Hack mit dem Herzschrittmacher

INTERNET Makabre Demonstration: Bei einer Sicherheitskonferenz kommt zutage, wie man Defibrillatoren zu Mordinstrumenten verwandeln kann – per Elektroschock

VON ANNA JIKHAREVA
UND PHILIPP NIEDRING

BERLIN taz | Barnaby Jack, IT-Experte bei der Sicherheitsfirma IO Active, hat von Berufs wegen schon einiges manipuliert, sogar Geldautomaten oder Insulinpumpen. Nun demonstrierte der australische Hacker, welche Gefahr von einem manipulierten Cardioverter-Defibrillatoren, einer Art Herzschrittmacher, ausgehen kann.

Diese Geräte gleichen Herzrhythmusstörungen durch leichte Elektroschocks aus. Dabei wird ein zu schnell schlagendes Herz durch den Stromstoß des Defibrillators kurzfristig zum Stillstand gebracht, damit es dann im normalen Rhythmus weiterschlägt. Die Defibrillatoren sind mit einem externen Sender ausgestattet. Dieser nimmt die Herzrhythmus-„Ereignisse“ aus dem Implantat durch drahtlose Signale auf und sendet sie an einen Rechner beim Kardiologen weiter. Der Arzt soll so Probleme frühzeitig erkennen können.

In Deutschland trugen 2011 etwa 40.000 Patienten Defibrillatoren. Die Vorteile der Überwachung liegen auf der Hand. Dennoch: Der kabellose Datenverkehr zwischen den Geräten birgt ein nicht zu unterschätzendes Sicherheitsrisiko.

Jack zeigte während eines Vortrags bei der Sicherheitskonferenz Breakpoint im australischen Melbourne, wie man aus etwa zehn Metern Entfernung auf die Daten des Transmitters zugreifen kann. Für den Hack hatte sich der Experte Zugang zur Modell- und Seriennummer des Implantats verschafft.

Bei manchen Herstellern reichen diese Daten aus, um sich zu authentifizieren. Wenn der Kommunikationscode zwischen Sender und Defibrillator einmal gehackt ist, können dem Träger des Implantats so Elektroschocks mit einer Stromspannung von bis zu 830 Volt verabreicht werden. Die Folge: Der Patient wäre sofort tot.

Das Sicherheitssystem der Herstellerfirma ist sogar offenbar so löchrig, dass Hacker in den Entwicklungsserver eindringen können. Damit wäre es möglich, Programme zu schreiben, die mehrere Geräte gleichzeitig manipulieren. Im schlimmsten Fall könnte die kabellose Attacke sogar als Werkzeug zum „Massenmord“ instrumentalisiert werden, warnt das SC Magazine, eine IT-Zeitschrift.

Das sehen nicht alle so. Andreas Bohne von der Herstellerfirma Medtronic schätzt das Risiko als „gering“ ein, denn „nur auf wenige Herzschrittmacher könne über größere Distanzen zugegriffen werden“. Rückendeckung bekommt er aus der Medizin. Mattias Roser, Facharzt für innere Medizin und Kardiologie an der Berliner Charité, erscheint „die Manipulation eines Defibrillatoren wenig realistisch“. Der Grund: „Die Telemetrie funktioniert nicht bidirektional. Das heißt: Wir können zwar Diagnoseparameter von Herzschrittmachern oder Defibrillatoren erhalten, jedoch aus der Ferne das Gerät nicht umprogrammieren, geschweige denn einen Schock auslösen oder die Funktion ausprogrammieren“, sagt Roser zur taz. Ob eine Steuerung bidirektional möglich ist oder nicht, hängt jedoch auch stark von Gerät und Hersteller ab. Das von Jack gehackte Gerät war zweifelsfrei in beide Richtungen steuerbar.

Bereits 2008 ergab eine US-Studie, wie Defibrillatoren manipuliert werden können. Bis heute ist zwar noch kein vergleichbarer Fall aus der Praxis bekannt. Dennoch meint der Koordinator des Stabs für strategische IT-Sicherheit beim Auswärtigen Amt, Sandro Gaycken, dass „das Gefahrenpotenzial auf keinen Fall unterschätzt werden darf“. Laut Gaycken könnten kriminelle Hacker die Informationen zur Erpressung nutzen – oder damit Handel betreiben. Alles technisch sehr aufwendig. „Das heißt aber nicht“, sagt Gaycken, „dass derartige Szenarien unrealistisch sind.“