft, ob ein Produkt bestimmten Anforderungen entspricht. Diese seien nur ĂŒber einen »entsprechenden Investitionsrahmen zu schaffen«, wodurch dann zwar weniger, dafĂŒr aber sicherere Produkte auf den Markt kĂ€men. Es gebe laut Beckedahl konkurrierende Lobbys, die sich darum streiten, ob Sicherheitsstandards eher hoch oder niedrig sein sollten. So könne es vorkommen, dass bereits zum Verkaufsstart eines GerĂ€tes dieses keine Sicherheitsupdates mehr erhĂ€lt. Die Hersteller seien gar nicht verpflichtet, im Rahmen der 24-monatigen GewĂ€hrleistungsfrist fĂŒr entsprechende Updates zu sorgen. Die großen Techkonzerne und VerbĂ€nde wie der Zentralverband Elektrotechnik- und Elektronikindustrie setzen sich hierbei fĂŒr niedrigere Standards ein, kleine Verbraucherorganisationen wie der Bundesverband der Verbraucherzentralen (VZBV) fĂŒr eher strengere Regeln. Als die EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 in Kraft trat, erklĂ€rten sich die großen Player wie Apple und Microsoft bereit, die Standards weltweit einzufĂŒhren. Gleichzeitig setzten sich aber große Technologiekonzerne, darunter Google, IBM und Facebook, ĂŒber Lobbyarbeit in den USA fĂŒr schwĂ€chere Datenschutzgesetze auf nationaler Ebene ein.

Beckedahl empfiehlt, dass Hersteller fĂŒr die durchschnittliche Lebenszeit dieser GerĂ€te zu Updates verpflichtet werden. Eine Kaffeemaschine habe eine durchschnittliche Lebenszeit von circa fĂŒnf Jahren. Sofern der Hersteller zur Bereitstellung der Updates nicht in der Lage ist oder diese nicht bereitstellen möchte, bestehe auch die Möglichkeit, die Software der GerĂ€te »als Open-Source zur VerfĂŒgung [zu] stellen«, sie also öffentlich zugĂ€nglich zu machen. Damit könnten private Entwickler auf den Quellcode der Programme zugreifen und SicherheitslĂŒcken fĂŒr andere Nutzer schließen.

83 Prozent der medizinischen Geräte mit veralteter Software

IoT-GerĂ€te werden auch zunehmend im Gesundheitsbereich eingesetzt, die QualitĂ€t der Versorgung kann damit erheblich steigen. FĂŒr die hĂ€usliche Versorgung, aber auch im klinischen Umfeld ergeben sich dadurch neue Möglichkeiten: PflegebedĂŒrftige können mithilfe von Kameras und Sensoren im eigenen Zuhause ĂŒberwacht werden, was in der stationĂ€ren Patientenversorgung erhebliche Kosten einspare, so Karolina Lange, RechtsanwĂ€ltin fĂŒr Medizinrecht, und ihr wissenschaftlicher Mitarbeiter Jonas Bördner. Ihnen zufolge ĂŒbernehmen kĂŒnftig Smart Devices die Erhebung von Langzeit-EKGs. Damit gehen allerdings Gefahren einher. Gesundheitsbezogene Daten sind sehr wertvoll, Cyberangriffe zielen tĂ€glich darauf ab, diese zu stehlen und damit ErpressungsgeschĂ€fte zu betreiben. Erst im Oktober ereignete sich in Finnland ein Fall, bei dem Hacker psychotherapeutische Behandlungsdaten stahlen. Dabei handelte es sich um »Tagebücher, Diagnosen, Notizen aus Therapiegesprächen und Kontaktinformationen«. Patientendaten sind im Darknet mittlerweile lukrativer als Passwörter und Kreditkartendaten.

