"Security-Hersteller können nicht alleine die Verantwortung tragen"

Gilbert Semmer
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Gespräch mit Christian Walter von swiss made software darlegt.
 
Herr Semmer, das amerikanische Ministerium für "Homeland Security" hat gerade eine Kampagne zum Thema IT-Sicherheit durchgeführt, den "National Cyber Security Awareness Month". Haben Sie das Gefühl, das Thema IT-Sicherheit ist allmählich in den Köpfen angekommen?
 
Gilbert Semmer: Das ist mir zu allgemein. Ich denke, die dauernden Nachrichten über Lecks und Datendiebstähle sprechen hier eine deutliche Sprache zum Stand der Dinge. Im Bereich Medizintechnik und vernetzte Geräte sehe ich einen positiven Trend. Neben der neuen EU-Richtlinie GDPR (General Data Protection Regulation) gibt es mittlerweile themenrelevante FDA-Guidelines sowie ISO-Standards für Medizingeräte und Krankenhäuser. Dabei sehe ich die Rolle des Treibers im Gesundheitswesen allerdings nicht nur in der Europäischen Union, sondern auch in den USA – und zwar sowohl für Cyber-Sicherheit als auch für den Schutz der Privatsphäre.
 
Tatsächlich? Aus europäischer Perspektive sind es doch viel eher die Amerikaner, die für laxe Sicherheitsstandards oder einen unzureichenden Schutz der Privatsphäre stehen?
 
Gilbert Semmer: Das mag für andere Bereiche stimmen, nicht aber für den der Medizintechnik. Die amerikanische Gesundheitsbehörde FDA (Federal Drug Administration) ist mit Polizeigewalt ausgestattet und darf im engen Rahmen sogar Gesetze erlassen. Somit ist sie gewissermassen Legislative, Judikative und Exekutive in einer Person. Damit ist die FDA mächtiger als vergleichbare Institutionen in Europa. Eine Macht, die durchaus bereit ist, sich einzusetzen. Das geht von der Veröffentlichung der "Schandtaten" bis zur Werksschließung, vom Importverbot bis zum Einsammeln aller Produkte durch US-Marshalls – und das auf Kosten des Unternehmens.
 
Welche Wegweiser gibt die FDA den Unternehmen für korrektes Verhalten?
 
Gilbert Semmer: Für Entwickler medizinischer Software oder vernetzter Geräte hat sie eigens sogenannte Guidance Dokumente herausgegeben. Um zwei zu nennen: "Management of Cybersecurity in Medical Devices" (PDF) wendet sich an alle Medizinproduktehersteller, deren Produkte Software enthalten oder eigenständige Software sind. "Postmarket Management of Cybersecurity in Medical Device" (PDF) schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung. Diese Dokumente haben in der Praxis eine hohe Relevanz, zum Beispiel, um eine Zulassung für den amerikanischen Markt zu erhalten. Im Vergleich mit europäischen Normen wie CE sind diese Dokumente ausserdem sehr konkret in ihren Empfehlungen.
 
Ist das nicht schon wieder ein Wildwuchs an Regeln, Gesetzen und Normen?
 
Gilbert Semmer: Nur auf den ersten Blick. Ich selbst habe seit 2005 an der Ausarbeitung des ISO/IEC Standards 80001 mitgearbeitet. Im zuständigen Gremium hatten auch Vertreter der FDA Einsitz, die so die Norm mitgeprägt haben. Teile davon finden sich heute in den erwähnten Guidelines. Es findet also eine gegenseitige Befruchtung statt. Der Wermutstropfen dabei ist der lange Prozess. Angefangen hatten wir vor 2003, ein erster Draft war 2007 fertig, der Hauptteil dann 2010 und weitere ab 2012. Es dauerte also etwa 10 Jahre.
 
Sie erwähnten vorhin auch den Schutz der Privatsphäre im Gesundheitswesen. Was machen die Amerikaner denn da?
 
Gilbert Semmer: Hier gibt es zwei relevante Gesetze: HIPAA (Health Insurance Portability and Accountability Act) und die Health Breach Notification Rule der FTC (Federal Trade Commission). Diese Gesetze etablieren eine Meldepflicht bei einer Verletzung der Vertraulichkeit von Gesundheitsdaten. Ausserdem wird klar gesagt, was eine solche Meldung enthalten muss. Das heisst, was Sie melden müssen, wann Sie es melden müssen, in welcher Form und an wen Sie es melden müssen.
 
Wird da auch mal jemand verurteilt?
 
Gilbert Semmer: Es scheint zumindest ernster zu werden. Gemäss einer Liste der Compliancy Group verhängte das Office for Civil Rights (OCR) 2015 Strafen im Gesamtwert von 6,2 Millionen Dollar. 2016 waren es 23,5 Millionen Dollar. Das sind zwar immer noch Peanuts, aber der Stein scheint allmählich ins Rollen zu kommen.
 
