Medizingeräte: Implantat fein gehackt

11. Mai 2016
Teilen

Medizingeräte sichern oft das Überleben von Patienten, sind aber in vielen Fällen selbst keineswegs sicher. Drahtlose Schnittstellen erleichtern zwar Wartung und Datenübermittlung, bieten aber Hackern und Viren verlockende Eintrittspforten.

Über die Umstände, unter denen Barnaby Jack 2013 gestorben ist, wird immer noch heftig spekuliert. Der neuseeländische IT-Spezialist und Hacker sollte wenige Tage später auf der „Black Hat“ Konferenz für IT-Sicherheit einen Vortrag mit dem Thema „Implantable medical devices: Hacking humans“ halten. Jack, 35 Jahre alt, starb offiziell an einer Überdosis Drogen. Er galt als einer der profiliertesten Analysten für IT-Sicherheitslücken sowohl im Finanzbereich als auch in der Medizin. Seine Präsentation sollte aufzeigen, wie sich Herzschrittmacher per Fernsteuerung umprogrammieren lassen, sodass sie zu einer tödlichen Waffe im Körper des Opfers werden.

Schrittmacher-Leaks

Schon in den Jahren zuvor hatten Kollegen demonstriert, dass etwa ein Herzschrittmacher keine abgeschlossenen Code-Sicherheitsfestung ist, sondern sich mit geeigneten Schlüsseln öffnen und steuern lässt. 2008 brachten Kevin Fu und seine Mitarbeiter von der Universität Michigan ein kommerzielles Gerät dazu, die persönlichen Einstellungen und Daten des Patienten preiszugeben und in veränderter Form über eine kabelgebundene Schnittstelle wieder einzuspeichern. Nicht ganz aus der Luft gegriffen scheint ein solches Szenario auch jenseits des Entwicklungslabors zu sein. Dick Cheney, unter George W. Bush Vizepräsident der Vereinigten Staaten, ließ sich diese Schnittstelle an seinem Schrittmacher aus Angst vor Sabotage inaktivieren. Barnaby wollte demonstrieren, dass eine solche Manipulation aus der Ferne möglich ist.

Billy Rios und sein Kollege Terry McCorkle nahmen die Geräteausstattung in amerikanischen Kliniken unter die Lupe und kamen 2013 auf eine Anzahl von rund 300 Geräten von 40 verschiedenen Herstellern, deren Zugangspasswort fest mit dem Betriebs-Code verbunden und nicht veränderbar war. Allein schon durch den Download der Betriebsanweisung ließ sich damit der Zugang entschlüsseln.

Transparenter Code gegen Sicherheitslücken

Das sorgfältige Durchlesen der Betriebsanleitung für ihren Herzschrittmacher brachte auch die promovierte norwegische Informationssicherheits-Expertin Marie Moe darauf, dass auch ihr eigener Herzschrittmacher eine Eintrittsstelle für sogenannte Malware besaß – Befehle, die Steuerung zu sabotieren. Eine der beiden Schnittstellen wird vom Arzt für Routinekontrollen der Gerätefunktion genutzt, die zweite, ihr bisher unbekannte Verbindung nach außen erlaubt es, es detailliertes Protokoll der Aktivität zu erstellen und an den Hersteller und den Arzt zu senden – über das Internet. Auf dem „Chaos Commmunication Congress“ 2015 in Hamburg setzte sie sich mit ihrem Mitstreiter Eireann Leverett dafür ein, den Code solcher Geräte transparent zu machen.

Experten könnten damit nicht nur unzulänglich verschlossene Türen aufdecken, sondern auch mögliche Fehlfunktionen der lebenserhaltenden Geräte. Sie selber erzählte von einer unangenehmen Erfahrung, als der Schrittmacher auf einer langen steilen Treppe plötzlich ihren Herzschlag schmerzhaft verlangsamte. Von dem eingestellten Maximalpuls wusste sie vorher nichts. Moes Kampf um die Herausgabe des Codes der Herstellerfirma war bisher vergeblich, jedoch – so die amerikanische Regelung – wäre es nicht verboten, den Code des eigenen Geräts zu hacken.

