Unzureichend abgesichert: Defibrillator-Implantate offen für Hacker-Attacken
Viele Implantate gegen Herzrhythmusstörungen von Medtronic sind über eine kritische Lücke attackierbar. Updates stehen noch aus.
(Bild: Image by Pexels from Pixabay)
Offensichtlich ist der Hersteller von Medizintechnik Medtronic bei der Sicherheit seiner lebensrettenden Geräte nachlässig: Viele Defibrillator-Implantate sind über zwei Sicherheitslücken (CVE-2019-6538, CVE-2019-6540) attackierbar. Eine Schwachstelle gilt als "kritisch". Im schlimmsten Fall könnten Angreifer die Geräte offenbar so manipulieren, dass sie im Ernstfall sogar versagen könnten, warnt die Cybersecurity and Infrastructure Security Agency (CISA) in einem Beitrag.
Trotz der kritischen Einstufung müssen mehrere Voraussetzungen für einen erfolgreichen Angriff gegeben sein. In einer Sicherheitswarnung versichert Medtronic, dass es bislang noch keine bekannten Attacken auf die Lücken gibt. In der Warnung listet der Hersteller auch die betroffenen Modelle auf.
Unverschlüsselt und ohne Anmeldung
Um die kritische Lücke auszunutzen, müsste sich ein Angreifer in Funkreichweite eines Patienten mit einem verwundbaren Implantat befinden. Da die Kommunikation zwischen dem Defibrillator und einer Kontrollstation ohne Authentifikation stattfindet, könnte sich ein Angreifer in die Verbindung einklinken und so eigene Befehle in den Speicher des Implantats schreiben.
Medtronic zufolge müsste ein Angreifer dafür aber über detailliertes Wissen des jeweiligen Implantat-Modells und der Datenübertragung verfügen. Außerdem sollen die Funkverbindung bei den Defibrillatoren nicht dauerhaft aktiv sein. Das sei nur bei einem Arzt für Prüfzwecke, oder wenn Patienten das Implantat zu Hause mit einem Überwachungsmonitor abgleichen, der Fall.
Eventuell könnte ein Angreifer die zweite Lücke zum Auslesen von Informationen über das Implantat ausnutzen: Die Übertragung von Informationen findet unverschlüsselt statt.
Updates noch nicht verfügbar
Medtronic missachtet mit der unverschlüsselten Kommunikation und der fehlenden Authentifikation zwei Grundpfeiler von IT-Security – das ist grob fahrlässig. Sicherheitsupdates sind in Arbeit, bislang aber noch nicht verfügbar. Bis dahin rät der Hersteller, die Medizintechnik wie gewohnt zu nutzen und darauf zu achten, die Implantate ausschließlich mit Geräten des Herstellers zu verbinden. Darüber hinaus empfehlen sie betroffenen Patienten mit ihrem Arzt zu sprechen.
Es ist nicht das erste Mal, dass Medtronic für Negativ-Schlagzeilen sorgt: Im Sommer 2018 zeigten Teilnehmer des Hacker-Kongresses Black Hat zwei schwerwiegende Sicherheitslücken in Herzschrittmachern und Insulinpumpen des Herstellers auf. (des)
