"Herzschrittmacher sogar mit einem alten Nokia 3310 angreifbar"
Der österreichische Sicherheitsspezialist Tobias Zillner ging 2016 nach Miami Beach in den USA, um für die damals neu gegründete Firma MedSec Medizinprodukte auf Schwachstellen zu untersuchen. Ein halbes Jahr lang suchte er bei einem Herzschrittmacher von St. Jude Medical Sicherheitslücken – und fand gleich mehrere davon. „Wir haben potenziell tödliche Schwachstellen gefunden“, erzählt Zillner nun auf der Sicherheitskonferenz sec4dev in Wien. Eine Sperrfrist, die verhindert hatte, dass er über die Probleme beim Herzschrittmacher spricht, war nun 2019 ausgelaufen.
Gravierende Lücken
Von den Sicherheitslücken, die Zillner entdeckt hatte, waren rund 465.000 Geräte betroffen, die vor dem 28. August 2017 von St. Jude Medical hergestellt worden waren. „Wir haben relativ schnell herausgefunden, wie man die Batterie des Geräts so schnell entleeren kann, dass der Herzschrittmacher innerhalb von drei Stunden komplett funktionsunfähig wird“, erzählt Zillner. Eine zweite Lücke betraf den Heimmonitor. „Dieser war das billigste und schwächste Glied in der Kette und wir haben es erfolgreich geschafft, ihn zu übernehmen“, so Zillner.
Dem Sicherheitsforscher war es gelungen, die Herzschrittmacher mit handelsüblicher Hardware umzuprogrammieren und zu stören. „Auf technischer Ebene war es sehr einfach, den Herzschrittmacher zu hacken“, so Zillner. Auf der Konferenz demonstrierte er dies anhand des Heimmonitors. „Wir hatten die volle Kontrolle über das Ökosystem und das Gerät war sogar mit einem alten Nokia-3310-Telefon angreifbar“, beschreibt Zillner.
Zwei Milliarden Dollar Verlust
Doch mit den Folgen des Hacks hatte Zillner nicht gerechnet. Er war sich sicher, dass diese Informationen an den Hersteller weitergegeben werden, damit dieser die Schwachstellen beheben konnte. Doch MedSec entschied sich dazu, zuerst mit der Investmentfirma Muddy Waters zusammenzuarbeiten. Die Investmentfirma bekam die Informationen wettete an der Börse gegen St. Jude Medical. Der Hersteller der Herzschrittmacher verlor an einem einzigen Tag zwei Milliarden Dollar – und verklagte in Folge MedSec.
MedSec und Muddy Waters verteidigten ihr Vorgehen mit dem Hinweis darauf, dass sofortiger ökonomischer Druck auf Hersteller die Auslieferung von Sicherheitsupdates beschleunigen würde. Kritiker sahen hingegen die Priorität im Sicherstellen des Wohlergehens von Patienten.
„Ich habe im Vorhinein nicht gewusst, was die Firma mit meinen Ergebnissen machen wird“, sagt Zillner im Gespräch mit der futurezone. „Ob das ethisch korrekt ist, ist sehr individuell und auch davon abhängig, ob das Verhalten eines Herstellers aus der Vergangenheit eine derartige Praxis rechtfertigt“, sagt der Sicherheitsforscher. Viele Unternehmen würden schließlich wissen, dass sie „Dreck am Stecken haben und ihnen keine Konsequenzen drohen.“
Eineinhalb Jahre Untätigkeit
Erst im vergangenen Jahr sei etwa bekannt geworden, dass auch die Herzschrittmacher der Firma Medtronic erhebliche Sicherheitsschwachstellen aufweisen. Der Hersteller wusste eineinhalb Jahre von dem Problem, bevor die Forscher auf einer Konferenz öffentlich darauf hingewiesen hatten. Doch Medtronic verweigerte das Update, weil es nur eine "geringe Gefahr" gebe. Erst als die US-Behörde Federal Drug Administration (FDA) einschritt, stellte Medtronic doch noch eine Lösung bereit. „Die Zeit, die die Hersteller mit Dementi verbracht haben, hätten sie für das Update nutzen können“, so Zillner zu diesem Fall.
Im Medizintechnik-Bereich sei zudem ein Problem, dass die Firmen ihre Geräte zwar einem aufwendigen Zulassungsverfahren unterwerfen müssen, bei dem es um die Robustheit des Geräts gehe, aber es dadurch schwer möglich wird, auf Dinge und Sicherheitslücken rasch zu reagieren. „Die digitale Welt bewegt sich in einem anderen Tempo und man muss hier Möglichkeiten schaffen, rasch reagieren zu können“, meint Zillner.
Firmware Update für Patienten
St. Jude Medical wurde im Jänner 2017 vom Pharmakonzern Abbott Laboratories um 25 Milliarden Dollar übernommen. Die FDA rief Patienten, bei denen einer der 465.000 betroffenen Herzschrittmacher eingesetzt worden war, dazu auf, sich beim Arzt einem „Firmware Update“ zu unterziehen. Dieses dauerte drei Minuten in der Arztpraxis und sei besser als ein Austausch, hieß es seitens der FDA.
„Ein Leben mit Herzschrittmacher ist noch immer eine Verbesserung und die Vorteile überwiegen“, sagt Zillner zur allgemeinen Problematik. Doch besonders für Personen, die im öffentlichen Interesse stehen, sei es eine „reelle Gefahr“, dass diese über diesen Angriffsvektor attackiert werden. „Es ist nicht feststellbar, ob jemand den Herzschrittmacher manipuliert hat, wenn jemand stirbt“, erklärt Zillner, der seit knapp eineinhalb Jahren wieder zurück in Österreich ist und mit Alpha Strike Labs ein eigenes Security-Unternehmen gegründet hat. „Ich bin jetzt spezialisiert auf industrielle Umgebungen und der sicheren Vernetzung von Dingen“, so Zillner. „Auch hier wird es eine Leidensphase bei Unternehmen geben“, fürchtet der Experte.