Medizintechnik: US-Hersteller warnt vor Hackerangriffen auf Insulinpumpen
Animas verkauft Diabetes-Patienten eine Insulinpumpe, die per Fernbedienung gesteuert werden kann. Die dafür nötige Funkverbindung ist jedoch nicht sicher, warnt das US-Unternehmen nun.
US-Medizingerätehersteller Animas warnt Nutzer seiner Insulinpumpe "OneTouch Ping" vor einer Sicherheitslücke: Wie das zu dem Pharma-Konzern Johnson & Johnson gehörende Unternehmen mitteilt (PDF), ist es über ein potenzielles Sicherheitsproblem informiert worden, durch das nicht-autorisierte Nutzer aus der Ferne die Insulinpumpe kontrollieren könnten. Das Problem liege in der unverschlüsselten Funkverbindung zwischen der Insulinpumpe und deren Fernbedienung. Das System sei zwar nicht ans Internet angebunden, könne aber mit der entsprechenden technischen Expertise aus der Nähe gekapert werden.
Medizingerät hackbar
Insulinpumpen sind eine mögliche Therapieform für Diabetes. Sie pumpen die für Diabetes-Patienten nötige Insulindosis nicht nur kontinuierlich in deren Blut, sondern auch die zu Mahlzeiten nötigen – jeweils individuell festzulegenden – Mengen. Bei der "OneTouch Ping" von Animas können die Patienten diese jeweils andere Menge per Fernbedienung einstellen und damit die Pumpe steuern, ohne direkt auf sie zugreifen zu müssen. Kann sich nun ein Angreifer in diese Funkverbindung einklinken, wäre es ihm etwa möglich, diese Insulinmenge zu verändern. Patienten könnten dann unter- oder überzuckern – mit eventuell lebensgefährlichen Konsequenzen.
Animas versichert seinen Kunden, dass solch ein Angriff extrem unwahrscheinlich sei. Wer trotzdem besorgt sei, könne aber die Funksteuerung ganz deaktivieren. Dann müsste die Pumpe aber manuell bedient werden. Außerdem könne an der Insulinpumpe eingestellt werden, dass nie mehr als eine bestimmte Menge des sogenannten Bolus-Insulins abgegeben wird. Jeder danach vorgenommene Versuch, diese Menge zu überschreiten, löse einen Alarm aus.
Vorbildliche Reaktion
Gefunden hat die Gefahrenquelle der IT-Sicherheitsexperte Jay Radcliffe, berichtet die FAZ. Der sei selbst Diabetes-Patient des Typs 1 und habe aus Neugier seine Insulinpumpe untersucht. Das Problem der unverschlüsselten Funkverbindung hat er demnach im April an Johnson & Johnson gemeldet, woraufhin seine Erkenntnis überprüft und verifiziert worden sei. Er selbst lobte demnach die Zusammenarbeit mit dem Gerätehersteller. Der weist nun in den USA und Kanada, wo die betroffenen Pumpen ausschließlich vertrieben werden, auf das Problem hin. Gegenüber heise online erklärte Johnson & Johnson, für die hierzulande verkauften Insulinpumpen des Konzerns gelte die Warnung nicht. (mho)