# taz.de -- Hacker-Angriff auf medizinische Geräte: Defibrillator als Mordwaffe | |
> Auf einer IT-Konferenz in Australien wurde eindrucksvoll demonstriert, | |
> wie man Defibrillatoren zu Mordinstrumenten umwandeln kann. | |
Bild: Ein Ziel für Hacker? Implantierte Defibrillatoren. | |
BERLIN taz | Barnaby Jack, IT-Experte bei der Sicherheitsfirma IO Active, | |
hat zu Forschungszwecken schon einiges manipuliert: Geldautomaten, | |
Insulinpumpen und zuletzt auch einen Defibrillator. Auf der | |
Sicherheitskonferenz Breakpoint demonstrierte Jack Mitte Oktober, welche | |
Gefahr von implantierbaren Cardioverter-Defibrillatoren ausgehen kann. | |
Diese Geräte gleichen Herzrhythmusstörungen durch leichte Elektroschocks | |
aus. Dabei wird ein zu schnell schlagendes Herz durch den Stromstoß des | |
Defibrillators kurzfristig zum Stillstand gebracht, um dann sofort im | |
normalen Rhythmus weiter zu schlagen. | |
Die meisten Defibrillatoren sind mit einem externen Transmitter | |
ausgestattet, den die Patienten im Umkreis von etwa 2 Metern um ihr Bett | |
positionieren müssen. Der Transmitter nimmt die Herzrhythmusereignisse aus | |
dem Implantat durch drahtlose Signale auf und leitet sie an den Kardiologen | |
weiter. Somit können Unregelmäßigkeiten und Probleme frühzeitig erkannt und | |
entsprechend behandelt werden. In Deutschland trugen 2011 etwa 40.000 | |
Patienten Defibrillatoren. | |
Die Vorteile einer solchen Überwachung liegen auf der Hand. Dennoch: Der | |
kabellose Datenverkehr zwischen den Geräten birgt ein nicht zu | |
unterschätzendes Sicherheitsrisiko. | |
## Jack's Hack-Experiment | |
Jack zeigte während seines Vortrags, wie man aus etwa 10 Metern Entfernung | |
auf die Daten des Transmitters zugreifen, und ihn somit manipulieren kann. | |
Für den Hack hat der Experte einen Transmitter rückentwickelt (im | |
Wesentlichen: auseinandergebaut) und sich so Zugang zur Modell- und | |
Seriennummer des Implantats verschafft. | |
Bei manchen Herstellern reichen diese Daten aus, um sich bei dem Implantat | |
zu authentifizieren. Ist der Kommunikationscode zwischen dem Transmitter | |
und dem Defibrillator einmal gehackt, können dem Träger des Implantats | |
Elektroschocks von bis zu 830 Volt verabreicht werden. Die Folge: der | |
Patient wäre sofort tot. | |
Viel gravierendender ist, dass Jack beim Rückentwickeln des Transmitters | |
auf Benutzernamen und Passwörter für den Entwicklungsserver des Herstellers | |
gestoßen ist. | |
Damit wäre es möglich, Programme zu schreiben, die mehrere Geräte | |
gleichzeitig manipulieren. Im schlimmsten Fall könnte die kabellose Attacke | |
somit als Werkzeug zum „Massenmord" instrumentalisiert werden, berichtet | |
das SC Magazine, eine amerikanische IT-Zeitschrift. | |
## Industrie und Medizin geben Entwarnung | |
Vertreter aus Industrie und Medizin betrachten die Ergebnisse von Jacks | |
Hack-Experiment jedoch skeptisch. Andreas Bohne von der Herstellerfirma | |
Medtronic schätzt das Sicherheitsrisiko als „gering" und „unwahrscheinlich" | |
ein, denn „nur auf wenige Herzschrittmacher könne über größere Distanzen | |
zugegriffen werden". | |
Rückendeckung bekommt die Herstellerfirma auch aus der Medizin. Auf | |
Nachfrage bei der Berliner Charité erscheint Mattias Roser, Facharzt für | |
innere Medizin und Kardiologie „die Manipulation eines Defibrillatoren | |
wenig realistisch". | |
Der Grund:„Die Telemetrie funktioniert nicht bidirektional. Das heißt wir | |
können zwar Diagnoseparameter von Herzschrittmachern oder Defibrillatoren | |
erhalten, jedoch aus der Ferne das Gerät nicht umprogrammieren, geschweige | |
denn einen Schock auslösen oder die Funktion ausprogrammieren", versichert | |
der Facharzt. Ob eine Steuerung bidirektional möglich ist oder nicht, hängt | |
jedoch auch hier stark von Gerät und Hersteller ab. Das von Jack gehackte | |
Gerät war, wie bei dem Experiment gezeigt, zweifelsfrei bidirektional | |
steuerbar. | |
## Unwahrscheinlich, aber nicht unrealistisch | |
Schon 2008 wurde in der Forschung auf Mängel hingewiesen. Neun | |
US-Wissenschaftler veröffentlichten eine Studie, in der sie | |
Sicherheitsrisiken von Defibrillatoren untersuchten. Das Team aus | |