Insulinpumpe als Mordwaffe?

Rios wie auch Jack hatten gezeigt, dass nicht nur Herzschrittmacher, sondern auch Insulin– und andere Infusionspumpen für geübte Hacker nicht allzu schwer zu manipulieren sind. Gerade die Geräte für Diabetiker könnten auf diese Weise per Fernsteuerung tödliche Dosen des Hormons abgeben. Beide machten die jeweiligen Hersteller auf den ungenügenden Schutz der vernetzten Geräte aufmerksam. Allerdings reagierten diese erst einmal überhaupt nicht. Erst als Rios die staatliche Aufsichtsbehörde FDA einschaltete, zog die Firma ihr Produkt zurück. Es war der erste Rückruf eines Medizingeräts, das wegen Sicherheitsbedenken und ohne vorherigen Schadensfall vom Markt ging. Gravierende Sicherheitsmängel bei Pumpen der gleichen Firma entdeckten Forscher jedoch auch noch im letzten Jahr. Über eine Ethernet-Schnittstelle kann ein Angreifer im Prinzip den Schlüssel für Pumpen im gesamten Netz der Klinik auslesen und damit alle Geräte manipulieren.

Im Januar stellte daher die FDA einen Entwurf für eine neue Sicherheits-Richtlinie ins Netz, der noch im Sommer zu einer verbindlichen Regelung werden soll. Sie lehnt sich an die Vorschriften für Industrieanlagen und Kraftwerke an. Der Hersteller soll sich über den ganzen Lebenszyklus seines Produkts hinweg um die Sicherheit nicht nur der Hardware, sondern auch der Software kümmern und bei Bedarf Lücken schließen oder Updates zur Verfügung stellen. Bei möglichen Gefahren müssten auch unverzüglich die Patienten informiert werden. Zugänge sollten mit physischen Schlössern versperrt und nur mehr mit modifizierbaren Passwörtern gesichert werden.

Deutschland: Medizingeräte mangelhaft

Im August letzten Jahres berichtete der Spiegel, dass es auch in Deutschland einem Heidelberger IT-Spezialisten im Auftrag einer süddeutschen Klinik gelungen sei, ein Narkosegerät zu hacken und dessen Steuerung mittels Laptop zu übernehmen. Erst vor einigen Monaten verhinderte ein Virus im IT-Netz einer Neusser Klinik die Funktion wichtiger System. Rund 15 Prozent aller geplanten Operationen wurden abgesagt. Moderne medizinische Geräte sind meist in ein Netzwerk integriert und besitzen eine eigene IP-Adresse. Das bedeutet, dass sie über das Netzwerk direkt angesteuert werden können, auch außerhalb der Klinikmauern. Mit der Möglichkeit für den Hersteller, diese Geräte von seiner Firma aus zu warten und Fehler zu beheben, wird es gleichzeitig zum möglichen Zielobjekt von Hackern mit böser Absicht oder Viren, die einfach nur alles in ihrer Umgebung durcheinanderbringen. Mit beiden Möglichkeiten hätten auch Erpresser gute Chancen auf ein einträgliches Geschäft, ohne die Patienten direkt anzugreifen.

Dass es auch in Deutschland nicht zum Besten mit der Sicherheit steht, bestätigt Björn Bergh vom Zentrum für Informations- und Medizintechnik in Heidelberg: „Medizingeräte erfüllen kaum die Sicherheitskriterien, die wir an IT-Komponenten im Hinblick auf den Betrieb in Netzwerken stellen“, zitiert ihn das Ärzteblatt. „Sie sind in der Regel nicht aktuell, was die Betriebssystem-Updates angeht und haben entweder gar keine Malware-Schutzfunktion oder wenn, dann ist das Update problematisch.“ Vielfach heißt das entsprechende Betriebssystem noch Windows XP. Microsoft hat schon seit längerem den Service dafür eingestellt. Bei der Verantwortung für Sicherheitsmängel würden Hersteller und Kliniken, die entsprechende Geräte in ihr Netzwerk einbetten, oft gegenseitig mit dem Finger auf den jeweils anderen deuten. Ungeklärt ist damit auch die Haftungsfrage bei unerwünschten Vorkommnissen.

