Digital Life
31.08.2017

500.000 Herzschrittmacher brauchen Firmware-Update

Die US Food and Drug Administration warnt vor einer Software-Lücke bei Herzschrittmachern. Patienten sollen für ein Firmware-Update ihren Arzt aufsuchen.

Knapp eine halbe Million Herzschrittmacher werden von der US-Behörde Food and Drug Administration (FDA) aufgrund einer Sicherheitslücke zurückgerufen. Die Patienten müssen demnach ein Firmware Update machen, um die Schwachstelle zu schließen.

Laut der FDA ermöglicht es die Lücke Hackern, die Herzschrittmacher mit handelsüblicher Hardware umzuprogrammieren bzw. zu stören. Ein Fall, bei dem ein Gerät von einem Angreifer modifiziert wurde, sei laut der FDA aber aktuell nicht bekannt.

Betroffen sind 465.000 Geräte in den USA, die vor dem 28. August 2017 von St. Jude Medical hergestellt wurden. Das Unternehmen wurde im Jänner 2017 vom Pharmakonzern Abbott Laboratories um 25 Milliarden Dollar übernommen. Ob betroffene Geräte auch in Europa zum Einsatz gekommen sind, ist aktuell noch unklar, eine Anfrage der futurezone bei dem Unternehmen läuft.

Update dauert drei Minuten

Die FDA und das Unternehmen Abbott raten dezidiert davon ab, den Herzschrittmacher auszutauschen. Stattdessen soll die Software upgedatet werden, Ärzte sollen Patienten über den notwendigen Schritt informieren.

Das Update könne jedoch nicht zuhause durchgeführt werden, sondern lediglich in der Arztpraxis. Laut der FDA dauert das entsprechende Prozedere rund drei Minuten. Währenddessen schaltet sich das Gerät in einen Backup-Modus, bei dem aber alle lebensnotwendigen Funktionen aktiv bleiben.

Frühere Warnung

Erst vor etwa einem Jahr hat das Cybersecurity-Unternehmen MedSec Programmier-Schwachstellen in Herzschrittmachern und Defibrillatoren von St. Jude Medical gefunden. Durch angeblich unzureichende Verschlüsselung und Authentifizierung bei der Kommunikation mit externen Geräten wäre es Angreifern theoretisch möglich, Patienten schwer zu verletzen oder gar zu töten. Damals geriet unter anderem auch MedSec in Kritik, weil sie ihre Entdeckung nicht sofort an das Unternehmen gemeldet und stattdessen mit der Investmentfirma Muddy Waters zusammengearbeitet haben.

Die FDA weist in dem Schreiben darauf hin, dass alle medizinischen Geräte, die mit einem Netzwerk verbunden sind, durch Sicherheitslücken auch zur Gefahr werden können, wenn unautorisierte Nutzer darauf zugreifen. Gleichzeitig führt die Behörde aber auch aus, dass der Einsatz derartiger Technologie bei sachgemäßer Anwendung auch für effizientere medizinische Behandlung sorgen kann.