Risiko Hightech-Medizin – Hacker-Angriffe auf den Menschen

Hightech-MedizinHacker-Angriffe auf Rechenzentren, Atom-Kraftwerke, Banken und militärische Einrichtungen sind ein Zeichen unserer Zeit und schon lang nicht mehr neu. Doch was nun immer mehr ans Licht der Öffentlichkeit kommt, birgt eine neue „Qualität“ – die Rede ist Hacker-Attacken auf Herzschrittmacher, Defibrillatoren, Insulinpumpen und Überwachungsmonitore auf Intensivstationen. Die Sicherheitslecks treffen uns dort, wo wir uns am besten aufgehoben wähnen – in Krankenhäusern, bei unseren Hausärzten und weiteren medizinischen Einrichtungen. Und das ist nur die Spitze des Eisbergs.

Was haben Elton John, Helmut Schmidt, Roger Moore, Gitarrist Slash von Guns N‘ Roses und Ex-US-Vizepräsident Dick Cheney gemein? Neben ihren Promifaktor, besitzen Sie alle seit vielen Jahren einen Herzschrittmacher, ohne den sie wahrscheinlich schon lange nicht mehr unter den Lebenden weilen würden. Ob sie wissen, dass sie Ziel eines Hacker-Angriffes werden könnten, der ihnen das Leben kosten könnte und der aus einer „Ecke“ kommt, aus der man es am wenigsten erwarten würde?

In Deutschland bekommen jedes Jahr mehr als 75.000 Patienten einen Herzschrittmacher und fast 30.000 Menschen einen Herz-Defibrillator implantiert. Herzschrittmacher dienen der Behandlung von Patienten mit zu langsamen Herzschlägen, indem die Geräte regelmäßig den Herzmuskel mit Hilfe von elektrischen Impulsen stimulieren und somit eine Kontraktion des Herzmuskels initiieren. Herz-Defibrillatoren hingegen sollen Patienten mit einem hohem Risiko für Kammerflimmern oder Herzrhythmusstörungen helfen, indem Sie dem gestörten Herzmuskel einen Impuls geben, so dass er wieder normal und regelmäßig schlägt. Ansich eine gute Sache, die den betroffenen das Leben bzw. Überleben ermöglichen soll. Doch die jüngsten Gerätegenerationen übertragen dabei immer öfter wichtige Messwerte vom Patienten drahtlos an den betreuenden Kardiologen. Ein großer Schritt für die Medizin, der jedoch immenses Gefahrenpotential birgt, vor der immer mehr Wissenschaftler und Mediziner mittlerweile warnen.

Jack´s Hack

Auslöser der Diskussion war der mittlerweile verstorbene Hacker Barnaby Jack. Er zeigte, dass medizinische Geräte ferngesteuert und durchaus manipuliert werden können – zumindest jene, die über eine funkferngesteuerte Kommunikation zwischen Patient und Arzt verfügen. Dies zeigte er erstmals im Jahre 2012 in beeindruckender Weise auf diversen wissenschaftlichen Veranstaltungen und medizinischen Kongressen: Er demonstrierte dem interessierten Fachpublikum, wie man per Funk Insulinpumpen, Herzschrittmacher und Defibrillatoren in der Art manipuliert, dass sie bei einem Patienten ernste gesundheitliche Schäden verursachen können, die unter Umständen sogar zum Tode führen. So ließ er beispielsweise implantierten Insulinpumpen auf externen Befehl extrem hohe Hormonmengen ausgeben, die einen Zuckerkranken Patienten innerhalb weniger Augenblicke KO würden gehen lassen. Im Rahmen einer anderen beeindruckenden Demonstration jagte Barnaby Jack per Drahtlos-Übertragung einen tödlichen 830-Volt-Impuls durch einen Herz-Defibrillator und manipulierte Herzschrittmacher – der Patient wäre auf der Stelle tot!

Aus einer Entfernung von mehr als zehn Metern war es Barnaby Jack möglich, auf die Daten des Transmitters zuzugreifen, um diese zu manipulieren. Dies gelang, in dem der Hacker ein baugleiches Implantat auseinander gebaut hatte, um an die Modell- und Seriennummer heranzukommen. Und bei vielen Herstellern entsprechender Implantate genügt dies, um sich an dem Implantat anzumelden. Doch der Hacker stieß auf ein noch sehr viel gravierenderes Problem – er fand in der Firmware des Transmitters hinterlegte Benutzernamen und Kennwörter des Herstellers. Notwendig sind diese Daten für Updates der Geräte aus dem Internet. Auf Basis dieser Daten wäre es möglich, so der Hacker, Programme zu schreiben, um gleich mehrere Implantate au einen Schlag zu manipulieren. Im „worst case“ wäre es damit möglich eine kabellose Attacke zu initiieren – quasi der Massenmord entsprechender Patienten auf Knopfdruck.