So etwas soll auch im Rahmen der GDPR-Richtlinie für Europa kommen, die im Mai 2018 in Kraft tritt.
 
Gilbert Semmer: In Kraft getreten ist die Verordnung bereits am 24. Mai 2016. 2018 endet lediglich die zweijährige Übergangsfrist. Allerdings wird sich die Stärke und Relevanz der Verordnung erst in der Anwendung zeigen. Aber mit der GDPR gibt es jetzt zumindest theoretisch die Möglichkeit, handfeste Strafen zu verhängen – im Falle eines Unternehmens Geldbussen von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
 
Wie sieht es mit der praktischen Anwendung aus? Was tut sich in den Unternehmen?
 
Gilbert Semmer: Hersteller und Krankenhäuser sind in der Pflicht, die Sicherheit von vernetzten Medizingeräten zu gewährleisten, das heisst sowohl in der Entwicklung, Herstellung als auch im Betrieb. Dazu bedarf es auch einer Abstimmung zwischen Krankenhäusern und Herstellern, um die sicherheitstechnischen Möglichkeiten im Rahmen eines Krankenhaus-Netzwerkes optimal zu nutzen. Cyber-Security ist dabei nicht nur ein technisches Thema. Sie müssen erst einmal Awareness schaffen und entsprechende Policies & Procedures aufstellen. Der Schlüssel ist dabei das Risikomanagement.
 
Grosse, internationale Medizintechnikhersteller haben heute Cyber-Security als wesentliche Komponente in ihre Prozesse integriert und zwar schon in den ersten Momenten der Produktentwicklung. Eine gute Umsetzung der ISO 14971 (Risikomanagement für Medizinprodukte) sollte genau das machen, ergänzt um Security-Risiken. Aus diesen Teilen resultiert dann eine bestmögliche Sicherheit.
 
Möglichst gut?
 
Gilbert Semmer: Sicherheit können Sie nur beherrschen, wenn Sie alle Risiken kennen. Das ist ein aufwendiger Prozess: Man muss seine Assets sowie mögliche Angreifer und Schwachstellen kennen. Zu 100 Prozent ist das aber leider nicht möglich, zumal wir mittlerweile in einer vernetzten Welt leben. Selbst wenn ich alles richtig mache, kann einer unserer Partner am Ende eine Lücke schaffen. Da reicht ein nicht abgesicherter Hotspot. Deswegen können wir auch nicht die alleinige Verantwortung tragen.
 
Was meinen Sie damit?
 
Gilbert Semmer: 2017 erfolgte durch den Verschlüsselungstrojaner WannaCry einer der weltweit grössten Cyber-Attacken. Betroffen waren unter anderem auch Spitäler in Grossbritannien. Warum? Eine bekannte Sicherheitslücke war nicht gepatcht.
 
Das ist zwar richtig, aber auch nicht nur der Fehler der Krankenhäuser. Das Wissen um die Sicherheitslücke kam ja aus den Archiven der amerikanischen NSA. Die hortet, wie alle Geheimdienste, Zero-Day-Exploits.
 
Gilbert Semmer: Ja, das ist auch paradox. So tasten wir uns aber langsam an des Pudels Kern heran. Sowohl Unternehmen wie Krankenhäuser können hier mehr tun. Dennoch müssen wir auch eine gesellschaftliche Debatte über grundlegende Sicherheitsaspekte führen. Sollten unsere Geheimdienste die Zero-Day-Exploits einfach horten oder sollten wir sie zu "Responsible Disclosures" zwingen? Die Sicherheitsdienste haben zweifellos auch ihre Bedürfnisse – ich vermisse hier aber den Dialog. Wenn medizinische Geräte kompromittiert werden, geht es schliesslich genauso um Menschleben wie in der Verbrechensbekämpfung. (Das Gespräch führte Christian Walter, swiss made software).
 
Gilbert Semmer ist erfahrener Softwarearchitekt. Seit 15 Jahren arbeitet er in der Forschung eines internationalen Medizingeräteherstellers, zuvor unter anderem für COOP und UBS. Seine Schwerpunkte sind Web-Applikationen und vernetzte Medizingeräte mit den zugehörigen Cyber-Security-Aspekten. Zudem war er sieben Jahre aktiv an einer Joint Working Group der ISO/IEC zur Erstellung einer Normenfamilie zum Risiko-Management von vernetzten Medizingeräten (IEC 80001) beteiligt.
 
Von 1994 bis 2014 war er als Mitgründer verantwortlich für die Programmgestaltung des Arbeitskreises zu Software-Prozessen (SPIQ) in Freiburg und bis 2003 bei einem "Schwesterverein" (AK-QIT) in Basel.
 
Dieses Interview ist Teil des aktuellen swiss-made-cases-Newsletters "Security". Mit diesem Format informiert das Label halbjährlich über spannende Entwicklungen im Umfeld von swiss made software.