Runder Tisch ohne Hersteller

Auf der Computersicherheitskonferenz „Derbycon 2015“ im amerikanischen Louisville zeigte ein Vortrag, wie verführerisch der Weg ins innere solcher Geräte ist. „Honeypots“, eine Simulation von Geräten im Netzwerk mit entsprechender IP-Adresse, lassen sich mit geeigneten Suchmaschinen leicht aufstöbern. An die Geräte, die sich als MRT oder Defibrillator ausgaben, dockten rund 55.000 Adressaten an. Rund 300 mal wurde die Steuerung mit Malware angegriffen und 24 mal nutzten die Angreifer Sicherheits-Schwachstellen im Code, um ihn umzuprogrammieren.

Noch sind keine Fälle bekannt geworden, wodurch Patienten durch Sabotage gestorben oder zumindest mutwillig verletzt wurden. Auf Programmierungsfehler gehen jedoch wohl sehr viele Fehlfunktionen und deren Folgen für die Behandelten zurück. Dementsprechend ist die Forderung von Marie Moe nach mehr Transparenz nur allzu verständlich. Weiterhin sollten die Geräte, so die Forderung der Sicherheitsexperten, getrennte Netzwerke für Funktion und Datenaustausch besitzen, sodass der Betrieb durch ein unbefugtes Eindringen nicht gestört werden kann. Schließlich soll der notwendige Datenaustausch nur in verschlüsselter Form stattfinden.

In zwei Arbeitskreisen haben sich inzwischen kommunale, private und Universitätskliniken zusammengeschlossen, um neue Sicherheitsstandards zu entwickeln und umzusetzen. Die Hersteller der betreffenden Geräte sitzen jedoch bisher nicht an diesen Tischen. Dass es auch anders geht, zeigt in den USA die Mayo-Klinik. Sie vergibt regelmäßig den Auftrag an IT-Spezialisten, die Sicherheit ihres Geräteparks auf die Probe zustellen. Zusammen mit ihnen entstand eine Checkliste für den IT-Einkauf. Nur wer alle Anforderungen erfüllt, kommt mit der Klinik ins Geschäft.

52 Wertungen (4.87 ø)

Die Kommentarfunktion ist nicht mehr aktiv.

15 Kommentare:

Gast
Gast

Nochmals Dank an an Herrn Lederer,
für ein wirklich wichtiges Thema,
keines der vielen idiotischen Pseudoprobleme dieser Zeit,
nicht nur in der Medizin.
Aber auch wenn ganze Krankenhäuser durch Hacker ernsthaft bedroht werden,
wird der Trend zur Dauerüberwachung und -Manipulation nach Orwell ZUNEHMEN.
In der Medizin durch die eCard, für die schon über eine Milliarde verpulvert wurde,
WAHNSINN.

#15 |
  0
Arzt
Arzt

Kleine Korrektur zum DDD-Schrittmacher, also ein 2-Kammersystem. Die Vorhofsonde gibt auf jeden Fall den Takt fürs Herz an, kann aber auch die noch vorhandene Eigenfrequenz des Vorhofs wahrnehmen, falls vorhanden.
Es ist damit der physiologischste Typ, benötigt allerdings zwei Sonden, deren Plazierung einen erfahrenen Chirurg benötigt,
klappt nicht immer, Alternativen gibt es immer.

#14 |
  0
Biologe
Biologe

Der schon ältere DDD-Schritmacher (Erfinder Funke-Bonn) nimmt die Spontan-Frequenz des Vorhofs und überträgt sie auf den Ventrikel. Denn meist liegt ja nur eine Überleitungsblockade vor, die Ventrikeleigenfrequenz ist bekanntlich wesentlich niedriger und damit die wichtigste SM-Indikation.
Nur die Vorhoffrequenz ist physiologisch gesteuert, passt sich daher auch an Belastung an.

