#BBA18 ohne Cloud muss die Freiheit wohl grenzenlos sein

In der Kategorie "Business und Finanzen" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

Medtronic

Herzschrittmacher brauchen Firmware-Update

  • Wer kennt sie nicht - immer öfter werden Produkte wegen versteckter Mängel oder weil man erst später Fehler im Produktdesign erkennt, zurückgerufen. Von Kindernahrung, Spielzeug und zuletzt vermehrt Automobile. So eine Maßnahme ist immer mit Kosten und Prestigeverlust verbunden, und jeder von uns hofft, dass so ein Rückruf, wenn er schon notwendig ist, einen erreicht bevor etwas passiert.
    Im IT-Umfeld sind Hacker-Konferenzen wie die Black Hat in Las Vegas gefürchtet, weil dort die Lücken öffentlich angeprangert werden die sich in diversen Produkten verstecken. Hacker haben einen anderen Blick auf Hard- und Software und finden so oft Lücken die dem Qualitätsmanagement verborgen geblieben sind. Zumeist erfolgt durch die Hacker eine mehrmonatige Vorwarnung, um den Firmen die Zeit zu geben die Lücken zu schließen bevor sie öffentlich bekannt werden.
    Im August 2017 warnte die US Food and Drug Administration vor einer Software-Lücke bei Herzschrittmachern. Patienten sollen für ein Firmware-Update ihren Arzt aufsuchen.
    Ein Jahr später gibt es immer noch Herzschrittmacher mit Problemen. 18 Monate lang haben Hacker versucht die Firma auf die Problematik dieser Schwachstelle hinzuweisen, um immer noch zu hören, das nichts passiert weil man das Risiko als gering einschätzt.

    Der Hersteller wurde vor 18 Monaten informiert, will aber dennoch kein Update liefern. Wie Medtronic mitteilte, habe die Lücke keinen Einfluss auf das Wohl der Patienten. Daher sehe man keine Notwendigkeit, die Lücke per Update zu schließen. Das motivierte Rios und Butts letztendlich dazu, die Schwachstellen dennoch öffentlich zu machen. "Genug ist genug", sagte Rios.
  • Quellen:
    • [AGES]:Produktwarnungen & Produktrückrufe
    • [Sozialministerium]: Gefährliche Produkte und Rückrufe
      Wenn Unternehmen erkennen, dass ein von ihnen vertriebenes Produkt gefährlich ist, müssen sie geeignete Korrekturmaßnahmen setzen. Oft wird ein Rückruf durchgeführt – Verbraucher und Verbraucherinnen werden also aufgefordert ein bereits geliefertes Produkt zurückzugeben. Rückrufe müssen den zuständigen Behörden gemeldet werden.
    • [ÖAMTC]: Rückrufaktionen
    • [blackhat]: Understanding and Exploiting Implanted Medical Devices
      This presentation is the culmination of an 18-month independent case study in implanted medical devices. The presenters will provide detailed technical findings on remote exploitation of a pacemaker systems, pacemaker infrastructure, and a neurostimulator system. Exploitation of these vulnerabilities allow for the disruption of therapy as well as the ability to execute shocks to a patient.
      The researchers followed coordinated disclosure policies in an attempt to help mitigate the security concerns. What followed was an 18-month roller coaster of unresponsiveness, technical inefficiencies and misleading reactions.
    • [futurezone]: Hacker steuern Herzschrittmacher, Hersteller verweigert Update
      Sicherheitsforscher zeigen auf der Black Hat, wie sie einen Herzschrittmacher aus der Ferne beeinflussen können. Die Hersteller-Firma spricht von "geringem Risiko".
      Diese demonstrieren dort in einem Vortrag namens „Verstehen und Kapital schlagen aus implantierten Medizingeräten“ wie man Sicherheitslücken in derartigen Geräten ausnutzen kann, um das Leben von Menschen aufs Spiel zu setzen. „Könnten Sie damit jemanden umbringen?“, fragt der BBC-Redakteur den Sicherheitsforscher Billy Rios von der Firma Whitescope vor seinem Talk. Dieser sitzt dabei vor seinem Laptop und einer Maschine, die Medizingeräte wie Insulinpumpen oder Herzschrittmacher bei Patienten steuern kann und antwortet mit: „Ja.“
      Die BBC hat die betroffene Firma, die die Herzschrittmacher und kompromittierbaren Maschinen herstellt, kontaktiert und nachgefragt. Medtronic antwortete, dass es sich dabei um eine „geringe Gefahr“ handle. „Alle Geräte tragen ein damit verbundenes Risiko mit sich, und wir streben kontinuierlich an, die Balance zwischen Risiko und Nutzen unserer Geräte zu gewährleisten“, lautete die Stellungnahme von Medtronic, die dazu auch eine Pressemitteilung verfasst haben, wo sie ebenfalls von einem "geringen Risiko" sprechen.
    • [BBC]: Hack attack can stop people's hearts
      BBC North America technology reporter Dave Lee met researcher Billy Rios who claims his company has uncovered a major vulnerability in a medical device that could have serious consequences.
    • [heise]: Möchten Sie sterben? Malware gegen Herzschrittmacher lässt Hersteller kalt
      Wie Medtronic mitteilte, habe die Lücke keinen Einfluss auf das Wohl der Patienten. Daher sehe man keine Notwendigkeit, die Lücke per Update zu schließen. Das motivierte Rios und Butts letztendlich dazu, die Schwachstellen dennoch öffentlich zu machen. "Genug ist genug", sagte Rios.
    • [medtronic]: Medtronic Statement on Medical Device Security
      Medtronic takes device security and any threat to patient safety seriously.
      While the likelihood of a malicious security breach of a patient’s device is low – and we are not aware of any security breaches involving patients implanted with cardiac devices – Medtronic has addressed device security in the design development process by implementing measures to safeguard patient safety.