:quality(80)/p7i.vogel.de/wcms/68/88/68882a8c6a43ba9df9a29fde90ba9f1e/0114261589.jpeg "Gemeinsam die Digitalisierung der Verwaltung voranbringen: Dirk Schrödter, Digitalisierungsminister und Chef der Staatskanzlei Schleswig-Holstein, und Nextcloud-Geschäftsführer Frank Karlitschek haben am 19. September 2023 eine enge Zusammenarbeit angekündigt. (Bild: Staatskanzlei Schleswig-Holstein)")
:quality(80)/p7i.vogel.de/wcms/6e/38/6e38b57feddc881a5a7702260dfb1740/0114289640.jpeg "Bernd Schlömer (© MID/R.Hartmann)")
:quality(80)/p7i.vogel.de/wcms/ff/b4/ffb44b52f0a7b58980f2c8d60283670e/0114288511.jpeg "(Bild: vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/b2/09b22972929323197375c70d7e7831bf/0114366638.jpeg "Im jährlich erscheinenden eGovernment-Benchmark der EU Kommission finden sich relevante Kennzahlen aus dem Public Sector aller Mitgliedsstaaten wider. (© denizbayram - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/21/b2213c94bef734965fc6d14d527733c8/0114285905.jpeg "Deepfakes können Wahlen beeinflussen (© magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/10/89109d2cfaa0fbb408d9dfe570f51542/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/26/0226cb05084fed93621063df30ba0d22/0114285584.jpeg "(Bild: FAMILY STOCK – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/34/9b349d85bd9f6adc586fd267e756b24a/0114284075.jpeg "(Bild: blende11.photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/fa/91/fa91f3b2fabc5fb83149056d77d03202/0114119452.jpeg "Marc Reinhardt, neuer Präsident der Initiative D21 (© Initiative D21 / Tobias Koch)")
:quality(80)/p7i.vogel.de/wcms/96/71/96714e4d656b3b1bee061b01ddca7413/0114065929.jpeg "(Bild: Konstantin Gastmann)")
:quality(80)/p7i.vogel.de/wcms/bd/2e/bd2e66c6ecc1571607525dce691638a8/0114002104.jpeg "Auf der Smart Country Convention werden die neuesten Trends aus dem Public Sector vorgestellt. (Bild: Bitkom )")
:quality(80)/p7i.vogel.de/wcms/6e/76/6e7651e9ee9583f39d09cb584b1e1f8c/0114288259.jpeg "(© Contechnet)")
:quality(80)/p7i.vogel.de/wcms/26/8a/268a16abf472b766d121228bf259e286/0114269066.jpeg "(© Splunk)")
:quality(80)/p7i.vogel.de/wcms/a5/91/a59182415300a4b5cde339f0bfaf7070/0113788916.jpeg "(©iStock)")
:quality(80)/p7i.vogel.de/wcms/75/1a/751a07c16d5a89a2686b647de2a0d302/0113981690.jpeg "(© iStock.com)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/c9/0f/c90fa0c017e5ecc20de70dd713ddf391/0112730736.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/85/c7/85c70044c9dfe47187b3222ff227fcfb/0105054611.jpeg "Verwaltung neu denken – für einen zukunftsfähigen und resilienten Staat (© Cassini/GettyImages)")
:quality(80)/p7i.vogel.de/wcms/f0/d8/f0d8f2fbdeed8a0e306705f4ae21ddcd/0113906887.jpeg "Benannte Stellen sind für die neutrale Konformitätsbewertung von Produkten zuständig (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/67/7767b76f57a39cc505008db2bc5c9102/0113906704.jpeg "eForms: Neue elektronische Standardformulare für öffentliche Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/cf/d2cf4b3ffd87567b8355fdbe97bd451a/0113851120.jpeg "Vergabetransformationspaket der Bundesregierung: Gesetz zur Vereinfachung öffentlicher Vergabeverfahren (Bild: aga7ta – stock.adobe.com)")
Kommentar zur Rückruf-Aktion der FDA Sicherheits-Softwareupdate für Herzschrittmacher
Am 29. August 2017 hat die US-Behörde zur Überwachung von Nahrungs- und Arzneimitteln (FDA) 465.000 Herzschrittmacher verschiedener Anbieter zurückgerufen, um ein Softwareupdate aufzuspielen und damit der Hacking-Gefahr vorzugreifen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Viele medizinische Geräte, darunter die Herzschrittmacher der von Abbott, die im Januar 2017 den Hersteller St. Jude Medical übernommen hatten, verfügen über eingebettete und konfigurierbare Computersysteme. Solche Systeme können Schwachstellen aufweisen, die ein Eindringen in die betreffenden Systeme gestatten. Immer häufiger sind medizinische Geräte über das Internet miteinander verbunden, aber auch innerhalb von Kliniknetzwerken, mit anderen medizinischen Geräten oder mit Smartphones. Dadurch erhöht sich das Risiko, dass Sicherheitsschwachstellen ausgenutzt werden, dramatisch. Einige dieser Exploits haben zur Folge, dass die ordnungsgemäße Funktionsfähigkeit des jeweiligen Geräts beeinträchtigt wird.
