Sicherheitskonzepte für IoT-Geräte
Die Medizintechnik braucht neue Security-Konzepte
Fachbeitrag | Sicherheitslücken in der Elektronik von Herzschrittmachern sind ein erhebliches Risiko für die Patienten. Dabei müssen entsprechende Sicherheitskonzepte gar nicht aufwendig sein – sofern man sich auf die besonderen Anforderungen in der Medizintechnik einlässt.
Knapp 500.000 zurückgerufene Herzschrittmacher, zwei Milliarden Dollar Börsenverlust, hunderttausende Patienten einem tödlichen Risiko ausgesetzt – das ist die Bilanz eines Security-Problems bei einem US-Hersteller. Im Jahr 2016 fanden Sicherheitsexperten in den Geräten eine potenziell tödliche Schwachstelle: Die Batterie kann durch manipulierte Zugriffe über die Funkschnittstelle so schnell entleert werden, dass der Herzschrittmacher innerhalb von drei Stunden ausfällt.
Eine zweite Lücke betraf den Heimmonitor, der als kostengünstiges Gerät zugleich auch das schwächste Glied in der Kette war. Den Sicherheitsforschern war es gelungen, die Herzschrittmacher mit handelsüblicher Hardware umzuprogrammieren und zu stören. Cybersecurity ist längst ein wichtiger Aspekt für alle implantierbaren Medizingeräte. Das sind neben Herzschrittmachern beispielsweise Insulinpumpen, aber auch externe Medizingeräte wie Dauermessgeräte.
Neue Sicherheitskonzepte für Medizingeräte
Viele Sicherheitskonzepte, die aus der Welt der IT stammen, können im IoT-Bereich generell, und speziell in der Medizintechnik, nicht eingesetzt werden. So ist unter anderem die Leistungsfähigkeit der Geräte begrenzt. Sofern überhaupt vorhanden, sind Hauptprozessoren, Speicher und Eingabe/Ausgabe limitiert. Das schließt einen großen Teil der herkömmlichen Sicherheitskonzepte von vorneherein aus. Diese nutzen üblicherweise aufwändige IT-Lösungen, die eine hohe Leistungsfähigkeit der Systeme voraussetzen. Häufig werden Angriffe auf der Basis von Datenbanken mit Angriffsmustern erkannt, die in der Medizintechnik zu viel Speicherplatz und Geräteleistung erfordern würden.
Eine weitere Herausforderung liegt in der Lebensdauer von implantierbaren Geräten. Sie ist häufig deutlich höher als in anderen Bereichen. Da die mittlere Nutzungsdauer eines Herzschrittmachers bei acht Jahren liegt, muss ein solches Gerät mindestens für diesen Zeitraum ein entsprechendes Sicherheitsniveau liefern. Die in der IT üblichen regelmäßigen Aktualisierungen von Sicherheitslösungen sind daher nicht zu verwirklichen.
Deterministische Sicherheit versiegelt den Ist-Zustand der Geräte
Diese beiden Merkmale zeigen, dass Security in der Medizintechnik, und auch in anderen Bereichen des Internet of Things, anders aussieht. Sie muss direkt bei der Konzeption der Geräte definiert werden. Ein sinnvolles Sicherheitskonzept basiert dabei auf einem Kernmerkmal, das von anderen vernetzten Geräten in verschiedenen Industriebranchen bekannt ist. Medizinische Implantate sind »deterministische Geräte«, bei denen alle Funktionen im Vorhinein bekannt sind. Deshalb kann jede vom Hersteller nicht vorgesehene Funktion oder jeder anders als vorgegeben ablaufende Verbindungsversuch als Angriff aufgefasst werden.
Karamba Security beispielsweise erreicht eine Härtung solcher Geräte durch eine Versiegelung der eingebauten Software (Firmware). Grundlage ist dabei eine Analyse des gesamten Gerätes und all seiner Funktionsaufrufe. Auch Zugriffe von außen, die über fest definierte Schnittstellen und Anschlüsse erfolgen, gehören dazu. Dadurch entsteht ein Katalog des erlaubten Geräteverhaltens. Eine Security-Anwendung auf der Basis von deterministischer Sicherheit überprüft nun alle Aktionen im und am Gerät anhand dieses Katalogs.
Befehle und Einstellwerte, die nicht vom Hersteller vorgesehen sind, werden bei laufendem Betrieb als Angriff interpretiert und blockiert. Technisch ausgedrückt überprüft die Security-Anwendung die Control Flow Integrity (CFI). Ein Beispiel: Sollte bei einem Herzschrittmacher versucht werden, Steueranweisungen einzuschleusen, die zu einer gesundheitlichen Gefährdung führen können, verhindert die Security-Anwendung die Übertragung und Ausführung.
Updates müssen weiter möglich sein
Für komplexere Geräte in der Medizintechnik sind allerdings noch weitere Maßnahmen notwendig. So besteht die Software häufig aus zahlreichen Modulen, weshalb ein sogenanntes Whitelisting erforderlich ist. Dabei enthält das Gerät eine Liste mit allen legitim ausführbaren Dateien. Wenn ein interner Prozess eine Datei startet, wird in Echtzeit überprüft, ob sie in der Whitelist vorhanden ist. Andernfalls wird die Ausführung unterbunden.
Darüber hinaus wollen auch die Hersteller ihre Geräte mit legitimen Software-Updates ausstatten, beispielsweise um Funktionen zu verbessern und zu ergänzen. Das Sicherheitskonzept muss auch diese Updates ermöglichen und dennoch die Runtime-Integrity (sprich die Integrität des Geräts während der gesamten Betriebsdauer) bewahren. Der Aktualisierungsmechanismus wird dafür um die Sicherheitsanwendung erweitert, sodass neuen Komponenten in die Liste genehmigter Anwendungen, die während des Betriebs ausgeführt werden dürfen, einfließen.
Autor: Witzgall ist Managing Director von Karamba Security in Deutschland
Schlagworte: Cybersecurity, Sicherheitskonzepte, Medizintechnik, Herzschrittmacher
Genannte Firmen: Karamba Security
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
State of Software Security Report
Gesundheitssektor reagiert besser bei…
Funktionale Sicherheit
Das Risiko funkt mit
