# taz.de -- Hacker-Angriff auf medizinische Geräte: Defibrillator als Mordwaffe
> Auf einer IT-Konferenz in Australien wurde eindrucksvoll demonstriert,
> wie man Defibrillatoren zu Mordinstrumenten umwandeln kann.
(IMG) Bild: Ein Ziel für Hacker? Implantierte Defibrillatoren
BERLIN taz | Barnaby Jack, IT-Experte bei der Sicherheitsfirma IO Active,
hat zu Forschungszwecken schon einiges manipuliert: Geldautomaten,
Insulinpumpen und zuletzt auch einen Defibrillator. Auf der
Sicherheitskonferenz Breakpoint demonstrierte Jack Mitte Oktober, welche
Gefahr von implantierbaren Cardioverter-Defibrillatoren ausgehen kann.
Diese Geräte gleichen Herzrhythmusstörungen durch leichte Elektroschocks
aus. Dabei wird ein zu schnell schlagendes Herz durch den Stromstoß des
Defibrillators kurzfristig zum Stillstand gebracht, um dann sofort im
normalen Rhythmus weiter zu schlagen.
Die meisten Defibrillatoren sind mit einem externen Transmitter
ausgestattet, den die Patienten im Umkreis von etwa 2 Metern um ihr Bett
positionieren müssen. Der Transmitter nimmt die Herzrhythmusereignisse aus
dem Implantat durch drahtlose Signale auf und leitet sie an den Kardiologen
weiter. Somit können Unregelmäßigkeiten und Probleme frühzeitig erkannt und
entsprechend behandelt werden. In Deutschland trugen 2011 etwa 40.000
Patienten Defibrillatoren.
Die Vorteile einer solchen Überwachung liegen auf der Hand. Dennoch: Der
kabellose Datenverkehr zwischen den Geräten birgt ein nicht zu
unterschätzendes Sicherheitsrisiko.
## Jack's Hack-Experiment
Jack zeigte während seines Vortrags, wie man aus etwa 10 Metern Entfernung
auf die Daten des Transmitters zugreifen, und ihn somit manipulieren kann.
Für den Hack hat der Experte einen Transmitter rückentwickelt (im
Wesentlichen: auseinandergebaut) und sich so Zugang zur Modell- und
Seriennummer des Implantats verschafft.
Bei manchen Herstellern reichen diese Daten aus, um sich bei dem Implantat
zu authentifizieren. Ist der Kommunikationscode zwischen dem Transmitter
und dem Defibrillator einmal gehackt, können dem Träger des Implantats
Elektroschocks von bis zu 830 Volt verabreicht werden. Die Folge: der
Patient wäre sofort tot.
Viel gravierendender ist, dass Jack beim Rückentwickeln des Transmitters
auf Benutzernamen und Passwörter für den Entwicklungsserver des Herstellers
gestoßen ist.
Damit wäre es möglich, Programme zu schreiben, die mehrere Geräte
gleichzeitig manipulieren. Im schlimmsten Fall könnte die kabellose Attacke
somit als Werkzeug zum „Massenmord" instrumentalisiert werden, berichtet
das SC Magazine, eine amerikanische IT-Zeitschrift.
## Industrie und Medizin geben Entwarnung
Vertreter aus Industrie und Medizin betrachten die Ergebnisse von Jacks
Hack-Experiment jedoch skeptisch. Andreas Bohne von der Herstellerfirma
Medtronic schätzt das Sicherheitsrisiko als „gering" und „unwahrscheinlich"
ein, denn „nur auf wenige Herzschrittmacher könne über größere Distanzen
zugegriffen werden".
Rückendeckung bekommt die Herstellerfirma auch aus der Medizin. Auf
Nachfrage bei der Berliner Charité erscheint Mattias Roser, Facharzt für
innere Medizin und Kardiologie „die Manipulation eines Defibrillatoren
wenig realistisch".
Der Grund:„Die Telemetrie funktioniert nicht bidirektional. Das heißt wir
können zwar Diagnoseparameter von Herzschrittmachern oder Defibrillatoren
erhalten, jedoch aus der Ferne das Gerät nicht umprogrammieren, geschweige
denn einen Schock auslösen oder die Funktion ausprogrammieren", versichert
der Facharzt. Ob eine Steuerung bidirektional möglich ist oder nicht, hängt
jedoch auch hier stark von Gerät und Hersteller ab. Das von Jack gehackte
Gerät war, wie bei dem Experiment gezeigt, zweifelsfrei bidirektional
steuerbar.
## Unwahrscheinlich, aber nicht unrealistisch
Schon 2008 wurde in der Forschung auf Mängel hingewiesen. Neun
US-Wissenschaftler veröffentlichten eine Studie, in der sie
Sicherheitsrisiken von Defibrillatoren untersuchten. Das Team aus
Elektrotechnikern, Informatikern und einem Kardiologen demonstrierte, wie
die Geräte manipuliert werden können. Somit können Patienteninformationen
weitergegeben, und, wie oben beschrieben, tödliche Elektroschocks abgegeben
werden.