Die FDA hat Informationen geprüft und bestätigt, nach denen die RF-Herzschrittmacher von Abbott Sicherheitsschwachstellen aufweisen sollen. Die betreffenden Schwachstellen können tatsächlich dahingehend ausgenutzt werden, dass ein nicht autorisierter Nutzer (also nicht der behandelnde Arzt des Patienten) auf das betreffende Gerät zugreifen kann. Und das mithilfe von kommerziell erhältlichen Tools. Über diesen Zugriff kann ein Angreifer Programmierbefehle verändern. Das kann den Patienten beispielsweise durch verkürzte Batterielaufzeiten oder falsch eingestellte Frequenzen der elektrischen Impulse schädigen.
Mit anderen Worten: es ist durchaus im Bereich des Vorstellbaren, dass jemand ernsthaft zu Schaden kommt oder sogar getötet werden könnte, würde sein Herzschrittmacher gehackt. Ob es tatsächlich passieren wird? Die FDA wollte das lieber nicht abwarten. Ein Software-Update wird das Problem glücklicherweise beheben. Das Unselige an der Sache aber ist die Tatsache, dass der Bedrohungslevel für medizinische Geräte und innerhalb des IoT (Internet der Dinge) im Allgemeinen eher steigt. Setzen wir uns den IT-Security-Hut auf und betrachten das Problem aus dem Blickwinkel der Cybersicherheit. Dann sind es im Wesentlichen die drei „Ps“, die einem ernsthaft Sorgen bereiten sollten: Personen, Prozesse, Produkte.
Personen, Prozesse, Produkte
Menschen sind und bleiben der Schlüssel, will man Probleme zufriedenstellend lösen. Das gilt auch für Cybersecurity, und selbst die elektronische Grundlage eines Herzschrittmachers bildet da keine Ausnahme. Beim aktuellen Beispiel gibt es gleich eine ganze Reihe von Entscheidungsschnittstellen an denen Personen direkt betroffen sind. Handelt es sich beim Träger eines Herzschrittmachers vielleicht um eine ältere Person, der wichtige Hintergrundinformationen einfach fehlen? Und bewertet sie das Problem deshalb als weniger kritisch? Werden sich diese Patienten ganz sicher mit ihrem Kardiologen in Verbindung setzen? Werden das sonst Angehörige für sie tun? Und die Kardiologen? Sie sind Ärzte und nicht ausgewiesene Spezialisten für Cybersicherheit. Haben sie in der ohnehin knapp bemessenen Zeit zwischen Operationen und Visiten überhaupt die Zeit und die nötigen Fähigkeiten, um das Problem im Sinne ihrer Patienten zu beheben? Und werden sie im Idealfall sogar aktiv auf die Patienten zugehen?
Wird der Prozess funktionieren mit dem man die Träger der potenziell 465.000 betroffenen Herzschrittmacher kontaktieren will? Wie viele der Patienten sind noch am Leben? Sind sie vielleicht inzwischen umgezogen oder haben eine andere Telefonnummer? Wie lange wird es in etwa dauern, bis alle der 465.000 betroffenen Geräte gefunden sind? Und wie lange bis alle Patienten angesprochen und das Software-Update tatsächlich durchgeführt wurde?
