Medizingeräte sichern oft das Überleben von Patienten, sind aber in vielen Fällen selbst keineswegs sicher. Drahtlose Schnittstellen erleichtern zwar Wartung und Datenübermittlung, bieten aber Hackern und Viren verlockende Eintrittspforten.
Über die Umstände, unter denen Barnaby Jack 2013 gestorben ist, wird immer noch heftig spekuliert. Der neuseeländische IT-Spezialist und Hacker sollte wenige Tage später auf der „Black Hat“ Konferenz für IT-Sicherheit einen Vortrag mit dem Thema „Implantable medical devices: Hacking humans“ halten. Jack, 35 Jahre alt, starb offiziell an einer Überdosis Drogen. Er galt als einer der profiliertesten Analysten für IT-Sicherheitslücken sowohl im Finanzbereich als auch in der Medizin. Seine Präsentation sollte aufzeigen, wie sich Herzschrittmacher per Fernsteuerung umprogrammieren lassen, sodass sie zu einer tödlichen Waffe im Körper des Opfers werden.
Schon in den Jahren zuvor hatten Kollegen demonstriert, dass etwa ein Herzschrittmacher keine abgeschlossenen Code-Sicherheitsfestung ist, sondern sich mit geeigneten Schlüsseln öffnen und steuern lässt. 2008 brachten Kevin Fu und seine Mitarbeiter von der Universität Michigan ein kommerzielles Gerät dazu, die persönlichen Einstellungen und Daten des Patienten preiszugeben und in veränderter Form über eine kabelgebundene Schnittstelle wieder einzuspeichern. Nicht ganz aus der Luft gegriffen scheint ein solches Szenario auch jenseits des Entwicklungslabors zu sein. Dick Cheney, unter George W. Bush Vizepräsident der Vereinigten Staaten, ließ sich diese Schnittstelle an seinem Schrittmacher aus Angst vor Sabotage inaktivieren. Barnaby wollte demonstrieren, dass eine solche Manipulation aus der Ferne möglich ist. Billy Rios und sein Kollege Terry McCorkle nahmen die Geräteausstattung in amerikanischen Kliniken unter die Lupe und kamen 2013 auf eine Anzahl von rund 300 Geräten von 40 verschiedenen Herstellern, deren Zugangspasswort fest mit dem Betriebs-Code verbunden und nicht veränderbar war. Allein schon durch den Download der Betriebsanweisung ließ sich damit der Zugang entschlüsseln.
Das sorgfältige Durchlesen der Betriebsanleitung für ihren Herzschrittmacher brachte auch die promovierte norwegische Informationssicherheits-Expertin Marie Moe darauf, dass auch ihr eigener Herzschrittmacher eine Eintrittsstelle für sogenannte Malware besaß – Befehle, die Steuerung zu sabotieren. Eine der beiden Schnittstellen wird vom Arzt für Routinekontrollen der Gerätefunktion genutzt, die zweite, ihr bisher unbekannte Verbindung nach außen erlaubt es, es detailliertes Protokoll der Aktivität zu erstellen und an den Hersteller und den Arzt zu senden – über das Internet. Auf dem „Chaos Commmunication Congress“ 2015 in Hamburg setzte sie sich mit ihrem Mitstreiter Eireann Leverett dafür ein, den Code solcher Geräte transparent zu machen. Experten könnten damit nicht nur unzulänglich verschlossene Türen aufdecken, sondern auch mögliche Fehlfunktionen der lebenserhaltenden Geräte. Sie selber erzählte von einer unangenehmen Erfahrung, als der Schrittmacher auf einer langen steilen Treppe plötzlich ihren Herzschlag schmerzhaft verlangsamte. Von dem eingestellten Maximalpuls wusste sie vorher nichts. Moes Kampf um die Herausgabe des Codes der Herstellerfirma war bisher vergeblich, jedoch – so die amerikanische Regelung – wäre es nicht verboten, den Code des eigenen Geräts zu hacken.
Rios wie auch Jack hatten gezeigt, dass nicht nur Herzschrittmacher, sondern auch Insulin- und andere Infusionspumpen für geübte Hacker nicht allzu schwer zu manipulieren sind. Gerade die Geräte für Diabetiker könnten auf diese Weise per Fernsteuerung tödliche Dosen des Hormons abgeben. Beide machten die jeweiligen Hersteller auf den ungenügenden Schutz der vernetzten Geräte aufmerksam. Allerdings reagierten diese erst einmal überhaupt nicht. Erst als Rios die staatliche Aufsichtsbehörde FDA einschaltete, zog die Firma ihr Produkt zurück. Es war der erste Rückruf eines Medizingeräts, das wegen Sicherheitsbedenken und ohne vorherigen Schadensfall vom Markt ging. Gravierende Sicherheitsmängel bei Pumpen der gleichen Firma entdeckten Forscher jedoch auch noch im letzten Jahr. Über eine Ethernet-Schnittstelle kann ein Angreifer im Prinzip den Schlüssel für Pumpen im gesamten Netz der Klinik auslesen und damit alle Geräte manipulieren. Im Januar stellte daher die FDA einen Entwurf für eine neue Sicherheits-Richtlinie ins Netz, der noch im Sommer zu einer verbindlichen Regelung werden soll. Sie lehnt sich an die Vorschriften für Industrieanlagen und Kraftwerke an. Der Hersteller soll sich über den ganzen Lebenszyklus seines Produkts hinweg um die Sicherheit nicht nur der Hardware, sondern auch der Software kümmern und bei Bedarf Lücken schließen oder Updates zur Verfügung stellen. Bei möglichen Gefahren müssten auch unverzüglich die Patienten informiert werden. Zugänge sollten mit physischen Schlössern versperrt und nur mehr mit modifizierbaren Passwörtern gesichert werden.