Bis heute ist noch kein vergleichbarer Fall in der Praxis bekannt. Dennoch
meint der Koordinator des Stabs für strategische IT-Sicherheit beim
Auswärtigem Amt, Sandro Gaycken, dass „das Gefahrenpotenzial auf keinen
Fall unterschätzt werden darf.“
## Drei mögliche Szenarien
Laut Gaycken sind drei Szenarien denkbar: Dadurch, dass man relativ einfach
auf die im Transmitter gespeicherten Patientendaten zugreifen kann, könnten
kriminelle Hacker die Informationen zur Erpressung nutzen oder damit Handel
betreiben.
Das zweite Szenario beinhaltet eine Manipulation der Steuerungskomponenten
von Herzschrittmachern, so wie Jack es vorgeführt hat. Problematisch dabei
ist, dass manche Hersteller ihre Geräte direkt mit Updates aus dem Internet
versorgen. Laut Gaycken bestehe die Schwierigkeit nicht darin, das System
zu hacken, sondern dessen Funktionsweise vollständig zu durchleuchten, um
Steuerungsbefehle wie tödliche Stromstöße auszuführen. Das würde sehr viel
Zeit und Know-how beanspruchen, so der Forscher.
Wesentlich einfacher ist es hingegen, den Datenverkehr zwischen den Geräten
komplett zu unterbinden. Beim dritten Szenario würde also im Falle von
akuten Unregelmäßigkeiten beim Patienten oder beim Implantat gar kein
Signal an den Überwachungsmonitor des Kardiologen gesendet. Die Folgen
wären tödlich.
Gaycken hält alle drei Fälle sowie Jacks Massenmord-Szenario für technisch
sehr aufwendig. „Das heißt aber nicht, dass derartige Szenarien
unrealistisch sind. Im Gegenteil: Durch den steigenden Einsatz drahtloser
Kommunikation wird die Anfälligkeit medizinischer Implantate für Störungen
tendenziell größer als kleiner", betont der Experte.
Außerdem: Selbst wenn die Geräte nicht direkt mit dem Internet verbunden
sind, besteht ein beachtliches Restrisiko. Nämlich dadurch, dass
Herzschrittmacher letztlich durch die Computer der Kardiologen mit dem Netz
verbunden sind. Auf diese Weise könnten auch herkömmliche Internetviren auf
die Geräte übertragen werden und deren Funktionsfähigkeit beeinträchtigen,
warnt Gaycken.
## US-Rechnungshof sieht Handlungsbedarf
Auch der amerikanische Rechnungshof fand im August in einer Untersuchung
heraus, dass implantierbare medizinische Geräte anfällig für Störungen
sind. Die Behörde rief den US-Kongress daher zu entsprechenden
Regulierungsmaßnahmen auf. Gaycken ist ebenfalls der Ansicht, dass
staatliche Regulierung viel dazu beitragen kann, die Sicherheitsrisiken zu
minimieren – beispielsweise durch die Einführung einheitlicher
Sicherheitszertifikate.
Technisch gesehen ist also eine kabellose Attacke durchaus möglich. Und
trotz vermeintlicher Entwarnung aus Industrie und Medizin ist Jack's
Hacker-Angriff ein eindrucksvoller Beweis dafür, wie anfällig medizinische
Implantate für Manipulationen sind.
29 Oct 2012
## AUTOREN
(DIR) Anna Jikhareva
(DIR) Philipp Niedring
## TAGS
(DIR) Hacking
(DIR) Medizintechnik
(DIR) Hacking
## ARTIKEL ZUM THEMA
(DIR) Zehn Jahre Haft für Spionage: Hollywood-Hacker verurteilt
Ein Hacker hatte in den USA Hollywood-Stars, darunter Scarlet Johansson,
ausspioniert. Jetzt muss der Mann für zehn Jahre ins Gefängnis.
(DIR) Hacker-Angriffe auf US-Unternehmen: Iran weist Vorwürfe zurück
Die USA vermuten Teheran hinter Cyber-Angriffen auf amerikanische Ölfirmen
und Banken. Wahrscheinlich sind es Reaktionen auf Sanktionsmaßnahmen gegen
den Iran.
(DIR) Transportsystem für Spenderherzen: Damit das Herz frisch bleibt
Das Organ Care System soll die Zahl der Transplantationen erhöhen,
verspricht der Hersteller. Dabei ist das Gerät kaum getestet und schwer zu
bedienen.
(DIR) Riskante Nanotechnologie: Winzig klein, aber mit großer Wirkung
Die bis zu 100 Nanometer großen Materialien sollen ganz neue Eigenschaften
haben. Ob sie aber gesundheitlich unbedenklich sind, darüber ist oftmals
nur wenig bekannt.