Unzureichend abgesichert: Defibrillator-Implantate offen fĂĽr Hacker-Attacken
Viele Implantate gegen Herzrhythmusstörungen von Medtronic sind über eine kritische Lücke attackierbar. Updates stehen noch aus.
(Bild: Image by Pexels from Pixabay)
Offensichtlich ist der Hersteller von Medizintechnik Medtronic bei der Sicherheit seiner lebensrettenden Geräte nachlässig: Viele Defibrillator-Implantate sind über zwei Sicherheitslücken (CVE-2019-6538, CVE-2019-6540) attackierbar. Eine Schwachstelle gilt als "kritisch". Im schlimmsten Fall könnten Angreifer die Geräte offenbar so manipulieren, dass sie im Ernstfall sogar versagen könnten, warnt die Cybersecurity and Infrastructure Security Agency (CISA) in einem Beitrag.
Trotz der kritischen Einstufung mĂĽssen mehrere Voraussetzungen fĂĽr einen erfolgreichen Angriff gegeben sein. In einer Sicherheitswarnung versichert Medtronic, dass es bislang noch keine bekannten Attacken auf die LĂĽcken gibt. In der Warnung listet der Hersteller auch die betroffenen Modelle auf.
UnverschlĂĽsselt und ohne Anmeldung
Um die kritische Lücke auszunutzen, müsste sich ein Angreifer in Funkreichweite eines Patienten mit einem verwundbaren Implantat befinden. Da die Kommunikation zwischen dem Defibrillator und einer Kontrollstation ohne Authentifikation stattfindet, könnte sich ein Angreifer in die Verbindung einklinken und so eigene Befehle in den Speicher des Implantats schreiben.
Medtronic zufolge mĂĽsste ein Angreifer dafĂĽr aber ĂĽber detailliertes Wissen des jeweiligen Implantat-Modells und der DatenĂĽbertragung verfĂĽgen. AuĂźerdem sollen die Funkverbindung bei den Defibrillatoren nicht dauerhaft aktiv sein. Das sei nur bei einem Arzt fĂĽr PrĂĽfzwecke, oder wenn Patienten das Implantat zu Hause mit einem Ăśberwachungsmonitor abgleichen, der Fall.
Eventuell könnte ein Angreifer die zweite Lücke zum Auslesen von Informationen über das Implantat ausnutzen: Die Übertragung von Informationen findet unverschlüsselt statt.
Updates noch nicht verfĂĽgbar
Medtronic missachtet mit der unverschlüsselten Kommunikation und der fehlenden Authentifikation zwei Grundpfeiler von IT-Security – das ist grob fahrlässig. Sicherheitsupdates sind in Arbeit, bislang aber noch nicht verfügbar. Bis dahin rät der Hersteller, die Medizintechnik wie gewohnt zu nutzen und darauf zu achten, die Implantate ausschließlich mit Geräten des Herstellers zu verbinden. Darüber hinaus empfehlen sie betroffenen Patienten mit ihrem Arzt zu sprechen.
Es ist nicht das erste Mal, dass Medtronic fĂĽr Negativ-Schlagzeilen sorgt: Im Sommer 2018 zeigten Teilnehmer des Hacker-Kongresses Black Hat zwei schwerwiegende SicherheitslĂĽcken in Herzschrittmachern und Insulinpumpen des Herstellers auf. (des)
