Streit mit harten Bandagen: Der US-amerikanische Medizingerätehersteller St. Jude Medical zofft sich mit dem Sicherheitsspezialisten MedSec und der Investmentfirma Muddy Waters Capital über die Sicherheit von lebenswichtigen Geräten.

Der US-amerikanische Medizingerätehersteller St. Jude Medical steht im Kreuzfeuer der Kritik. Der Sicherheitsspezialist MedSec und die Investmentfirma Muddy Waters Capital (MWC) werfen dem Unternehmen vor, seine Herzschrittmacher und Defibrillatoren seien unsicher. Mittlerweile soll die US-Aufsichtsbehörde Food and Drug Administration (FAO) in dieser Sache Untersuchungen aufgenommen haben. Falls diese sich den Vorwürfen anschließt, könnte es zu einem Rückruf der Geräte kommen.

Muddy Waters Capital und MedSec haben vorige Woche einen Untersuchungsbericht vorgelegt, laut dem die Ferndiagnosesysteme der Herzschrittmacher anfällig für Attacken von außen sein und gestört werden könnten, die Herzhelfer könnten gar außer Betrieb gesetzt werden. Konkret geht es dabei um den Transmitter Merlin@home, über den Daten aus den Implantaten ausgelesen werden können.

Schlagabtausch

St. Jude Medical hat sich in einer Stellungnahme gegen die Vorwürfe verwahrt. Muddy Waters Darstellung, die Batterien der Implantate könnten in einer Entfernung von 15 Meter durch eine Dauerverbindung erschöpft werden, sei nicht richtig; vielmehr sei eine Verbindung nur in einer Entfernung von bis zu 2 Meter möglich. Das allein stelle schon den Untersuchungsbericht in Frage. Dazu komme in dem Szenario, dass ein Hacker 100 Stunden kontinuierlich mit dem Implantat verbunden sein müsse.

MWC sieht in der Stellungnahme von St. Jude Medical wenig Substanz. Der Hersteller ignoriere darin, dass eine Attacke mit einer wesentlich stärkeren Antenne, als sie sonst üblicherweise verwendet wird, auch aus einer größeren Entfernung möglich sein könne. Überdies räume St. Jude Medical indirekt ein, dass Träger von implantierten Herzschrittmachern und Defibrillatoren zumindest aus einer kürzeren Distanz gefährdet sein können.

Täuschung und Betrug

Über den Vorwurf hinaus, dass die von den Transplantaten übermittelten Daten nicht verschlüsselt würden und es auch sonst an Sicherheitsvorkehrungen fehle, hat sich MWC auch den Sprachgebrauch in der Mitteilung von St. Jude Medical vorgeknöpft. Darin seien einige Indizien zu finden, die auf Täuschungs- oder Betrugsversuche hinwiesen. Damit meinen die MWC-Analytiker Sätze wie: „Unsere Hauptpriorität ist es, unseren Patienten zu versichern…“ Mit Formulierungen wie: „Unsere Analyse hat ergeben, dass die Mehrheit der Beobachtungen in dem Bericht ältere Versionen der Merlin@home-Geräte betreffen…“ wolle sich St. Jude Medical eine Hintertür offen lassen.

Derweil versucht die FDA betroffene Patienten zu beschwichtigen. Diese sollen ihre Implantate weiterhin benutzen, sagte eine Sprecherin laut US-Medien. Falls Patienten sich sorgten, sollen sie sich an ihren Arzt wenden.

„Hackt mein Herz!“

Dass es bei modernen Herzschrittmachern (zur künstlichen Stimulation des Herzschlags) oder Defibrillatoren (zur Normalisierung des Herzschlags bei Herzrhythmusstörungen) Probleme mit der Sicherheit vor externen Angriffen geben kann, wird grundsätzlich allerdings nicht erst jetzt bekannt.

Bereits 2008 hatten Forscher bei klassischen Herzschrittmachern und implantierbaren Defibrillatoren mit proprietärer Kurzfunkstrecke zum Auslesen der Daten und zum Programmieren Sicherheitslücken ausgemacht und dargestellt, wie sich diese Geräte manipulieren lassen – allerdings nur über sehr kurze Entfernungen von wenigen Zentimetern. 2013 wollte Barnaby Jack auf der Black-Hat-Konferenz demonstrieren, wie sich implantierbare Medizintechnik auch über größere Entfernungen auslesen und manipulieren lässt – starb aber kurz zuvor.

Moderne Geräte jedenfalls, die mit NFC-Schnittstellen oder gar WLAN-Zugang ausgestattet werden, sind für solche externen Angriffe noch anfälliger – ganz abgesehen von Bugs und Lücken in der Firmware der Geräte.

Daher forderte die Sicherheitsforscherin Marie Moe, die selbst einen Herzschrittmacher trägt, vor einiger Zeit die Community der Hacker und Sicherheitsforscher auf, sich intensiver mit solcher Medizintechnik zu beschäftigen, „um Wege zu finden, sie sicherer zu machen“: „Go Ahead, Hackers. Break My Heart.“ Auf dem 32. Chaos Communication Congress 2015 hatte sie bereits zusammen mit Éireann Leverett erste Ergebnisse ihrer eigenen Untersuchungen an Herzschrittmachern vorgestellt.

Quelle: //heise.de/-3307510