Neben den Daten kann aber auch die Gesundheit selbst bedroht sein. So gab es in den USA einen Fall von manipulierbaren Herzschrittmachern und Insulinpumpen der Firma Medtronic. Hacker hatten den Hersteller zwar 2017 auf die SicherheitslĂŒcken der Apparate hingewiesen. Dieser bemĂŒhte sich allerdings nicht, sie zu schließen. In Europa unterliegen medizinische GerĂ€te seit 2017 den strengeren Vorschriften der EU-Medizinprodukteverordnung (MDR). Sie ersetzt zwei Ă€ltere Regelungen, die derzeit noch fĂŒr Produkte, die bereits auf dem Markt sind, ĂŒbergangsweise bis Mai 2021 gelten. SpĂ€testens dann mĂŒssen Hersteller sich an die strengeren Bestimmungen halten. Zu den Neuerungen zĂ€hlen etwa ein zusĂ€tzliches Kontrollverfahren fĂŒr Medizinprodukte mit hohem Risiko durch ein Expertengremium oder die EinfĂŒhrung einer eindeutigen Produktnummer, um GerĂ€te besser zurĂŒckverfolgen zu können. Außerdem sollen zukĂŒnftig bereits kleinere MĂ€ngel meldepflichtig sein, zuvor mussten lediglich lebensgefĂ€hrliche Fehlfunktionen dokumentiert werden. Neu ist zudem, dass die europĂ€ische Datenbank fĂŒr Medizinprodukte teilweise öffentlich zugĂ€nglich gemacht werden soll. Übrigens gelten diese Regelungen mitunter ebenso fĂŒr Hersteller von Software, denn rechtlich gesehen kann auch ein Programm ein Medizinprodukt sein, wenn es medizinischen Zwecken dient.

Die erwĂ€hnte Studie der Unit 42 befasste sich auch mit der Sicherheit von IoT im Gesundheitswesen. Ihr zufolge liefen im Jahr 2019 83 Prozent der medizinischen GerĂ€te auf veralteter Software, was im Vergleich zum Vorjahr einen Anstieg von 56 Prozent bedeutet. Dieser hohe Wert ist zum Teil darauf zurĂŒckzufĂŒhren, dass auf vielen Smart Devices Betriebssysteme wie Windows 7 installiert sind, die keine Updates mehr erhalten. Alte, seit Jahren geschlossene SicherheitslĂŒcken erfahren damit bei Hackern ein Comeback, da sie auf den veralteten Systemen wieder ausgenutzt werden können. Problematisch sei zudem, dass in 72 Prozent der Netzwerke im Gesundheitswesen IoT und andere Computer miteinander verbunden sind, anstatt sie als getrennte Netze zu betreiben. Dadurch kann sich Schadsoftware von einfachen PCs auf empfindliche medizinische Geräte übertragen. Etwas mehr als die HĂ€lfte aller Bedrohungen im Gesundheitssektor betreffen bildgebende GerĂ€te, also beispielsweise CT-, MRT- und Röntgengeräte.

Staatlichen Prüfern fehlt Know-how

Susanne Mauersberg, Gesundheitsreferentin des VZBV, erklĂ€rt gegenĂŒber KATAPULT, dass auch hier vielfach das Wissen um eine angemessene Cybersicherheit fehle. In der Vergangenheit sei es schlicht nicht notwendig gewesen, dass KrankenhĂ€user offene SicherheitslĂŒcken, beispielsweise durch frei verfĂŒgbares WLAN, in ihr Gesamtsicherheitskonzept einplanten. Entlang der neuen Technologien und Risiken habe bislang niemand angemessene Sicherheitsstrategien entworfen, auch weil bezahlbares Personal mit entsprechendem Know-how fehle. ZukĂŒnftig mĂŒssten sich Verbraucher darauf einstellen, nicht immer vollstĂ€ndig ĂŒberprĂŒfte und sichere Produkte zu erhalten. Warum? Weil es wichtig sei, zu begreifen, dass man in einer digitalisierten Welt mit SicherheitslĂŒcken lebe. Die Technik entwickle sich so rasant, dass Regulierungen stets hinterherhinken. Deshalb mĂŒsse sich die Bevölkerung selbst »eine gewisse Fachexpertise« aneignen, mahnt Mauersberg.