#13 |
  0
Klaus Samer
Klaus Samer

@ Christian Becker, Ihrem Vorschlag steht die Refraktärzeit entgegen und die Tatsache das Schrittmacher nicht stumpf stimulieren sondern auch die vorhadene Eigenfrequenz sensen und die Stimulation entsprechend anpassen , die stumpfen Schrittmacher gibt es schon lange nicht mehr.
@Dr. Lederer , das was die Patientin beschreibt macht Siin, Schrittmacher ersetzen nicht vorhandene Eigenfrequenz, natürlich können die einfach mit weniger Frequenz stimulieren , was die nicht können ist vorhandene Eigenfrequenz runterregeln das ist physiologisch nicht möglich.

Die Frage ist inwieweit die hier von der Patientin beschriebene Funktion Sinn macht, die Anpassung an körperliche Belastung durch Steigerung über das Herzzeitvolumen erfolgt überwiegend über die Steigerung der Herzfrequenz und in nicht nennenswertem Umfang durch Steigerung des Schlagvolumens . Wenn der restliche Körper auf Hochtouren läuft das Herzeitvolumen zu reduzieren und zwar drastisch ist ziemlich uncool. Ich hätt gern ne Meinung eines Kardiologen dazu, ich bin keiner auch kein absoluter Schrittmacherexperte, möge man mich bitte da korrigieren wo ich falsch liege.

#12 |
  1
Apotheker

@Klaus Samer
Nun kenne ich mich als Pharmazeut auch nicht so gut mit Herzschrittmachern aus, zumal die nicht zu den Medizinprodukten gehören, die in der Apotheke über den Ladentisch wandern.
Einen Mechanismus kann ich mir dennoch vorstellen.
Ein Schrittmacher kann über einen elektrischen Puls die Muskelzellen zur Kontraktion anregen. Schlägt das Herz also zu langsam, kann durch den Schrittmacher ein Puls zur richtigen Zeit abgegeben werden, so dass das Herz kontrahiert.
Wenn nun bei kontrahiertem Herzen der Puls abgegeben wird, bleibt die Entspannung des Herzens aus, bzw. erfolgt einen Moment später -> Puls verlangsamt sich.
Ob das wirklich so geht, weiß ich nicht, denkbar ist es aber.

#11 |
  1
Medizinjournalist

Ich bin mit der Technik von Herzschrittmachern auch nicht so vertraut und hab im Artikel versucht, die Erfahrung von Marie Moe wiederzugeben, die das Nachrichtenmagazin wired.com so zitiert:
“If I tried to run after the bus or climb up stairs I would suddenly get out of breath. The pacemaker was detecting my pulse to be outside the upper heart rate limit, which was erroneously configured to 160 beats per minute. When I reached this heart rate, the pacemaker would suddenly cut my pulse in half to 80 beats per minute due to a safety mechanism. This was a very uncomfortable feeling. All of a sudden my body could not get enough oxygen. I compare it to that feeling you get running uphill as fast as you can until you reach the point of exhaustion, except it happened instantaneously, without any warning. Like hitting a wall.”

#10 |
  0
Klaus Samer
Klaus Samer

@Herr Gast der Tenor das Artikels ist mir schon klar, mir ging es um den Teil wo der Sachverhalt so geschildert wurde das man vermuten könnte der Schrittmacher könne Frequenzen aktiv nach unten regeln , das kann er definitiv nicht. Gut möglich das die Dinger gehackt werden können, derzeit muss der Kardiologe um Zugriff auf die Software zu erhalten den Auslesesensor aber noch auf der Brust das Patienten plazieren, ich bezweifle das ein Fernzugriff möglich ist, es sei denn neuere Modelle hätten eine Sendefunktion und wie hier angemerkt , die Software trennt nicht in Datenübertragung und Systemzugriff.

#9 |
  1
Gast
Gast

es geht um Sabotagemöglichkeit durch Steurung von außen, Herr Samer!

#8 |
  0
Klaus Samer
Klaus Samer

@ Gast ich geh mal davon aus das sich der Schrittmacher beim Treppensteigen nicht einfach “spontan” abgeschaltet hat, das wäre ein Grund den vom Markt zu nehmen. “Abschalten’ lassen sich Schrittmacher nur mit den Laptops zum programmieren oder einem starken Magneten alles andere ist ein technischer Defekt.

