Gerade hat die US-Behörde für Homeland-Security eine Warnung herausgegeben. Diese betrifft Defibrillatoren des Herstellers Medtronic, die wohl schwere Sicherheitslücken aufweisen und von außen durch Angreifer manipuliert werden können.
Anzeige
Ein Defibrillator kann durch Stromstöße ein aus dem Takt gekommenes Herz mit Herzkammerflimmern wieder zum Schlagen bringen. Dabei gibt es externe Geräte und implantierte Varianten. Solche externen Geräte sind bei Notarzteinsätzen immer dabei und es gibt auch externe automatische Defibrillatoren, die in öffentlich zugänglichen Gebäuden wie Bahnhöfen, Flughäfen und anderen Orten für eine Anwendung durch medizinische Laien bereitgestehen.
Patienten mit häufig auftretendem Herzkammerflimmern wird dagegen ein batteriebetriebener Defibrillator eingepflanzt. Dieser wird aktiv, sobald der Herzschlag außer Tritt gerät. Bei auftretendem Herzkammerflimmern kann ein Defibrillator Leben retten.
750.000 implantierbare Geräte betroffen
Defibrillatoren der Medtronic PLC weisen eine gravierende Sicherheitslücke auf, die bis zu 750.000 Geräte betrifft. Das betrifft wohl Defibrillator-Implantate, die durch zwei Sicherheitslücken (CVE-2019-6538, CVE-2019-6540) angreifbar sind. Angreifer mit ausgeklügeltem Insiderwissen könnten einen Patienten schädigen, indem sie die Programmierung auf einem implantierten Defibrillator verändern, wie dieses Medium schreibt.
Allerdings sind für einen erfolgreichen Angriff einige Randbedingungen erforderlich – der Angreifer müsste sich in Funkreichweite eines Patienten mit einem verwundbaren Implantat befinden. Dann ließe sich die ungesicherte Kommunikation zwischen dem implantierten Defibrillator und einer externen Kontrollstation abfangen und manipulieren. Dies ist möglich, weil die Kommunikation nicht nur ungesichert ist, sondern der Defibrillator auch keine Authentifizierung bereitstellt. Bisher sind aber noch keine erfolgreichen Angriffe bekannt geworden.
Trotzdem hat das Homeland Security Department, das die Sicherheit in der kritischen US-Infrastruktur einschließlich medizinischer Geräte überwacht, die Tage eine diesbezügliche Warnung herausgegeben. In der Warnung werden Schwachstellen in 16 verschiedenen Modellen von implantierbaren Medtronic-Defibrillatoren beschrieben. Diese Defibrillatoren wurden weltweit verkauft. Einige Modelle sind noch heute auf dem Markt. Auch der Hersteller Medtronic hat eine Sicherheitswarnung herausgegeben. Heise hat einen deutschsprachigen Beitrag zum Thema veröffentlicht.
Auch Bettmonitore betroffen
Die Schwachstelle betrifft auch Bettmonitore, die Daten von den Geräten zu Hause lesen, sowie Computer, die von Ärzten in der Praxis verwendet werden. Medtronic empfiehlt Patienten, nur Bettmonitore zu verwenden, die sie von einem Arzt oder direkt von Medtronic erhalten haben. Diese Geräte sollten so angeschlossen werden, dass sie Software-Updates erhalten können. Zudem sollten Patienten sicherstellen, dass sie eine "gute körperliche Kontrolle" über den Monitor haben – sprich: Unbefugte sollten nicht an die Geräte herankommen. Details sind hier nachzulesen.
2015
Dazu drängt sich die Frage auf, weshalb die betreffende Software erst jetzt von Experten auf Sicherheitslücken überprüft wurde. Und diese Nachlässigkeit in einem derart hoch sensiblen Bereich.
Das die strenge Prüfung Kosten verursacht, kann doch wohl kein Grund zur Unterlassung sein.