csm-herz-gefaesse-gesundheitsfenster-903832ee23.jpg

© Es werden nicht Absichtlich Copyright Rechte verletzt! Falls uns bekannt wird das ein Copyright Schutz vorliegt wird der Inhalt sofort entfernt!

Digital Life

Wieder Sicherheitslücken in Herzschrittmachern gefunden

Medizingeräte wie Herzschrittmacher oder Heimmonitore bleiben oft lange im Betrieb, denn sie benötigen aufwendige Zertifizierungen. Damit sich das für Hersteller auszahlt, können diese Geräte nicht alle paar Jahre wieder ausgetauscht werden. Herzschrittmacher sind zudem in Menschen implantiert, und auch hier wäre es nicht sinnvoll, alle Jahre erneut Operationen durchzuführen, um diese auszutauschen. Umso wichtiger ist es, dass die Geräte nicht nur einwandfrei funktionieren, sondern dass sie auch sicher sind - und zwar in mehrfacher Hinsicht.

Seit Jahren stehen die Geräte daher im Visier von Hacker*innen und Sicherheitsforscher*innen, die sie auf Schwachstellen untersuchen. Zwei PhD-Studenten von der Münster Universität of Applied Sciences und dem Max Planck Institute in Bochum präsentierten am Dienstag auf der Remote Chaos Experience (RC3) des Chaos Computer Clubs (CCC) ihre Ergebnisse. Die beiden meldeten die Sicherheitslücken, die sie gefunden hatten, nicht nur an die Hersteller*innen, sondern erzählten auch über ihre Erfahrungen.

Patient*innen könnten Schaden davontragen

Die beiden haben sich Produkte der Firmen Medtronic, Boston Scientific und Biotronik näher angesehen. Darunter befanden sich neben Herzschrittmachern auch Heim-Monitore sowie die jeweiligen Monitore, die Ärzt*innen in Krankenhäusern sehen, wenn sie auf Patientendaten zugreifen, um diese auszuwerten und zu überwachen. Die beiden haben sich die Geräte genauer angesehen. „Da sind zumeist sehr angepasste Teile drin. Chips, die nicht beschriftet sind und die direkt auf die Platine draufgelötet wurden. Da sind Analysen ziemlich schwer“, so der Sicherheitsforscher, der sich e7p nennt.

Bei manchen Hersteller*innen konnten Zugriffscredentials ausgelesen, bei anderen das Verschlüsselungspasswort über ein Blogposting identifiziert werden. „Wir haben einige Sicherheitslücken in verschiedenen Geräten gefunden. Patient*innen könnten davon Schaden tragen, wenn therapierelevante Daten manipuliert werden“, sagt e7p im Vortrag. Allerdings sei am Ende „ein Doktor dazwischen“. „Wenn etwas zu falsch ist, gibt es hoffentlich einen zweiten Gesundheitscheck“, so die Annahme.

Die Hersteller*innen hätten ihre Forschungsergebnisse „sehr ernst“ genommen, heißt es. Das ist anders, als manche Sicherheitsforscher in der Vergangenheit beschrieben haben. So war es bereits vorgekommen, dass Hersteller gar ein Update verweigert hatten, obwohl sie von Lücken Bescheid gewusst hatten. „Es braucht auf jeden Fall reguläre Software-Updates“, so e7p. „Außerdem wäre es sinnvoll, wenn bei der Produktentwicklungsphase bereits Ärzt*innen eingebunden werden“, sagt der Forscher. Außerdem werde empfohlen, immer die „neueste Krypto“ zu verwenden, um die Sicherheit der Daten zu gewährleisten.

Datenauskunft mangelhaft

Christoph Saatjohann hat sich neben dem Sicherheitsaspekt auch angesehen, wie die Hersteller*innen mit Datenschutzanfragen von Patient*innen umgehen. Dazu habe man im Namen der Patient*innen Auskunftsbegehren gestellt. Der erste Hersteller habe etwa Antworten per Klartext in der Mail geschickt, nachdem man mehrere Monate vergeblich auf eine Antwort gewartet habe. Darin habe man erfahren, dass eigentlich das Krankenhaus der Dateninhaber sei, denn der Hersteller hatte dies vertraglich so geregelt, erzählt Saatjohann. Es sei ein „langer Weg“ gewesen, um an seine eigenen Daten zu gelangen und am Ende hätte es keine Daten gegeben.

Ein weiterer Hersteller hatte 7 Seiten in einem PDF beauskunftet, doch ein Datenabgleich mit den Daten, die im Krankenhaus über die Person verfügbar waren, hatte ergeben, dass das „weit nicht alle Daten“ gewesen seien, die über den Patienten gespeichert worden waren. Auch hier habe es dann noch weitere 2 Monate gedauert, bis die Rohdaten herausgerückt worden sind. Für Patient*innen sei dies „unangenehm“, wenn man einen derart großen Aufwand betreiben muss, um an seine Daten zu gelangen.

Der Aufruf des Forschers lautet daher: „Liebe Firmen, liebe Krankenhäuser, ihr müsst euch vorbereiten, denn ihr werdet in Zukunft immer mehr Anfragen von Patent*innen kriegen!“ Die Datenschutzgrundverordnung (DSGVO), die derzeitige Auskunftsbegehren EU-weit ermöglicht, sei zudem bereits seit über 3 Jahren in Kraft. 

Tödliche Schwachstellen

Es war nicht das erste Mal, das Sicherheitslücken in Medizingeräten untersucht worden waren. So fand etwa auch der Österreicher Tobias Zillner bei einem Herzschrittmacher von St. Jude Medical Sicherheitslücken. „Wir haben potenziell tödliche Schwachstellen gefunden“, erzählte Zillner damals im Gespräch mit der futurezone. St. Jude Medical war dieses Mal nicht unter den untersuchten Geräte-Hersteller*innen.

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Speakerin. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen Barbara Wimmer

Kommentare