Die US-amerikanische Arzneimittelbehörde FDA informiert Patienten, medizinisches Fachpersonal und Hersteller über die SweynTooth-Sicherheitslücken, die Risiken für bestimmte Medizinprodukte darstellen können. Der FDA sind keine bestätigten unerwünschten Ereignisse im Zusammenhang mit diesen Sicherheitslücken bekannt. Software zur Ausnutzung dieser Sicherheitslücken in bestimmten Situationen ist bereits öffentlich verfügbar.
Sicherheitsforscher haben zwölf Schwachstellen namens “SweynTooth” in der drahtlosen Kommunikationstechnologie Bluetooth Low Energy (BLE) identifiziert. BLE ermöglicht es zwei Geräten, sich zu koppeln und Informationen auszutauschen, um ihre Funktionen auszuführen und gleichzeitig die Akkulaufzeit zu verlängern.
Die potenziellen Auswirkungen der SweynTooth-Schwachstellen lassen sich in drei Kategorien einteilen. Ein nicht autorisierter Benutzer kann diese Schwachstellen drahtlos ausnutzen, um:
·Absturz Das Gerät. Es kann die Kommunikation oder die Funktion des Geräts einstellen.
·Deadlock Das Gerät kann einfrieren und nicht mehr ordnungsgemäß funktionieren.
•Sicherheit umgehen um auf Gerätefunktionen zuzugreifen, die normalerweise nur einem autorisierten Benutzer zur Verfügung stehen.
Der FDA sind derzeit mehrere Hersteller von System-on-a-Chip (SoC) bekannt, die von diesen Sicherheitslücken betroffen sind:
·Texas Instruments
·NXP
·Zypresse
·Dialog Semiconductors
·Mikrochip
·STMicroelectronics
·Telink Semiconductor
Weitere Informationen zu den Cybersicherheitslücken von SweynTooth finden Sie hier:
·ICS-ALERT-20-063-01 Schwachstellen in SweynTooth – Sicherheitswarnung des US-Heimatschutzministeriums zur Cybersicherheitsinfrastruktur, 3. März 2020
Die Hersteller von Medizinprodukten prüfen bereits, welche Geräte von SweynTooth betroffen sind, bewerten das Risiko und entwickeln Abhilfemaßnahmen.
Empfehlungen für Hersteller
·Wenn Ihr Gerät oder ein Gerät, das mit Ihrem Gerät kommuniziert, BLE-Technologie verwendet, prüfen Sie, inwieweit es von diesen Sicherheitslücken betroffen ist.
·Führen Sie eine Risikobewertung gemäß den Richtlinien der FDA zur Cybersicherheit nach der Markteinführung durch, um die Auswirkungen dieser Schwachstellen auf die betroffenen Geräte zu bewerten und Risikominderungspläne zu entwickeln.
·Zu den Gegenmaßnahmen sollten kompensierende Kontrollmechanismen gehören, während Sie Software-Patches entwickeln.
·Zusammenarbeit mit Gesundheitsdienstleistern, Einrichtungen und Patienten, um festzustellen, welche Medizinprodukte betroffen sind, und um Maßnahmen zu ergreifen, die sicherstellen, dass die Risiken auf ein akzeptables Maß reduziert werden.
·Überwachen Sie medizinische Geräte nach Möglichkeit auf Anzeichen ungewöhnlichen Verhaltens. Informieren Sie Ihre Kunden und die Anwendergemeinschaft über Ihre Einschätzung und Empfehlungen zu Risikominderungsstrategien und gegebenenfalls kompensierenden Maßnahmen, damit Kunden fundierte Entscheidungen über die Gerätenutzung treffen können. Teilen Sie Ihre Kundenkommunikation mit einer Informationsaustausch- und Analyseorganisation (ISAO).
Hinweis zur Vorabprüfung: Im Allgemeinen dürften kompensierende Kontrollmechanismen und Patches zur Behebung der SweynTooth-Schwachstellen die Sicherheit oder Wirksamkeit des Medizinprodukts nicht wesentlich beeinträchtigen und erfordern daher voraussichtlich keine Zulassung durch die FDA vor der Implementierung. Sollten die zur Behebung der Schwachstellen erforderlichen Änderungen am Medizinprodukt jedoch die Sicherheit oder Wirksamkeit des Produkts wesentlich beeinträchtigen, ist eine Zulassung erforderlich.
Weitere Informationen zu den Anforderungen an die Zulassung vor der Markteinführung und die Berichterstattung nach der Markteinführung finden Sie in den Cybersecurity Guidances auf der Cybersecurity-Seite der FDA.
Empfehlungen für Gesundheitsdienstleister und Mitarbeiter von Gesundheitseinrichtungen
·Arbeiten Sie mit den Geräteherstellern zusammen, um festzustellen, welche medizinischen Geräte in Ihren Einrichtungen oder im Gebrauch Ihrer Patienten von diesen Schwachstellen betroffen sein könnten, und entwickeln Sie Risikominderungspläne.
·Patienten, die betroffene medizinische Geräte verwenden, sollten über Maßnahmen informiert werden, die sie zur Risikominderung ergreifen können.
·Weisen Sie Patienten, die medizinische Geräte verwenden, darauf hin, sofort ärztliche Hilfe in Anspruch zu nehmen, wenn sie den Eindruck haben, dass sich die Funktionsweise ihres medizinischen Geräts unerwartet verändert hat.
·Medizinische Geräte sollten nach Möglichkeit auf Anzeichen ungewöhnlichen Verhaltens überwacht werden.
Empfehlungen für Patienten und Pflegepersonen
·Sprechen Sie mit Ihrem Arzt oder Ihrer Ärztin, um zu klären, ob Ihr Medizinprodukt betroffen sein könnte oder ob Sie Maßnahmen ergreifen sollten. Die Gerätehersteller werden weitere Informationen veröffentlichen, sobald diese verfügbar sind.
·Suchen Sie sofort einen Arzt auf, wenn Sie den Eindruck haben, dass Ihr medizinisches Gerät nicht wie erwartet funktioniert.
Maßnahmen der FDA
Die FDA arbeitet eng mit anderen Bundesbehörden, Herstellern und Cybersicherheitsforschern zusammen, um unerwünschte Ereignisse im Zusammenhang mit den SweynTooth-Schwachstellen zu identifizieren, zu kommunizieren und zu verhindern.
Die FDA wird weiterhin neue Informationen zu den Schwachstellen von SweynTooth auswerten und die Öffentlichkeit informieren, falls wesentliche neue Informationen verfügbar werden.
Probleme mit Ihrem Gerät melden
Wenn Sie glauben, ein Problem mit Ihrem Gerät oder einem Gerät, das Ihr Patient verwendet, zu haben, empfiehlt die FDA, das Problem über das freiwillige Meldeformular MedWatch zu melden.
Das Gesundheitspersonal von Einrichtungen, die den Meldepflichten der FDA für Nutzereinrichtungen unterliegen, sollte die von seinen Einrichtungen festgelegten Meldeverfahren befolgen.
Wiederveröffentlichung durch: FDA
Jetzt chatten