Tödlicher Angriff auf Herzschrittmacher möglich
Implantate wie Herz- oder Gehirnschrittmacher oder Defibrillatoren sind gegenüber Hackerangriffen nicht geschützt
Ende August hatte ein Bericht der GAO, des unabhängigen Wissenschaftsdienstes des US-Kongresses, auf die Sicherheitsmängel von implantierten medizinischen Geräte mit Stromversorgung und Funkverbindung wie Herz- oder Gehirnschrittmachern, Defibrillatoren oder Insulinpumpen hingewiesen. Störungen könnten unbeabsichtigt durch elektromagnetische Spannung in der Umgebung oder auch durch beabsichtigten, aber nichtautorisierten Zugriff geschehen. Zwar seien noch keine Hacks bekannt geworden, so die für die Zulassung von Medikamenten und medizinischen Techniken zuständige Food and Drug Administration (FDA), aber Wissenschaftler konnten zeigen, dass dies möglich ist, weil dafür keine Sicherheitsvorkehrungen vorhanden sind. Experten warnen, dass das Schließen der Sicherheitslücken aber Probleme von deren Leistung mit sich bringen könne. Die GAO kritisiert auch, dass die FDA bis 2006 zwar unbeabsichtigte Risiken, nicht aber Risiken durch Hacken bei der Zulassung von Geräten berücksichtigt habe. Bis vor kurzem habe die Behörden Risiken durch Hacken, d.h. "Informationssicherheit", als keine realistische Bedrohung betrachtet, will dies aber in Reaktion auf den GAO-Bericht in Zukunft mit berücksichtigen.
Es scheint weit hergeholt zu sein, dass Hacker versuchen könnten, implantierte Geräte zu manipulieren, um den Personen zu schaden, in deren Körper sie sich befinden. Aber so undenkbar ist es nicht, dass Kriminelle oder Agenten, wenn sie wissen, dass Menschen solche Implantate haben, diese durch einen Angriff so manipulieren, dass der Träger wehrlos wird oder stirbt, um ihn auszuschalten oder auszurauben. Bei Gehirn- oder Herzschrittmachern oder Defibrillatoren hätte man hier leichtes Spiel. Der Sydney Morning Herald malt die Szenerie eines surrealistischen Aktes genüsslich aus, um die mögliche Gefährdung zu illustrieren. So sei es denkbar, dass ein Hacker aus der Ferne eine Menschenmasse beobachtet und dann auf gut Glück Herzschrittmacher manipuliert: "Zehn Menschen fassen sich an die Brust und fallen tot zu Boden. Der Hacker geht weg und hinterlässt keinen Beweis für den Massenmord, den er gerade begangen hat."
Die Vorstellung muss jeden beunruhigen, der ein solches ungesichertes Implantat besitzt und im Prinzip solchen terroristischen Angriffen wehrlos ausgesetzt ist. Anlass für die Berichterstattung war die Breakpoint-Sicherheitskonferenz in Melbourne, auf der Barnaby Jack Mitte Oktober vorgeführt hat, dass er einen tödlichen Elektroschock von 830 Volt aus der Ferne in einem Herzschrittmacher auslösen konnte, nachdem er ihn gehackt hatte. Viele der medizinischen Implantate ermöglichen eine Funkverbindung, die nur durch einen Benutzernamen und Kennwort, normalerweise die Serien- und Modellnummer, geschützt sind, aber nicht durch Verschlüsselung. Die kann man aus der Ferne herauskriegen. Zudem müssen, so Jack, die Geräte so konstruiert sein, dass die Ärzte in einem Notfall schnell darauf zugreifen können, was aber dann auch Unbefugte machen können.
Nach Jack senden die Ärzte ein Datenpaket, um in der Umgebung Defibrillatoren oder Herzschrittmacher aufzuspüren, die ihre Serien- und Modellnummer weitergeben. Zumindest ist dies möglich. Damit kann man dann die Geräte steuern oder Software-Updates starten, aber eben auch aus einer Entfernung bis zu 12 Metern den Befehl geben, das Herz tödlich zu schocken. Man könne auch einen Computerwurm für spezielle Geräte schreiben, der sich dann von Gerät zu Gerät, wenn Personen einander nahe genug kommen, fortpflanzen.
Jack, andere Hacker und GAO machen zwar nur ohne böse Absichten auf das Sicherheitsproblem aufmerksam, aber eben dadurch könnten sie auch andere Menschen überhaupt erst auf die Idee bringen, dass solche Sicherheitslücken bestehen, die sich ausnutzen ließen. Besonders riskant ist, dass die Funkverbindung über mehrere Meter weit reicht, was Angriffe erleichtert und eigentlich nicht notwendig wäre.
Neu ist das Risiko freilich nicht. Jack hatte schon letztes Jahr auf einer Sicherheitskonferenz demonstriert, dass sich eine Insulinpumpe von Medtronic hacken lässt. Und 2008 hatte das Medical Device Security Center bereits eine Studie veröffentlicht, in der gezeigt wurde, wie sich Herzschrittmacher hacken lassen, um sie auszuschalten oder einen tödlichen Schlag geben zu lassen. Damals hieß es noch, das Risiko sei vernachlässigbar, man solle die betroffenen Menschen nicht beunruhigen. Geschehen ist seitdem nichts. Vermutlich muss erst ein solcher Anschlag vorkommen, bis gehandelt wird, schließlich laufen Millionen von Menschen mit Herzschrittmachern und anderen Implantaten herum. Die Frage ist nur, ob Todesfälle auch daraufhin untersucht werden, ob das Gerät gehackt wurde?