Und dann sind da noch die Produkte selbst. Wie lassen sich solche Vorfälle in Zukunft verhindern? Wie lassen sich IoT-Geräte so entwickeln – insbesondere solche, die das Potenzial haben, unser gesundheitliches Wohl unmittelbar zu bedrohen – dass sie sicher vor Hackerangriffe sind? Die Frage ist nicht neu, aber sie stellt sich mit verschärfter Dringlichkeit: Wann werden die Hersteller solcher Geräte endlich beginnen, Cybersicherheit tatsächlich ernst zu nehmen? Klingt es ein bisschen abgedreht, wenn demnächst Patienten ihren Kardiologen fragen, ob der Herzschrittmacher, der in Kürze implantiert werden soll, Penetrationstests durchlaufen hat oder nicht?
Liest man sich die Patienteninformation der FDA weiter durch, drängen sich zusätzliche Fragen auf. Nehmen wir etwa diesen Satz: „Wenn Sie gemeinsam mit Ihrem Arzt zu dem Schluss kommen, dass es für Sie richtig ist, das Firmware-Update durchzuführen, kann das einfach während des nächsten routinemäßig anstehenden Termins geschehen.“ Ich wäre neugierig zu erfahren, unter welchen Umständen ein Firmware-Update denn nicht das richtige für jemanden wäre? Warum sollten nicht alle Patienten, denen eines der fraglichen Geräte implantiert worden ist, das Update durchführen (lassen)?
Die gute Nachricht in der schlechten ist, dass zumindest keine 465.000 Operationen nötig sind, um den betreffenden Herzschrittmacher zu ersetzen. Die schlechte Nachricht ist, dass es 465.000 potenziell betroffene Patienten gibt. Und möglicherweise noch eine ganze Menge mehr Menschen, die keine Ahnung haben, dass sie ein Gerät in der Brust haben, das für Hackerangriffe anfällig ist.
Man kann nur an die Verantwortlichen appellieren, die Debatte auszuweiten, und analog zum IoT Cybersecurity Improvement Act 2017 in den USA eine Gesetzesvorlage auszuarbeiten. Dieser US-Act verlangt, dass Hersteller von internetfähigen Geräten, die von der Bundesregierung der Vereinigten Staaten eingesetzt werden, mit Software-Patches aktualisiert werden können, dass keine hartkodierten Passwörter verwendet werden und dass die Geräte auf Schwachstellen getestet worden sind, bevor sie in den Handel kommen.
Das ist in meinen Augen ein wichtiger erster Schritt hin zu mehr Sicherheit im IoT. Das Rahmenwerk betrifft nur Geräte, die innerhalb von Behörden und Regierungsinstitutionen eingesetzt werden. Ich hoffe allerdings, dass von dieser Verordnung eine Signalwirkung ausgeht und beispielsweise auch Krankenhäuser verlangen, dass von ihnen eingesetzte Geräte ebenfalls diesen Compliance-Anforderungen unterliegen sollten. Es ist immens wichtig zu erkennen, dass Cybersecurity in unser Aller Verantwortung liegt. Fragen Sie die Hersteller, wie sie Schwachstellentests durchführen, welche Sicherheitsmaßnahmen generell ergriffen werden und wie reagiert werden soll, wenn tatsächlich Schwachstellen aufgedeckt werden.
*Susanne Haase ist Senior Solution Architect IAM EMEA bei One Identity
(ID:44876679)
:quality(80)/p7i.vogel.de/wcms/81/ff/81ff4733254f453b9bc163b80ddd710f/0111198210.jpeg "Künstliche Intelligenz wird zunehmend wichtiger (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/ed/8cedd864361432b912dc2669cbd65b81/0111282794.jpeg "In Memmingen wird eine neue Lösung zur Datensicherheit eingesetzt (Bild: bluedesign - Adobe Stock)")