Doch warum sind moderne Herzschrittmacher, Defibrillatoren oder Insulinpumpen so anfällig für Hackerangriffe? Es ist der Datenverkehr, der diese Implantate so angreifbar macht. Damit Herzschrittmacher und Defibrillatoren möglichst energiearm arbeiten und somit einen Batterietausch lange hinausschieben, beschränken sich die Modelle der meisten Hersteller darauf, die Patientendaten umverschlüsselt an den jeweiligen Arzt zu senden. Denn: Verschlüsselung von Daten erfordert einen erhöhten Rechenaufwand des Implantats und somit ein Vielfaches an Energie. Moderne Herzschrittmacher und Defibrillatoren arbeiten mit einem externen Transmitter, der sich meist im Umkreis von mehr oder weniger als 2 Metern im Umreis des Patienten befinden muss. Dieser nimmt konstant rund um die Uhr den Herzrhythmus des Patienten durch drahtlose Signale des Implantats auf, analysiert die Ereignisse und leitet sie an einen Kardiologen weiter. Vorteil dieser Lösung ist es, dass Unregelmäßigkeiten und Probleme frühzeitig erkannt werden können.

Ein Albtraum mit drei Szenarien

Sicherheitsexperten fürchten drei Szenarien: Indem man sehr einfach auf die im Transmitter gespeicherten Daten zugreifen kann – für Hacker stellt dies kein Problem dar – könnten Kriminelle die ausgelesenen Informationen dazu nutzen, um die entsprechenden Patienten zu erpressen oder die gewonnenen Daten an Dritte zu verkaufen. Ein durchaus realistisches Szenario, das mit relativ wenig Aufwand realisierbar ist. Schwieriger wird es mit Szenario Numero Zwei: Hierbei geht es um die Manipulation der Steuerung eines Herzschrittmachers, wie es auch Barnaby Jack vorgeführt hat. Der Hacker nutzte hierbei maßgeblich die ungeschützte Möglichkeit, dass viele Hersteller ihre Implantate mit neuen Systemupdates per Internet versorgen. Für Hacker ist es ein relativ Leichtes, sich über dieses offene „System-Scheunentor“ zu hacken; sehr viel schwieriger ist es jedoch, die Funktionsweise des Implantats vollständig zu verstehen und zu durchleuchten, um das System gezielt zu manipulieren. Prinzipiell ist dies jedoch möglich, erfordert jedoch vom Hacker immenses Know How und sehr viel Zeit.

Viel wahrscheinlicher ist da schon das dritte Szenario. Hierbei unterbindet man einfach den Datenverkehr zwischen Implantat und Transmitter. Akute Unregelmäßigkeiten im Herzrhythmus würden dabei nicht mehr an den betreuenden Arzt weitergeleitet werden. Im schlimmsten Fall würde der Patient sterben, ohne das der Kardiologe auch nur das geringste Anzeichen hierfür übermittelt bekommt. Prinzipiell halten Experten alle drei Szenarien für für technisch sehr aufwendig; unrealistisch sind sie jedoch nicht. Und durch den steigenden Einsatz drahtloser Datenübertragung zwischen Implantat und Transmitter stet zu befürchten, dass die Anfälligkeit medizinischer Implantate für Störungen tendenziell größer wird, als kleiner. Auch wenn die Geräte nicht mit dem Internet verbunden sind, gibt es ein Restrisiko. Und zwar dadurch das die Herzschrittmacher durch den Rechner des Kardiologen gesteuert werden, der wiederum mit dem Internet verbunden ist. Herkömmlichen Viren und jenen, die auf Implantate spezialisiert sein könnten, steht also diese Kommunikationsstrecke

Noch ist kein Fall bekannt, bei dem mittels dieser perfiden Methoden ein Mensch zu Schaden gekommen wäre – bei Wissenschaftlern, Datenschützern und staatlichen Behörden schrillen jedoch die Alarmglocken. Selbst die amerikanische Food and Drug Administration (FDA) – die dem Gesundheitsministerium unterstellte Lebensmittelüberwachungs- und Arzneimittelzulassungsbehörde der Vereinigten Staaten – warnt mittlerweile vor Cyberangriffen auf medizinische Geräte und nimmt die Thematik sehr ernst. Hellhörig wurde die FDA bereits im Jahre 2008, als neun US-Wissenschaftler eine Studie veröffentlichten, in der Sicherheitsrisiken von Defibrillatoren untersucht wurden. Ein Team aus Ingenieuren, Informatikern und Kardiologen demonstrierte schon damals, wie entsprechende Geräte manipuliert werden können.

