#digi: Herzschrittmacher hacken

Nr. 33 –

Haben Sie einen Herzschrittmacher, oder trägt eineR Ihrer Liebsten einen Herzschrittmacher? Dann sei Ihnen empfohlen zu überprüfen, ob es sich um ein Gerät von Medtronic handelt. Wenn ja, ist es nicht gut – um es euphemistisch auszudrücken.

Der US-Konzern Medtronic ist einer der grössten Medizintechnikhersteller der Welt. Die Firma hat auch einen Schweizer Ableger, der von Münchenbuchsee aus agiert und nach eigenen Angaben rund 170 MitarbeiterInnen beschäftigt. Auf ihrer Website lobt sich die Firma, stets die «bestmöglichen Leistungen zum Wohle der PatientInnen zu erbringen».

Daran darf man zweifeln. Die Herzschrittmacher von Medtronic haben nämlich ein Problem: Sie können gehackt werden. Ende vergangener Woche haben die beiden Hacker Billy Rios und Jonathan Butts im Rahmen einer IT-Sicherheitskonferenz in Las Vegas vorgeführt, wie das geht. Die IT-Nachrichtenplattform heise.de schildert die Probleme detailliert. Zusammengefasst geht es um Folgendes: Die Geräte empfangen ihre Updates drahtlos, NutzerInnenname wie Passwort lassen sich leicht auslesen, die Updates selbst werden unverschlüsselt übermittelt. Die beiden Hacker sagen, es wäre leicht möglich, die Herzschrittmacher mit Schadsoftware zu verseuchen. Das Gerät würde nicht merken, dass es nicht mehr mit dem richtigen Programmiergerät von Medtronic kommuniziert.

Die Hacker demonstrierten dem Publikum in Las Vegas, wie das geht: Sie schoben dem externen Monitoringgerät ihre Software unter, die auf dem Display einen Totenkopf und die Frage «Do you want to die?» (Möchten Sie sterben?) anzeigte. Als Antwort auf die Frage gab es nur die Schaltfläche «Ja».

Die beiden Hacker seien damit in die Öffentlichkeit gegangen, weil die Firma sich partout weigere, die Sicherheitslücken zu schliessen, obwohl schon vor Monaten darüber informiert worden sei, schreibt heise.de.

Medtronic teilt auf Anfrage mit, man sei konkreten Hinweisen nachgegangen und habe über Risiken informiert. Sicherheitsfragen räume man höchste Priorität ein, wobei keine medizinischen Geräte risikofrei seien. Es gelte immer, die medizinischen Nutzen gegen die Risiken abzuwägen.