Sicherheit implantierbarer Medizintechnik: Herzschrittmacher von St. Jude Medical sollen hackbar sein
Streit mit harten Bandagen: Der US-amerikanische Medizingerätehersteller St. Jude Medical zofft sich mit dem Sicherheitsspezialisten MedSec und der Investmentfirma Muddy Waters Capital über die Sicherheit von lebenswichtigen Geräten.
Der US-amerikanische Medizingerätehersteller St. Jude Medical steht im Kreuzfeuer der Kritik. Der Sicherheitsspezialist MedSec und die Investmentfirma Muddy Waters Capital (MWC) werfen dem Unternehmen vor, seine Herzschrittmacher und Defibrillatoren seien unsicher. Mittlerweile soll die US-Aufsichtsbehörde Food and Drug Administration (FAO) in dieser Sache Untersuchungen aufgenommen haben. Falls diese sich den Vorwürfen anschließt, könnte es zu einem Rückruf der Geräte kommen.
Muddy Waters Capital und MedSec haben vorige Woche einen Untersuchungsbericht vorgelegt, laut dem die Ferndiagnosesysteme der Herzschrittmacher anfällig für Attacken von außen sein und gestört werden könnten, die Herzhelfer könnten gar außer Betrieb gesetzt werden. Konkret geht es dabei um den Transmitter Merlin@home, über den Daten aus den Implantaten ausgelesen werden können.
Schlagabtausch
St. Jude Medical hat sich in einer Stellungnahme gegen die Vorwürfe verwahrt. Muddy Waters Darstellung, die Batterien der Implantate könnten in einer Entfernung von 15 Meter durch eine Dauerverbindung erschöpft werden, sei nicht richtig; vielmehr sei eine Verbindung nur in einer Entfernung von bis zu 2 Meter möglich. Das allein stelle schon den Untersuchungsbericht in Frage. Dazu komme in dem Szenario, dass ein Hacker 100 Stunden kontinuierlich mit dem Implantat verbunden sein müsse.
MWC sieht in der Stellungnahme von St. Jude Medical wenig Substanz. Der Hersteller ignoriere darin, dass eine Attacke mit einer wesentlich stärkeren Antenne, als sie sonst üblicherweise verwendet wird, auch aus einer größeren Entfernung möglich sein könne. Überdies räume St. Jude Medical indirekt ein, dass Träger von implantierten Herzschrittmachern und Defibrillatoren zumindest aus einer kürzeren Distanz gefährdet sein können.
Täuschung und Betrug
Über den Vorwurf hinaus, dass die von den Transplantaten übermittelten Daten nicht verschlüsselt würden und es auch sonst an Sicherheitsvorkehrungen fehle, hat sich MWC auch den Sprachgebrauch in der Mitteilung von St. Jude Medical vorgeknöpft. Darin seien einige Indizien zu finden, die auf Täuschungs- oder Betrugsversuche hinwiesen. Damit meinen die MWC-Analytiker Sätze wie: „Unsere Hauptpriorität ist es, unseren Patienten zu versichern…“ Mit Formulierungen wie: „Unsere Analyse hat ergeben, dass die Mehrheit der Beobachtungen in dem Bericht ältere Versionen der Merlin@home-Geräte betreffen…“ wolle sich St. Jude Medical eine Hintertür offen lassen.
Derweil versucht die FDA betroffene Patienten zu beschwichtigen. Diese sollen ihre Implantate weiterhin benutzen, sagte eine Sprecherin laut US-Medien. Falls Patienten sich sorgten, sollen sie sich an ihren Arzt wenden.
„Hackt mein Herz!“
Dass es bei modernen Herzschrittmachern (zur künstlichen Stimulation des Herzschlags) oder Defibrillatoren (zur Normalisierung des Herzschlags bei Herzrhythmusstörungen) Probleme mit der Sicherheit vor externen Angriffen geben kann, wird grundsätzlich allerdings nicht erst jetzt bekannt.
Bereits 2008 hatten Forscher bei klassischen Herzschrittmachern und implantierbaren Defibrillatoren mit proprietärer Kurzfunkstrecke zum Auslesen der Daten und zum Programmieren Sicherheitslücken ausgemacht und dargestellt, wie sich diese Geräte manipulieren lassen – allerdings nur über sehr kurze Entfernungen von wenigen Zentimetern. 2013 wollte Barnaby Jack auf der Black-Hat-Konferenz demonstrieren, wie sich implantierbare Medizintechnik auch über größere Entfernungen auslesen und manipulieren lässt – starb aber kurz zuvor.
Moderne Geräte jedenfalls, die mit NFC-Schnittstellen oder gar WLAN-Zugang ausgestattet werden, sind für solche externen Angriffe noch anfälliger – ganz abgesehen von Bugs und Lücken in der Firmware der Geräte.
Daher forderte die Sicherheitsforscherin Marie Moe, die selbst einen Herzschrittmacher trägt, vor einiger Zeit die Community der Hacker und Sicherheitsforscher auf, sich intensiver mit solcher Medizintechnik zu beschäftigen, „um Wege zu finden, sie sicherer zu machen“: „Go Ahead, Hackers. Break My Heart.“ Auf dem 32. Chaos Communication Congress 2015 hatte sie bereits zusammen mit Éireann Leverett erste Ergebnisse ihrer eigenen Untersuchungen an Herzschrittmachern vorgestellt.
Quelle: http://heise.de/-3307510
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Dienstag, 30. August 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Dienstag, 30. August 2016
- Detlef: Professionelle Beratung. Man nahm s... Dienstag, 30. August 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Dienstag, 30. August 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Dienstag, 30. August 2016