Hacker-Angriff auf medizinische Geräte: Defibrillator als Mordwaffe

BERLIN taz | Barnaby Jack, IT-Experte bei der Sicherheitsfirma IO Active, hat zu Forschungszwecken schon einiges manipuliert: Geldautomaten, Insulinpumpen und zuletzt auch einen Defibrillator. Auf der Sicherheitskonferenz Breakpoint demonstrierte Jack Mitte Oktober, welche Gefahr von implantierbaren Cardioverter-Defibrillatoren ausgehen kann.

Diese Geräte gleichen Herzrhythmusstörungen durch leichte Elektroschocks aus. Dabei wird ein zu schnell schlagendes Herz durch den Stromstoß des Defibrillators kurzfristig zum Stillstand gebracht, um dann sofort im normalen Rhythmus weiter zu schlagen.

Die meisten Defibrillatoren sind mit einem externen Transmitter ausgestattet, den die Patienten im Umkreis von etwa 2 Metern um ihr Bett positionieren müssen. Der Transmitter nimmt die Herzrhythmusereignisse aus dem Implantat durch drahtlose Signale auf und leitet sie an den Kardiologen weiter. Somit können Unregelmäßigkeiten und Probleme frühzeitig erkannt und entsprechend behandelt werden. In Deutschland trugen 2011 etwa 40.000 Patienten Defibrillatoren.

Die Vorteile einer solchen Überwachung liegen auf der Hand. Dennoch: Der kabellose Datenverkehr zwischen den Geräten birgt ein nicht zu unterschätzendes Sicherheitsrisiko.

Jack's Hack-Experiment

Jack zeigte während seines Vortrags, wie man aus etwa 10 Metern Entfernung auf die Daten des Transmitters zugreifen, und ihn somit manipulieren kann. Für den Hack hat der Experte einen Transmitter rückentwickelt (im Wesentlichen: auseinandergebaut) und sich so Zugang zur Modell- und Seriennummer des Implantats verschafft.

Bei manchen Herstellern reichen diese Daten aus, um sich bei dem Implantat zu authentifizieren. Ist der Kommunikationscode zwischen dem Transmitter und dem Defibrillator einmal gehackt, können dem Träger des Implantats Elektroschocks von bis zu 830 Volt verabreicht werden. Die Folge: der Patient wäre sofort tot.

Viel gravierendender ist, dass Jack beim Rückentwickeln des Transmitters auf Benutzernamen und Passwörter für den Entwicklungsserver des Herstellers gestoßen ist.

Damit wäre es möglich, Programme zu schreiben, die mehrere Geräte gleichzeitig manipulieren. Im schlimmsten Fall könnte die kabellose Attacke somit als Werkzeug zum „Massenmord" instrumentalisiert werden, berichtet das SC Magazine, eine amerikanische IT-Zeitschrift.

Industrie und Medizin geben Entwarnung

Vertreter aus Industrie und Medizin betrachten die Ergebnisse von Jacks Hack-Experiment jedoch skeptisch. Andreas Bohne von der Herstellerfirma Medtronic schätzt das Sicherheitsrisiko als „gering" und „unwahrscheinlich" ein, denn „nur auf wenige Herzschrittmacher könne über größere Distanzen zugegriffen werden".

Rückendeckung bekommt die Herstellerfirma auch aus der Medizin. Auf Nachfrage bei der Berliner Charité erscheint Mattias Roser, Facharzt für innere Medizin und Kardiologie „die Manipulation eines Defibrillatoren wenig realistisch".

Der Grund:„Die Telemetrie funktioniert nicht bidirektional. Das heißt wir können zwar Diagnoseparameter von Herzschrittmachern oder Defibrillatoren erhalten, jedoch aus der Ferne das Gerät nicht umprogrammieren, geschweige denn einen Schock auslösen oder die Funktion ausprogrammieren", versichert der Facharzt. Ob eine Steuerung bidirektional möglich ist oder nicht, hängt jedoch auch hier stark von Gerät und Hersteller ab. Das von Jack gehackte Gerät war, wie bei dem Experiment gezeigt, zweifelsfrei bidirektional steuerbar.

Unwahrscheinlich, aber nicht unrealistisch

Schon 2008 wurde in der Forschung auf Mängel hingewiesen. Neun US-Wissenschaftler veröffentlichten eine Studie, in der sie Sicherheitsrisiken von Defibrillatoren untersuchten. Das Team aus Elektrotechnikern, Informatikern und einem Kardiologen demonstrierte, wie die Geräte manipuliert werden können. Somit können Patienteninformationen weitergegeben, und, wie oben beschrieben, tödliche Elektroschocks abgegeben werden.

Bis heute ist noch kein vergleichbarer Fall in der Praxis bekannt. Dennoch meint der Koordinator des Stabs für strategische IT-Sicherheit beim Auswärtigem Amt, Sandro Gaycken, dass „das Gefahrenpotenzial auf keinen Fall unterschätzt werden darf.“

Drei mögliche Szenarien

Laut Gaycken sind drei Szenarien denkbar: Dadurch, dass man relativ einfach auf die im Transmitter gespeicherten Patientendaten zugreifen kann, könnten kriminelle Hacker die Informationen zur Erpressung nutzen oder damit Handel betreiben.

Das zweite Szenario beinhaltet eine Manipulation der Steuerungskomponenten von Herzschrittmachern, so wie Jack es vorgeführt hat. Problematisch dabei ist, dass manche Hersteller ihre Geräte direkt mit Updates aus dem Internet versorgen. Laut Gaycken bestehe die Schwierigkeit nicht darin, das System zu hacken, sondern dessen Funktionsweise vollständig zu durchleuchten, um Steuerungsbefehle wie tödliche Stromstöße auszuführen. Das würde sehr viel Zeit und Know-how beanspruchen, so der Forscher.

Wesentlich einfacher ist es hingegen, den Datenverkehr zwischen den Geräten komplett zu unterbinden. Beim dritten Szenario würde also im Falle von akuten Unregelmäßigkeiten beim Patienten oder beim Implantat gar kein Signal an den Überwachungsmonitor des Kardiologen gesendet. Die Folgen wären tödlich.

Gaycken hält alle drei Fälle sowie Jacks Massenmord-Szenario für technisch sehr aufwendig. „Das heißt aber nicht, dass derartige Szenarien unrealistisch sind. Im Gegenteil: Durch den steigenden Einsatz drahtloser Kommunikation wird die Anfälligkeit medizinischer Implantate für Störungen tendenziell größer als kleiner", betont der Experte.

Außerdem: Selbst wenn die Geräte nicht direkt mit dem Internet verbunden sind, besteht ein beachtliches Restrisiko. Nämlich dadurch, dass Herzschrittmacher letztlich durch die Computer der Kardiologen mit dem Netz verbunden sind. Auf diese Weise könnten auch herkömmliche Internetviren auf die Geräte übertragen werden und deren Funktionsfähigkeit beeinträchtigen, warnt Gaycken.

US-Rechnungshof sieht Handlungsbedarf

Auch der amerikanische Rechnungshof fand im August in einer Untersuchung heraus, dass implantierbare medizinische Geräte anfällig für Störungen sind. Die Behörde rief den US-Kongress daher zu entsprechenden Regulierungsmaßnahmen auf. Gaycken ist ebenfalls der Ansicht, dass staatliche Regulierung viel dazu beitragen kann, die Sicherheitsrisiken zu minimieren – beispielsweise durch die Einführung einheitlicher Sicherheitszertifikate.

Technisch gesehen ist also eine kabellose Attacke durchaus möglich. Und trotz vermeintlicher Entwarnung aus Industrie und Medizin ist Jack's Hacker-Angriff ein eindrucksvoller Beweis dafür, wie anfällig medizinische Implantate für Manipulationen sind.