Da der Gesundheitsbereich in Deutschland zu den sogenannten kritischen Infrastrukturen zĂ€hlt – in Coronazeiten wĂŒrde man auch »systemrelevant« sagen –, unterliegt er verstĂ€rkten Kontrollen. Das bedeutet, er muss höchsten Sicherheitsstandards genĂŒgen. Verantwortlich dafĂŒr ist die Gematik, die Gesellschaft fĂŒr Telematikanwendungen der Gesundheitskarte, deren Mehrheitsgesellschafter das Bundesgesundheitsministerium ist. Laut Susanne Mauersberg sind bislang jedoch noch nicht alle Gesundheitsbetriebe an diese Infrastruktur angeschlossen. Wenn neue Produkte auf den Markt kommen, die durch Hackerangriffe gefĂ€hrdet sein könnten, zeigt sich, dass sowohl staatlichen PrĂŒfern als auch den Kontrollstellen der Hersteller mitunter das nötige Know-how fehlt, um die Produkte hinreichend auf ihre Datensicherheit ĂŒberprĂŒfen zu können. Erst kĂŒrzlich gab es den Fall, dass das Bundesinstitut fĂŒr Arzneimittel und Medizinprodukte eine App ĂŒberprĂŒfte und freigab, obwohl sie mehrere SicherheitslĂŒcken aufwies. So sendete die App »Velibra«, die Patienten mit Angst- und Panikstörungen helfen soll, etwa unerlaubt Daten in die USA. Außerdem wurde Nutzern bei der Registrierung mitgeteilt, wenn eine E-Mail-Adresse schon vergeben war. Somit hĂ€tte jemand leicht herausfinden können, wer als Nutzer der App unter einer Angst- oder Panikstörung leidet. Datensicherheit habe bislang bei der Zertifizierung von Medizinprodukten ĂŒberhaupt keine Rolle gespielt. Die Lösung, so Mauersberg weiter, liege auch nicht darin, unbedingt strengere Standards zu schaffen. Viel eher mĂŒsse man aus dem alten, kleinteiligen Denkmuster herauskommen, einheitliche Standards schaffen zu wollen, weil es ohnehin schon viel zu viele widersprĂŒchliche Regelungen gebe.

Lautet die Lösung fĂŒr das Sicherheitsproblem vernetzter GerĂ€te also weniger Kontrolle und mehr Eigenverantwortung der Endnutzer? TatsĂ€chlich sieht es so aus, als gebe es kein Patentrezept. Bei medizinischen GerĂ€ten wĂ€re weniger Kontrolle natĂŒrlich fahrlĂ€ssig. Das fordert aber auch niemand und ist nicht die Praxis. Im Vergleich zu IoT-Produkten vom Massenmarkt, die der Endnutzer etwa im ElektronikgeschĂ€ft seines Vertrauens erwerben kann, werden medizinische IoT-GerĂ€te wesentlich strenger kontrolliert. Dass auch hier Gefahren ĂŒbersehen oder SicherheitslĂŒcken entstehen können, gehört zur Schnelllebigkeit des Hightechbereichs. Ein grĂ¶ĂŸeres Risikobewusstsein der Bevölkerung ist daher unerlĂ€sslich fĂŒr einen angemessenen und kritischen Umgang mit Smart Devices. Wenn etwa durch Fremdeingriff der Thermostat nicht anspringt, der Fernseher einen auf der Couch liegend ausspĂ€ht oder im absurdesten Fall das smarte Sexspielzeug dafĂŒr sorgt, dass der Penis im elektronischen KeuschheitsgĂŒrtel eingesperrt bleibt, ist das keine Science-Fiction.

Aktuelle Ausgabe

Dieser Text erschien in der 20. Ausgabe von KATAPULT. UnterstĂŒtzen Sie unsere Arbeit und abonnieren Sie das gedruckte Magazin fĂŒr nur 19,90 Euro im Jahr.

KATAPULT abonnieren

Footnotes

  1. Ministerium der Justiz Nordrhein-Westfalen (Hg.): 63. Sitzung des Rechtsausschusses des Landtags Nordrhein-Westfalen am 23.09.2020. Schriftlicher Bericht zu dem TOP: »Stand des Ermittlungsverfahrens zum Cyberangriff auf die Uniklinik DĂŒsseldorf«, Vorlage 17/3855, DĂŒsseldorf 2020. ↩
  2. Tawalbeh, Lo’ai u.a.: IoT Privacy and Security: Challenges and Solutions, S. 1, in: Applied Sciences, (10)2020, Nr. 12, S. 1. ↩
  3. TomĂĄs, Juan P.: Global IoT connections to reach 50 billion by 2030: study, auf: enterpriseiotinsights.com (20.5.2019). ↩
  4. Anand, Pooja u.a.: IoVT: Internet of Vulnerable Things? Threat Architecture, Attack Surfaces, and Vulnerabilities in Internet of Things and Its Applications towards Smart Grids, in: Energies, (13)2020, Nr. 18, S. 3. ↩
  5. O.A.: SicherheitslĂŒcke: Hofer KĂŒchengerĂ€t kann ĂŒber WLAN-Funktion gehackt werden, auf: derstandard.de (8.8.2020). ↩
  6. Samsel, Haley: Major Security Vulnerabilities in Smart Home Devices Could Allow Hackers to Unlock Doors, auf: securitytoday.com (5.7.2019). ↩
  7. Dunlap, Terry: The 5 Worst Examples of IoT Hacking and Vulnerabilities in Recorded History, auf: iotforall.com (20.6.2020). ↩
  8. Rhebo (Hg.): Glossar: IoT Reaper, auf: rhebo.com. ↩
  9. Kagita, Mohan K. u.a.: A Detail Study of Security and Privacy issues of Internet of Things, in: International Journal of Advanced Networking Applications, 2015, S. 6. ↩
  10. Ebd., S. 7. ↩
  11. Palo Alto Networks (Hg.): 2020 Unit 42 IoT Threat Report, Santa Clara 2020, S. 3. ↩
  12. Telefonat mit Markus Beckedahl vom 30.10.2020. ↩
  13. O.A.: GDPR USA: Why tech industry now lobbying against consumer privacy, auf: internet
    ofbusiness.com. ↩
  14. Lange, Karolina; Bördner, Jonas: Wenn die Klinik-IT gehackt wird, in: OrthopĂ€die & Rheuma, (22)2019, Nr. 3, S. 54f. ↩
  15. Urbanek, Margarethe: Nach Hackerangriff in Finnland – Psychotherapeuten kritisieren ePA, auf: aerztezeitung.de (28.10.2020). ↩
  16. O.A.: KriminalitĂ€t: Patientendaten werden im Darknet höher gehandelt als Kreditkarteninformationen, auf: arzt-wirtschaft.de (8.12.2019). ↩
  17. Ries, Uli: Möchten Sie sterben? Malware gegen Herzschrittmacher lĂ€sst Hersteller kalt, auf: heise.de (10.8.2018). ↩
  18. Bundesministerium fĂŒr Gesundheit (Hg.): Medizinprodukte. Neue EU-Verordnungen, auf: bundesgesundheitsministerium.de (21.8.2020); Schlötelburg, Cord: Medizinische Software: Klassifizierung und Zulassung als Medizinprodukt, auf: meso.vde.com (19.7.2020). ↩
  19. Palo Alto Networks 2020, S. 4. ↩
  20. Ebd., S. 7. ↩
  21. Ebd., S. 3. ↩
  22. Telefonat mit Susanne Mauersberg vom 5.11.2020. ↩
  23. SchĂ€fer, Jan: Datenschutz: SicherheitslĂŒcke in Gesundheitsapp, auf: e-recht24.de (16.10.2020). ↩

Authors

Alexander FĂŒrniß
KATAPULT-Redakteur

Latest Articles

Wie Geschäftsleute den Kolonialismus ermöglichten – und heute noch davon profitieren

»Deutsche Schutzgebiete«, wie die deutschen Kolonien hießen, gibt es seit gut 100 Jahren nicht mehr. Einige der Handelsunternehmen von damals jedoch schon. Kaufmänner trieben die Ausbeutung in Übersee voran und profitierten davon. Und: Die Firmen und ihre Erben stehen immer noch gut da.

Arbeitskosten pro Stunde

Es gibt riesige Unterschiede bei den Kosten für eine Stunde Arbeit zwischen verschiedenen europäischen Ländern.

Sichere Häfen für multinationale Konzerne

Geht es nach den USA, sollen zukünftig multinationale Konzerne weltweit einen Mindeststeuersatz zahlen. Europa will ebenfalls härter gegen die internationale Steuervermeidung vorgehen, bleibt aber Teil des Problems.