Auch der US-Rechnungshof sieht Handlungsbedarf, schlägt ebenfalls Alarm und unterstützt somit die Szenarien der FDA. Eine eigene Studie des US-Rechnungshofes bewies ebenfalls, dass implantierbare medizinische Geräte anfällig für Störungen sind. Genau aus diesem Grund rief die Behörde den US-Kongress dazu auf, entsprechende Regulierungsmaßnahmen zu treffen. Ziel hierbei soll es sein, Sicherheitsrisiken zu minimieren indem einheitliche Sicherheitszertifikate eingeführt werden.
Und die Industrie? Hier gibt man sich skeptisch und eher abwartend. Man schätzt das Sicherheitsrisiko als gering und sehr unwahrscheinlich ein. Experten der Industrie und Medizin, die Barnaby Jacks Vorführungen als Panikmache abtun, berufen sich vor allem darauf, dass der Datenaustausch zwischen entsprechenden Geräten nicht bidirektional, also in beide Richtungen funktioniert. Einfach ausgedrückt bedeutet dies, dass man zwar Daten von Herzschrittmachern oder Defibrillatoren empfangen kann, es jedoch keine Möglichkeit gibt, entsprechende Geräte aus der Ferne zu steuern bzw. Umzuprogrammieren. Es ist aber immer eine Frage des Gerätes oder Herstellers, ob eine bidirektionale Kommunikation möglich ist. Und: das von Jack gehackte Equipment war handelsüblich, nicht manipuliert und verfügte trotz der Zusicherungen aller Skeptiker über eine bidirektionale Kommunikation. Es mag unwahrscheinlich sein, aber möglich ist es!

Kurzinfo: Sicherheitsrisiko Patientenmonitor
Nicht nur bei Herzschrittmachern, Defibrillatoren oder Insulinpumpen kommt die IT-Sicherheit zu kurz. Jüngst zeigte der Forscher und Sicherheitsprofi Florian Grunow anlässlich der der Sicherheitskonferenz Deep Sec 2013 in Wien, wie ein Patientenmonitor auf der Intensivstation manipuliert werden kann. Eigentlich war der Patient tot, der zur Überwachung verantwortliche Monitor zeigte jedoch Vitalparameter, die ihn als lebendig erscheinen ließen. Dies war möglich, indem Grunow den Bildschirm des Patientenmonitors manipulierte und spielte anschließend über das Netzwerk, an dem ein solcher Patienten Monitor meist angeschlossen ist, falsche Daten ein. Eine Manipulation, die nur wenige Minuten in Anspruch nahm. Möglich wurde dies durch das Fehlen jeglicher Sicherheitsstandards in diesem Bereich.

Kurzinfo: Die Verschlüsselung des Herzschlages
Wissenschaftler von der amerikanischen Rice University in Houston, Texas, haben in Kooperation mit der Sicherheitsfirma RSA eine Technologie entwickelt, die es Hackern unmöglich machen soll, sich in die Kommunikation zwischen einem Implantat und Transmitter zu hacken. Um dies zu ermöglichen wird der Herzschlag des entsprechenden Patienten ausgelesen. Dies soll gewährleisten, dass nur jemand das Gerät umprogrammieren oder Daten herunterladen kann, der dafür auch autorisiert ist. Bei dieser neuen Methode hält der Patient ein Prüfgerät an seinen Körper, um den Herzschlag auszulesen. Die Daten des Herzschlages vergleicht man schließend mit einem Signal, dass drahtlos vom Implantat übertragen wird. Nur wenn beide Werte übereinstimmen, wird ein Zugriff auf das Implantat gewährt. Der Kommunikation zwischen Implantat und Transmitter geschieht ebenfalls verschlüsselt, so dass das Abfangen und Auslesen der Kommunikationsdaten nahezu unmöglich sein soll.

Lust auf mehr Wissenschaft, Technik und Geschichte im Krimi- und Thriller-Format? Dann werfen Sie doch einen Blick auf Meine Thriller oder Über mich, den Thriller-Autor.

Print Friendly, PDF & Email

1 Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*