Die Herzschlag-Verschlüsselung

Informatiker arbeiten an einem neuartigen Verfahren, mit dem Hackerangriffe auf Medizingeräte abgewehrt werden können.

Immer mehr Implantate, seien es nun Insulinpumpen, Herzschrittmacher oder Defibrillatoren, sind zu Servicezwecken drahtlos ansprechbar, damit Ärzte Messdaten abrufen oder Techniker nötigenfalls eine neue Software einspielen können. Das Problem: Die Außenanbindung bietet immer auch Angriffsflächen für Hackerangriffe.

Sicherheitsforscher haben bereits gezeigt, dass es möglich ist, einen Defibrillator so umzuprogrammieren, dass sich seine Batterie zu schnell leert und er im Falle eines Herzstillstandes inaktiv bleibt. Demonstriert wurde sogar, wie sich ein solches Gerät zum Auslösen eines 700 Volt starken Stromschlages bewegen lässt.

Wissenschaftler an der Rice University haben nun zusammen mit der Sicherheitsfirma RSA ein Verfahren entwickelt, das diese und ähnliche Attacken verhindern soll. Dazu wird der Herzschlag eines Patienten ausgelesen, um sicherzustellen, dass nur jemand das Gerät umprogrammieren oder Daten herunterladen kann, der auch tatsächlich in direktem Kontakt mit dieser Person steht. Versucht es ein Angreifer aus der Ferne, wird ihm der Zugang verwehrt.

Bei der neuen Methode hält der Arzt zunächst ein Prüfgerät an den Körper des Patienten und kann so seinen Herzschlag auslesen. Diese Daten werden dann mit einem Signal verglichen, das drahtlos vom Implantat übertragen wird. Erst wenn beide Werte übereinstimmen, wird Zugriff auf das Implantat gewährt. Der drahtlose Austausch der Signale erfolgt verschlüsselt, so dass es nicht möglich sein soll, diese Kommunikation abzufangen.

"Dieser Ansatz adressiert ein ernstes Problem, für das es bislang wenig existierende Lösungen gibt", sagt Shane Clark, Wissenschaftler bei BBN Technologies und ehemaliger Masterstudent im Labor von Kevin Fu, einem Experten für die Sicherheit von Medizingeräten. Es sei schwierig, sichere Implantate herzustellen. "Genau das ermöglicht dieses Verfahren."

Clark hält die Lösung auch für eine Möglichkeit, Schwierigkeiten zu vermeiden, wenn ein Arzt oder Nothelfer direkt Zugriff auf das Implantat haben muss. Es müsse weder ein Passwort eingegeben werden noch sei es notwendig, die Identität des Patienten zu bestätigen. In einer Notsituation sei beides schwierig.

Zwar gibt es bereits verschiedene Versuche, den Herzschlag einer Person als biometrisches Merkmal zu verwenden. In diesem Fall wird aber nur überprüft, ob zwei Geräte das gleiche Signal erfassen. "Das Herz produziert praktischerweise einen zufälligen Bitstrom, den wir anzapfen können, um sicherzustellen, dass wir es mit den gleichen Signalen zur gleichen Zeit zu tun haben", sagt Ari Juels, Chefwissenschaftler an den RSA Laboratories in Cambridge, Massachusetts. Juels ist Co-Erfinder des neuen Verfahrens. Die Technik sei sogar noch etwas schlauer: Sie erfasst die Pausen zwischen den einzelnen Schlägen. "Unser Ansatz prüft kein biometrisches Signal, wir checken nur, ob beide Werte identisch sind."

Der Verschlüsselungsschritt bei der Kommunikation zwischen Implantat und Prüfgerät bleibt aber wichtig. Dieser sorgt dafür, dass ein möglicher Angreifer das Signal nicht abfangen kann, um das Gerät dann doch umzuprogrammieren. "Die Tatsache, dass wir hier ein sich zufällig veränderndes Symbol verwenden, heißt außerdem, dass es nicht möglich ist, ein Profil des Herzschlages zu bilden, um den Angriff dann etwas später nachzuholen."

Derzeit nutzen Ärzte und Medizinpersonal die Drahtlosverbindung, um Updates einzuspielen oder Informationen zu ungewöhnlichen Ereignissen auszulesen – beispielsweise Herzschocks, wenn eine Insulindosis verabreicht wird. Dazu ist dank der Funktechnik kein chirurgischer Eingriff notwendig, wie das früher der Fall gewesen wäre.

Doch ein solches System basiere derzeit noch auf Vertrauen, meint Masoud Rostami, Doktorand an der Rice University und Co-Erfinder des neuen Verfahrens. "Unglücklicherweise haben die meisten Hersteller noch keinerlei Sicherheitsmaßnahmen vorgesehen. Sie haben nicht einmal einfache Passwörter eingebaut." Die Hersteller befürchteten, dass diese in Notsituationen Schwierigkeiten bereiten könnten. Derzeit interagieren Nothelfer zwar selten direkt mit den Geräten. Doch in Zukunft könnte sich das ändern, weil der sofortige Download der Daten die Diagnose vereinfacht.

Egal, wie schnell Hersteller reagieren: Sicherer dürften die Implantate erst in einigen Jahren werden. Zunächst müsste das neue Verfahren von den Gesundheitsbehörden freigegeben werden "Angesichts der langen Lebenszyklen dieser Produkte kann es dauern, bis die Technik den Markt erreicht", sagt Experte Clark. (bsc)