Im August letzten Jahres berichtete der Spiegel, dass es auch in Deutschland einem Heidelberger IT-Spezialisten im Auftrag einer süddeutschen Klinik gelungen sei, ein Narkosegerät zu hacken und dessen Steuerung mittels Laptop zu übernehmen. Erst vor einigen Monaten verhinderte ein Virus im IT-Netz einer Neusser Klinik die Funktion wichtiger System. Rund 15 Prozent aller geplanten Operationen wurden abgesagt. Moderne medizinische Geräte sind meist in ein Netzwerk integriert und besitzen eine eigene IP-Adresse. Das bedeutet, dass sie über das Netzwerk direkt angesteuert werden können, auch außerhalb der Klinikmauern. Mit der Möglichkeit für den Hersteller, diese Geräte von seiner Firma aus zu warten und Fehler zu beheben, wird es gleichzeitig zum möglichen Zielobjekt von Hackern mit böser Absicht oder Viren, die einfach nur alles in ihrer Umgebung durcheinanderbringen. Mit beiden Möglichkeiten hätten auch Erpresser gute Chancen auf ein einträgliches Geschäft, ohne die Patienten direkt anzugreifen. Dass es auch in Deutschland nicht zum Besten mit der Sicherheit steht, bestätigt Björn Bergh vom Zentrum für Informations- und Medizintechnik in Heidelberg: „Medizingeräte erfüllen kaum die Sicherheitskriterien, die wir an IT-Komponenten im Hinblick auf den Betrieb in Netzwerken stellen“, zitiert ihn das Ärzteblatt. „Sie sind in der Regel nicht aktuell, was die Betriebssystem-Updates angeht und haben entweder gar keine Malware-Schutzfunktion oder wenn, dann ist das Update problematisch.“ Vielfach heißt das entsprechende Betriebssystem noch Windows XP. Microsoft hat schon seit längerem den Service dafür eingestellt. Bei der Verantwortung für Sicherheitsmängel würden Hersteller und Kliniken, die entsprechende Geräte in ihr Netzwerk einbetten, oft gegenseitig mit dem Finger auf den jeweils anderen deuten. Ungeklärt ist damit auch die Haftungsfrage bei unerwünschten Vorkommnissen.
Auf der Computersicherheitskonferenz „Derbycon 2015“ im amerikanischen Louisville zeigte ein Vortrag, wie verführerisch der Weg ins innere solcher Geräte ist. „Honeypots“, eine Simulation von Geräten im Netzwerk mit entsprechender IP-Adresse, lassen sich mit geeigneten Suchmaschinen leicht aufstöbern. An die Geräte, die sich als MRT oder Defibrillator ausgaben, dockten rund 55.000 Adressaten an. Rund 300 mal wurde die Steuerung mit Malware angegriffen und 24 mal nutzten die Angreifer Sicherheits-Schwachstellen im Code, um ihn umzuprogrammieren. Noch sind keine Fälle bekannt geworden, wodurch Patienten durch Sabotage gestorben oder zumindest mutwillig verletzt wurden. Auf Programmierungsfehler gehen jedoch wohl sehr viele Fehlfunktionen und deren Folgen für die Behandelten zurück. Dementsprechend ist die Forderung von Marie Moe nach mehr Transparenz nur allzu verständlich. Weiterhin sollten die Geräte, so die Forderung der Sicherheitsexperten, getrennte Netzwerke für Funktion und Datenaustausch besitzen, sodass der Betrieb durch ein unbefugtes Eindringen nicht gestört werden kann. Schließlich soll der notwendige Datenaustausch nur in verschlüsselter Form stattfinden. In zwei Arbeitskreisen haben sich inzwischen kommunale, private und Universitätskliniken zusammengeschlossen, um neue Sicherheitsstandards zu entwickeln und umzusetzen. Die Hersteller der betreffenden Geräte sitzen jedoch bisher nicht an diesen Tischen. Dass es auch anders geht, zeigt in den USA die Mayo-Klinik. Sie vergibt regelmäßig den Auftrag an IT-Spezialisten, die Sicherheit ihres Geräteparks auf die Probe zustellen. Zusammen mit ihnen entstand eine Checkliste für den IT-Einkauf. Nur wer alle Anforderungen erfüllt, kommt mit der Klinik ins Geschäft.