Digital Life 15.09.2017

Sicherheitsforscherin ruft zu Herzschrittmacher-Hacks auf

Marie G. Moe mit ihrem eigenen Herzschrittmacher © Bild: /Marie G. Moe

Das Leben der Sicherheitsforscherin Marie Moe hängt an einem modernen Herzschrittmacher. Sie setzt sich dafür ein, dass die Geräte sicherer werden als bisher.

„Ich bin von meinem Herzschrittmacher abhängig. Meine Ärzte konnten mir aber nicht sagen, ob der Computer, der mich am Leben hält, mit dem Internet verbunden ist oder dazu in der Lage wäre“, erzählt Marie Moe. Die norwegische Sicherheitsforscherin wollte von Anfang an mehr über das Implantat wissen, das sie am Leben hält: Welche Schnittstellen hat ihr Herzschrittmacher? Wie sieht sein Code aus? Wer kann darauf zugreifen?

Schnittstellen

Ihr Implantat hat insgesamt zwei Schnittstellen, von denen eine dazu dient, Daten zu ihrer Herzaktivität zu einem Arzt zu senden. Das geschieht über eine Internet-Verbindung, während sie schläft. Der 37-Jährigen gefällt dabei vor allem nicht, wie undurchschaubar das lebenswichtige Gerät in ihrem Brustkorb für sie und auch ihre Ärzte ist. „Medizinische Geräte sind wie schwarze Boxen. Sie kommen mit einer proprietären Software und es ist nur schwer möglich, sie einem Sicherheitscheck zu unterziehen. Gleichzeitig gibt es dafür keine Software-Updates, obwohl ein Patient das Gerät bis zu zehn Jahre im Körper trägt“, sagt Moe.

Die Sicherheitsspezialistin, die einmal für das nationale Computer Emergency Response Team (CERT) gearbeitet hat, sei sich daher bewusst, wie einfach ein derartiges Gerät von außen lahmgelegt werden könnte. Der frühere US-Vizepräsident Dick Cheney hatte die Funktionalität, mit der sich sein Herzschrittmacher fernsteuern ließ, daher aus Angst vor einer Hacker-Attacke schlichtweg abdrehen lassen.

Angriffsszenarien

Nicht nur eine Fernsteuerung des Geräts wäre aus ihrer Sicht möglich, sondern etwa ein Denial-of-Service-Angriff (DoS) auf die Batterie, was für Patienten „besonders schlimm“ wäre, oder der Einsatz von Erpressersoftware. „Das haben wir zwar auf medizinischen Geräten noch nicht gesehen, aber Krankenhäuser waren bereits davon betroffen“, sagt Moe. Die Norwegerin reist rund um die Welt, um Menschen in ihren Vorträgen darauf aufmerksam zu machen, dass Sicherheit bei vernetzten Medizingeräten oberste Priorität haben sollte, weil Menschenleben davon abhängen.

„Hacker, brecht mir mein Herz. Forscht dazu“, lautet ihr Appell. Erst kürzlich waren einige Sicherheitsforscher ihrem Aufruf gefolgt. Sie hatten bei Herzschrittmachern und anderen medizinischen Geräten wie Insulinpumpen mehr als 8.000 Sicherheitslücken entdeckt, die sich oft mit wenig Aufwand und einem geringen Budget ausnutzen ließen. Hersteller von Medizingeräten fordert sie dazu auf, mit Sicherheitsforschern zusammenzuarbeiten. Dazu müsse man notfalls auch schärfere gesetzliche Regulierungen erlassen, so die Spezialistin.

Softwarefehler

Ihr eigener Herzschrittmacher sei schon einmal von einem Datenfehler und einem Softwarebug betroffen gewesen, sagt die Expertin. Das Gerät habe dann automatisch den Sicherheitsmodus eingeschaltet und den Herzschlag auf 70 Schläge pro Minute reduziert, erzählt sie. Sie habe Schwierigkeiten beim Stiegensteigen gehabt und kaum mehr Luft bekommen. Zunächst habe man das Problem im Krankenhaus nicht gleich erkannt, dann aber das Backup eingespielt und die Firmware neu geladen. „Ich hatte Glück. Außerdem bin ich froh, dass mein Leben durch diese Technologie gerettet werden konnte. Dieser Vorteil überwiegt alle Risiken“, sagt Moe. „Das bedeutet aber nicht, dass wir uns diesem Sicherheitsproblem nicht stellen müssen.“

( futurezone ) Erstellt am 15.09.2017