#7 |
  2
Gast
Gast

@Klaus Samer, der Schrittmacher muss nur abgeschaltet sein, dann sackt der Puls sofort ab auf die “Spontanfrequenz” ohne Schrittmacher, was tödlich sein kann (Adam-Stoke).

#6 |
  0
Gast
Gast

Danke Herr Lederer,
man muss also endlich Technik und Technologie deutlicher
von Daten-übertragung und Datenspeicherung trennen.
Das eine ist grundsätzlich als Unterstützung des Menschen zu erkennen,
das andere eher nicht.
Das fängt ganz drastisch bei den simplen PC´s an die inzwischen ernst gemeint einen “eigenen Willen” bekommen haben und dem Besitzer keineswegs immer gehorchen wie früher, als Datenübertragung noch ein aktiver Akt war, der nicht unbemerkt im Hintergrund abläuft.
Manches funktioniert gar nicht mehr richtig wenn man offline arbeitet

#5 |
  0
Klaus Samer
Klaus Samer

Das Schrittmacher den “Herschlag plötzlich schmerzzhaft verlangsamen können ” wäre mir wie auch der dazugehörige physiologische Mechanismus neu. Im vorliegenden Fall vermute ich das die maximal eingestellte Frequenz für die “angelegte” körperliche Belastung nicht ausreichte. Wenn ich mich recht entsinne gibt es aber schon länger Geräte die über bestimmte Parameter sich auch an physische Belastungen adaptieren und nicht nur stumpf einen gewissen Frequenzbereich vorgeben.

#4 |
  3
#3 |
  0

Als Ergänzung zum hier vorliegenden aktuellen DocCheckNews Beitrag von Erich Lederer gab es 2013 einen Artikel von Michael van den Heuvel auf DocCheck®News zum Thema „Defibrillatoren: Schock zweiter Klasse“ über implantierbare Kardioverter-Defibrillatoren (ICDs) http://news.doccheck.com/de/40322/defibrillatoren-schock-zweiter-klasse/

Hier ein literarischer Hinweis auf das Buch mit dem Titel “Kammerflimmern”, im Münchener Piper-Verlag im Jahr 2011 auf Deutsch erschienen:
Mit dem ‚Umprogrammieren‘ oder ‚Fernprogrammieren‘ von Herzschrittmachern (pacemaker) und implantierbaren Defibrillatoren wie denr ICDs (implantable cardioverter defibrillator) könne man d e n „perfekten Mord“ begehen, ist wesentliche Essenz des Buches „Kammerflimmern“ von Anne und Even Holt. Anne Holt, Jahrgang 1958, norwegisch-US-amerikanische Thriller-Autorin, und ihr jüngerer Bruder Even, Herzspezialist und Chefarzt der Kardiologie in einer Osloer Klinik, schrieben mit „Kammerflimmern“ 2010 ihr erstes gemeinsames Buch: Der Kriminalroman unter dem Titel „Flimmer“, erschien im ‚Piratvorlaget AS‘ in Oslo und in Deutsch übersetzt im Piper-Verlag München.

Mit dynamischem Erzählstil im Strudel von Herzrhythmusstörungen, Herzschrittmachern (HSM), ICD, „Deimos-Herzstartern“, dem international operierenden Medizintechnik-Konzern „Mercury Medical“ und hierarchisch-bürokratischem Krankenhausbetrieb werden männlich-weibliches Konkurrenzdenken in Forschung und Klinik, Solidarität, Integrität, Kollegialität und Verrat, internationale Verflechtungen des medizinisch-technischen Industriekomplexes, Abgründe der Psychopathologie, Aktienspekulationen und –Manipulationen, globalisierte Marken- und Imagekampagnen, Cyber-Kriminalität, Datenklau und –Manipulationen kolportiert und ausgelotet. Der Showdown findet im Four Seasons Ballroom im Colorado Convention Center in Denver statt.

#2 |
  0
Ärztin

Stoff für einen düsteren science fiction Krimi.

#1 |
  0
Copyright © 2017 DocCheck Medical Services GmbH
Sprache:
DocCheck folgen: