Computerwelt: Aktuelle IT-News Österreich


11.06.2017 Wolfgang Franz/pi

Wenn der Herzschrittmacher gehackt wird

"Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten." Zur Bekräftigung der Forderungen erhält der Besitzer des Herzschrittmachers einen kleinen Stromschlag. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope herausgefunden haben.

Herzschrittmacher sind oft unzureichend gesichert.

Herzschrittmacher sind oft unzureichend gesichert.

© Fotolia

Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert.

Problem Nummer 1
Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2!

Problem Nummer 2
Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar.

Problem Nummer 3
Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.

Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: