"Los, Hacker, brecht mir das Herz!": Sicherheit von vernetzter Medizintechnik auf dem Prüfstand

Implantierbare Medizintechnik wie Herzschrittmacher schließt Patienten ans Internet der Dinge an - mit allen zusätzlichen Sicherheitsproblemen. Sicherheitsforscherin Marie Moe will, dass sich die Hacker-Community mehr um die Sicherheit der Geräte kümmert.

In Pocket speichern vorlesen Druckansicht 125 Kommentare lesen
Herzschrittmacher

Röntgenbild eines implantierten, klassischen Einkammer-Herzschrittmachers

(Bild: Thomas Zimmermann, Lizenz Creative Commons CC BY-SA 3.0 DE)

Lesezeit: 2 Min.
Von
  • Jürgen Kuri

Marie Moe ist IT-Sicherheitsforscherin. Und ihr Leben hängt seit vier Jahren von der einwandfreien Funktion eines implantierten Herzschrittmachers ab. Moe will daher genau wissen, wie es um die Sicherheit solcher Medizintechnik steht.

Nun fordert sie erneut die Community der Hacker und Sicherheitsforscher auf, sich intensiver mit solcher Medizintechnik zu beschäftigen, "um Wege zu finden, sie sicherer zu machen": "Go Ahead, Hackers. Break My Heart."

Auf dem 32. Chaos Communication Congress 2015 hatte sie zusammen mit Éireann Leverett erste Ergebnisse ihrer eigenen Untersuchungen an Herzschrittmachern vorgestellt.

Bislang sind Geräte wie Herzschrittmacher für den betroffenen Patienten recht undurchsichtige Geräte. Zwar bekommt man als Betroffener, dem etwa ein Herzschrittmacher (zur künstlichen Stimulation des Herzschlags) oder ein implantierbarer Defibrillator (zur Normalisierung des Herzschlags bei Herzrhythmusstörungen) eingesetzt wird, die grundlegende Funktionsweise erklärt. Mit Details über die Soft- beziehungsweise Firmware der Geräte, Informationen über die Funktionsweise der Schnittstellen zum Programmieren und Auslesen der Funktionsdaten oder gar Einblick in den Code der Geräte-Software halten sich die Hersteller aber sehr bedeckt.

Aber bereits 2008 hatten Forscher bei klassischen Herzschrittmachern und implantierbaren Defibrillatoren mit proprietärer Kurzfunkstrecke zum Auslesen der Daten und zum Programmieren Sicherheitslücken ausgemacht und dargestellt, wie sich diese Geräte manipulieren lassen – allerdings nur über sehr kurze Entfernungen von wenigen Zentimetern.. 2013 wollte Barnaby Jack auf der Black-Hat-Konferenz demonstrieren, wie sich implantierbare Medizintechnik auch über größere Entfernungen auslesen und manipulieren lässt – starb aber kurz zuvor. Moderne Geräte jedenfalls, die mit NFC-Schnittstellen oder gar WLAN-Zugang ausgestattet werden, sind für solche externen Angriffe noch anfälliger – ganz abgesehen von Bugs und Lücken in der Firmware der Geräte.

Die US-Nahrungs- und -Arzneimittel-Aufsicht FDA hatte Anfang des Jahres aus Berichten über neue Funkschnittstellen, Sicherheitsproblemen und Hacks von Medizintechnik bereits erste Konsequenzen gezogen und einen Richtlinien-Entwurf veröffentlicht, der Medizintechnikhersteller zu mehr Sicherheit verpflichten soll.

Moe reicht das aber nicht: Sicherheitsforschung in Form von präventiven Hacks, gefolgt von einer abgestimmten Veröffentlichung entdeckter Sicherheitslücken und Bugfixes durch die Hersteller, könne Leben retten. Denn in vielen Fällen hänge von der implantierten Medizintechnik das Leben ihrer Träger ab. Noch sei zwar niemand etwa durch einen gehackten Herzschrittmacher gestorben, aber Patienten hätten bereits ihr Leben verloren durch Fehlfunktionen, Fehlkonfigurationen und Softwarebugs bei Medizintechnik. (jk)