Digital Life
09.08.2018

Hacker steuern Herzschrittmacher, Hersteller verweigert Update

Sicherheitsforscher zeigen auf der Black Hat, wie sie einen Herzschrittmacher aus der Ferne beeinflussen können. Die Hersteller-Firma spricht von "geringem Risiko".

Viele Menschen, die von technischen Medizingeräten abhängig sind, haben davor Angst, dass diese beeinflusst werden können. So könnten etwa höhere Insulin-Dosen als eigentlich vorgesehen verabreicht werden, oder jemandem der Herzschrittmacher abgedreht werden. Die Angst ist berechtigt, wie die jüngste Demonstration von Sicherheitsforschern auf der Konferenz Black Hat in Las Vegas zeigt.

Diese demonstrieren dort in einem Vortrag namens „Verstehen und Kapital schlagen aus implantierten Medizingeräten“ wie man Sicherheitslücken in derartigen Geräten ausnutzen kann, um das Leben von Menschen aufs Spiel zu setzen. „Könnten Sie damit jemanden umbringen?“, fragt der BBC-Redakteur den Sicherheitsforscher Billy Rios von der Firma Whitescope vor seinem Talk. Dieser sitzt dabei vor seinem Laptop und einer Maschine, die Medizingeräte wie Insulinpumpen oder Herzschrittmacher bei Patienten steuern kann und antwortet mit: „Ja.“

Mit Update lässt sich Gerät übernehmen

Rios hat zusammen mit seinen Kollegen Jesse Young und Jonathan Butts gravierende Sicherheitslücken in Medizingeräten entdeckt, die ernsthafte Konsequenzen mit sich bringen könnten.

In einem BBC-Video demonstriert der Sicherheitsforscher, wie er eine Maschine, die Herzschrittmacher und andere Implantate programmiert, aus der Ferne steuern kann. Rios übernimmt die Maschine mit einem infizierten Update und steuert daraufhin Medizingeräte wie Herzschrittmacher einfach selbst. Er kann beeinflussen, wie sich der implantierte Herzschrittmacher verhält und ihn auch abschalten.

"Kein Arzt würde es merken"

In der BBC-Demo führt Rios vor, wie er die Maschine fragen lässt: „Wollen Sie sterben?" Als makabre Antwortmöglichkeiten programmiert er "Ja/Ja.“

Die BBC hat die betroffene Firma, die die Herzschrittmacher und kompromittierbaren Maschinen herstellt, kontaktiert und nachgefragt. Medtronic antwortete, dass es sich dabei um eine „geringe Gefahr“ handle. „Alle Geräte tragen ein damit verbundenes Risiko mit sich, und wir streben kontinuierlich an, die Balance zwischen Risiko und Nutzen unserer Geräte zu gewährleisten“, lautete die Stellungnahme von Medtronic, die dazu auch eine Pressemitteilung verfasst haben, wo sie ebenfalls von einem "geringen Risiko" sprechen. Die futurezone hat bei Medtronic Österreich nachgefragt, wie viele Herzschrittmacher hierzulande im Einsatz sind. Eine Antwort steht jedoch noch aus.

1,5 Jahre Zeit für Hersteller

Der Hersteller gab zudem bekannt, kein Software-Update bereitstellen zu wollen, mit dem man diese Sicherheitslücke in der Maschine einfach schließen könnte.

Laut Rios müsste Medtronic seine Geräte mit einem digitalen Zertifikat versehen, die Details über die Identität der Einheit geben. „Code-Signing-Zertifikate sind heutzutage eine Standard-Praxis. Apple stellt diese für seine iPhones aus, Microsoft für seine Software. Es gibt keinen Grund für diesen Hersteller, dies nicht zu tun“, so Rios, dem bewusst ist, dass er mit seinen Enthüllungen auf der Black Hat jetzt eine echte Möglichkeit für Angreifer schafft, jemanden über diese Methode umzubringen.

„Wir haben den Hersteller vor 1,5 Jahren über das Problem informiert. Es gibt einen Punkt, da ist es einfach genug. Wir haben bereits damals sehr klar und deutlich kommuniziert, dass wir unsere Forschungsergebnisse in der Zukunft präsentieren werden. Und diese Zeit ist jetzt gekommen“, erklärt Rios. Die letzten 18 Monate seien wie eine Achterbahnfahrt gewesen, so Rios. Zuerst habe das Unternehmen nicht reagiert, dann technische Ineffizienz bewiesen und im Anschluss in die Irre führende Antworten gegeben. „Würde ein derartiger Angriff in der echten Welt durchgeführt, würde kein Arzt jemals auf die Idee kommen, dass sein Programm gehackt und verändert wurde.“

Warnung auch bei Insulinpumpen

Die Firma Whitescope hat weitere Sicherheitslücken der Firma Medtronic bei Medizingeräten wie Patientenmonitoren und Insulinpumpen dem ICS-CERT, also dem Industrial Control Systems Cyber Emergency Response Team, gemeldet. So wäre es etwa möglich, Insulin-Dosen aus der Ferne zu verabreichen, heißt es in der darauf hin veröffentlichten Warnung des ICS-CERT. Bei Insulinpumpen sei die Funktion, aus der Ferne Insulin zu geben, standardmäßig nicht aktiviert, heißt es seitens Medtronic.

Es ist nicht der erste Fall, bei dem Herzschrittmacher und andere Medizingeräte gehackt wurden. Doch normalerweise zeigen sich Hersteller von Medizintechnik kooperativer, weil für Patienten durchaus Lebensgefahr besteht. Vergangenes Jahr mussten rund eine halbe Million Herzschrittmacher wegen einer Sicherheitslücke zurückgerufen werden. Die Patienten mussten ein Firmware Update machen, um die Schwachstelle zu schließen.

Betroffen waren 465.000 Geräte in den USA, die vor dem 28. August 2017 von St. Jude Medical hergestellt wurden. Die FDA und das Unternehmen Abbott rieten damals dezidiert davon ab, den Herzschrittmacher auszutauschen. Stattdessen sollte die Software upgedatet werden, Ärzte sollten Patienten über den notwendigen Schritt informieren.

Sicherheit ernst nehmen

Die norwegische Sicherheitsforscherin Marie Moe sieht das ähnlich wie Rios. Medizintechnik-Firmen müssten sich Sicherheitsproblemen stellen, sagt sie. Die Forscherin trägt selbst einen Herzschrittmacher, der schon einmal von einem Datenfehler und einem Softwarebug betroffen war. Das Gerät habe dann automatisch den Sicherheitsmodus eingeschaltet und den Herzschlag auf 70 Schläge pro Minute reduziert, erzählt sie. Sie habe Schwierigkeiten beim Stiegensteigen gehabt und kaum mehr Luft bekommen. Moe selbst ist aber froh, dass sie durch ihren Herzschrittmacher am Leben bleiben konnte. „Dieser Vorteil überwiegt alle Risiken“, sagt Moe, die sich für schärfere Regulierungen ausspricht.