Software::Branchenlösungen
Killed by code: SFLC fordert freie Software für Implantate
In der Regel sind Fehler in der Software ärgerlich, aber nicht tödlich. Läuft die Software aber auf einem Herzschrittmacher oder einer Infusionspumpe, Geräten, die immer mehr Menschen implantiert bekommen, kann ein Speicherüberlauf oder unberechtigter Zugriff von außen schwerwiegende Folgen haben.
Das Software Freedom Law Center (SFLC) hat kürzlich vor fehlerhafter Software auf lebenserhaltenden Geräten gewarnt und fordert, dass die Firmware solcher Geräte standardmäßig unter einer Open-Source-Lizenz veröffentlicht werden sollte.
Die zum SFLC gehörige Rechtsberaterin Karen Sandler stellte in ihrem Vortrag »Killed by Code: Software Transparency in Implantable Medical Devices« auf der OSCON 2010 mehrere Forderungen, die lebenserhaltende Geräte erfüllen müssten. Dazu zählen eine zwingende, öffentliche und umfassende Bewertung des Quelltextes für derartige Geräte, die heutzutage bereits Millionen Menschen mit Herzproblemen, Diabetis, Krebs, Epilepsie oder Adipositas implantiert wurden. In der Regel geben die Hersteller solch implantierbarer medizinischer Geräte (IMDs) den Quelltext der Firmware nicht heraus, Fehler sind so schwer nachzuweisen.
Um zukünftig etwaigen Fehlern auf die Schliche zu kommen, bevor sie Menschenleben kosten, sollte der Code öffentlich gemacht werden, so dass ihn andere Entwickler begutachten können, speziell mit Blick auf Sicherheit und Zuverlässigkeit. So ist es beispielsweise möglich, den Geräten ohne weiteren Eingriff ein Firmware-Update zukommen zu lassen. Je mehr IMDs zunehmen, desto verlockender könnte es für böse Mitmenschen mit dem nötigen Sachverstand werden, die Geräte zu Fehlfunktionen zu animieren. In einem Experiment haben Forscher beispielsweise einen Herzschrittmacher einfach aus der Ferne deaktiviert, in einem zweiten Versuch das Gerät so eingestellt, dass es Kammerflimmern auslöste. Die Studie wies nach, dass es oft keine Techniken gibt, mit denen die Geräte gegen unbefugte Manipulation gesichert sind. Bei Infusionspumpen wären ähnliche Szenarien denkbar, etwa indem eine Überdosis Medikamente in den Blutkreislauf abgegeben wird. Die Geräte, die zur Steuerung der Implantate genutzt werden können, sind auf dem Gebrauchtmarkt erhältlich und teilweise nicht größer als ein Mobiltelefon.
Geht es nach der SFLC, sollte diese Forderung auf jede Software ausgeweitet werden, die in Autos, Flugzeugen oder im Finanzwesen verwendet wird. Freie Software enthält mit ihrer Veröffentlichung zwar genauso viele Fehler wie ihre proprietären Pendants, aber dort werden sich schneller gefunden und behoben. Es ist zudem schwerer, freie Software mit Trojanern oder Hintertüren zu versehen.
