Sicherheitslücken in Defibrillatoren: Investmentfirma spekulierte mit Hersteller-Börsenkurs
Ein schwerer Vorwurf: Eine Sicherheitsfirma soll ein potenziell lebensbedrohliche Sicherheitslücken aufgebauscht und an eine Investmentfirma verraten haben, um dann an der Börse Geld zu scheffeln.
- Fabian A. Scherschel
Nach dem Bericht über unsichere Herzschrittmacher vom Hersteller St. Jude Medical durch den Sicherheitskonzern MedSec und die Investmentfirma Muddy Waters Capital (MWC) kommen immer mehr Zweifel über die Untersuchungsergebnisse auf. Trotz der Tatsache, dass ähnliche Sicherheitslücken in Medizintechnik lange bekannt sind und bisher fast ausschließlich nur theoretisch in Erscheinung getreten sind, scheinen MedSec und MWC den vorliegenden Fall künstlich aufgebauscht zu haben, um wirtschaftliche Vorteile auf Kosten von St. Jude zu erzielen. Das jedenfalls legt ein Bericht vom Wirtschaftsnachrichtendienst Bloomberg nahe.
Börsenmanipulation durch gezielte Veröffentlichung?
Demnach hätte MedSec die gefundenen Lücken absichtlich nicht an den Hersteller, sondern an die Investmentfirma MWC gemeldet, um daraus Kapital zu schlagen. MedSec-Chef Justine Bone, früher selbst Sicherheitsexperte bei Bloomberg, sagte gegenüber den Journalisten, man habe versucht, St. Jude zur öffentlichen Kenntnisnahme des Problems zu zwingen und Druck auszuüben. Man habe Angst davor gehabt, dass der Hersteller die Sicherheitsfirma mit rechtlichen Mitteln zum Schweigen zwingen würde, wenn man die Lücken direkt gemeldet hätte.
Laut Bloomberg wollte MWC aber eben auch viel Geld damit verdienen, in Zusammenhang mit der Veröffentlichung auf den Kursverfall der Aktien von St. Jude zu spekulieren. Und zugleich kaufte die Firma auch Aktien des direkten Konkurrenten Abbott Laboratories. Das stelle eine neue Dimension bei der Veröffentlichung von Sicherheitslücken dar – der Vorwurf von Börsenmanipulation steht im Raum. Bloomberg zitiert Experten, welche die US-Börsenaufsicht SEC zuständig sehen, wenn Veröffentlichungen von Sicherheitslücken dazu verwendet werden, an der Börse Kasse zu machen.
(Bild: Muddy Waters Capital, Archimedes Center for Medical Device Security )
Potenziell ließe sich mit solchen Börsen-Wetten laut Bloomberg mehr Geld verdienen als mit Belohnungen der Hersteller für das Finden von Lücken. Vor allem bei Medizintechnik, wo die Suche nach solchen Schwachstellen aufwändig und mit erheblichen Kosten für die Sicherheitsfirma verbunden ist.
Panikmache statt echter Lebensgefahr?
Desweiteren regen sich immer mehr Zweifel an der Brisanz der Sicherheitslücken aus dem MedSec-Bericht. Das Archimedes Center for Medical Device Security, ein Zusammenschluss aus Forschern der University of Michigan und der Sicherheitsfirma Virta Labs mit jahrelanger Erfahrung bei der Untersuchung von Sicherheitslücken in Medizingeräten, kann im MedSec-Bericht keine schlüssigen Beweise für Fehlfunktionen von St.-Jude-Schrittmachern finden. Einziges Indiz sei ein Screenshot eines Diagnosegeräts, den man selbst habe nachstellen können, ohne dass der ursächliche Schrittmacher irgendeine Fehlfunktion gehabt habe. Ein Kardiologe an der Uniklinik der University of Michigan habe diese Ergebnisse bestätigt.
Was bleibt sind die Vorwürfe von MedSec, man könne die Schrittmacher aus einiger Entfernung innerhalb von Stunden entladen. Hierfür finden sich im Bericht von MedSec keine Belege und der Hersteller der Geräte hat dies bereits öffentlich bezweifelt. Die zuständige US-Aufsichtsbehörde Food and Drug Administration (FDA) untersucht den Fall nun. Für Patienten, die Geräte von St. Jude Medical implantiert haben, scheint es momentan aber keinen konkreten Anlass zum Handeln zu geben. (fab)