Elektrotechnikern, Informatikern und einem Kardiologen demonstrierte, wie | |
die Geräte manipuliert werden können. Somit können Patienteninformationen | |
weitergegeben, und, wie oben beschrieben, tödliche Elektroschocks abgegeben | |
werden. | |
Bis heute ist noch kein vergleichbarer Fall in der Praxis bekannt. Dennoch | |
meint der Koordinator des Stabs für strategische IT-Sicherheit beim | |
Auswärtigem Amt, Sandro Gaycken, dass „das Gefahrenpotenzial auf keinen | |
Fall unterschätzt werden darf.“ | |
## Drei mögliche Szenarien | |
Laut Gaycken sind drei Szenarien denkbar: Dadurch, dass man relativ einfach | |
auf die im Transmitter gespeicherten Patientendaten zugreifen kann, könnten | |
kriminelle Hacker die Informationen zur Erpressung nutzen oder damit Handel | |
betreiben. | |
Das zweite Szenario beinhaltet eine Manipulation der Steuerungskomponenten | |
von Herzschrittmachern, so wie Jack es vorgeführt hat. Problematisch dabei | |
ist, dass manche Hersteller ihre Geräte direkt mit Updates aus dem Internet | |
versorgen. Laut Gaycken bestehe die Schwierigkeit nicht darin, das System | |
zu hacken, sondern dessen Funktionsweise vollständig zu durchleuchten, um | |
Steuerungsbefehle wie tödliche Stromstöße auszuführen. Das würde sehr viel | |
Zeit und Know-how beanspruchen, so der Forscher. | |
Wesentlich einfacher ist es hingegen, den Datenverkehr zwischen den Geräten | |
komplett zu unterbinden. Beim dritten Szenario würde also im Falle von | |
akuten Unregelmäßigkeiten beim Patienten oder beim Implantat gar kein | |
Signal an den Überwachungsmonitor des Kardiologen gesendet. Die Folgen | |
wären tödlich. | |
Gaycken hält alle drei Fälle sowie Jacks Massenmord-Szenario für technisch | |
sehr aufwendig. „Das heißt aber nicht, dass derartige Szenarien | |
unrealistisch sind. Im Gegenteil: Durch den steigenden Einsatz drahtloser | |
Kommunikation wird die Anfälligkeit medizinischer Implantate für Störungen | |
tendenziell größer als kleiner", betont der Experte. | |
Außerdem: Selbst wenn die Geräte nicht direkt mit dem Internet verbunden | |
sind, besteht ein beachtliches Restrisiko. Nämlich dadurch, dass | |
Herzschrittmacher letztlich durch die Computer der Kardiologen mit dem Netz | |
verbunden sind. Auf diese Weise könnten auch herkömmliche Internetviren auf | |
die Geräte übertragen werden und deren Funktionsfähigkeit beeinträchtigen, | |
warnt Gaycken. | |
## US-Rechnungshof sieht Handlungsbedarf | |
Auch der amerikanische Rechnungshof fand im August in einer Untersuchung | |
heraus, dass implantierbare medizinische Geräte anfällig für Störungen | |
sind. Die Behörde rief den US-Kongress daher zu entsprechenden | |
Regulierungsmaßnahmen auf. Gaycken ist ebenfalls der Ansicht, dass | |
staatliche Regulierung viel dazu beitragen kann, die Sicherheitsrisiken zu | |
minimieren – beispielsweise durch die Einführung einheitlicher | |
Sicherheitszertifikate. | |
Technisch gesehen ist also eine kabellose Attacke durchaus möglich. Und | |
trotz vermeintlicher Entwarnung aus Industrie und Medizin ist Jack's | |
Hacker-Angriff ein eindrucksvoller Beweis dafür, wie anfällig medizinische | |
Implantate für Manipulationen sind. | |
29 Oct 2012 | |
## AUTOREN | |
Anna Jikhareva | |
Philipp Niedring | |
## TAGS | |
Hacker | |
Medizintechnik | |
## ARTIKEL ZUM THEMA | |
Zehn Jahre Haft für Spionage : Hollywood-Hacker verurteilt | |
Ein Hacker hatte in den USA Hollywood-Stars, darunter Scarlet Johansson, | |
ausspioniert. Jetzt muss der Mann für zehn Jahre ins Gefängnis. | |
Hacker-Angriffe auf US-Unternehmen: Iran weist Vorwürfe zurück | |
Die USA vermuten Teheran hinter Cyber-Angriffen auf amerikanische Ölfirmen | |
und Banken. Wahrscheinlich sind es Reaktionen auf Sanktionsmaßnahmen gegen | |
den Iran. | |
Transportsystem für Spenderherzen: Damit das Herz frisch bleibt | |
Das Organ Care System soll die Zahl der Transplantationen erhöhen, | |
verspricht der Hersteller. Dabei ist das Gerät kaum getestet und schwer zu | |
bedienen. | |
Riskante Nanotechnologie: Winzig klein, aber mit großer Wirkung | |
Die bis zu 100 Nanometer großen Materialien sollen ganz neue Eigenschaften | |
haben. Ob sie aber gesundheitlich unbedenklich sind, darüber ist oftmals | |
nur wenig bekannt. |