Sicherheitslücke bei Herzschrittmachern 13.000 deutsche Patienten müssen für Update ins Krankenhaus

Der Pharmakonzern Abbott bestellt weltweit Herzpatienten für ein Software-Update ins Krankenhaus - auch in Deutschland. Die Geräte in ihrer Brust haben eine potenziell gefährliche Schwachstelle.

Von


Aufgrund einer Sicherheitslücke in der Systemsoftware sind weltweit mehrere Hunderttausend Patienten mit einem Herzschrittmacher dazu aufgerufen, sich im Krankenhaus ein Software-Update aufspielen zu lassen. Die Rückrufaktion soll verhindern, dass die technischen Geräte etwa von Hackern per Funk manipuliert werden und die Patienten in Gefahr geraten.

Es handelt sich dabei um Geräte des Herstellers St. Jude Medical, der im vergangenen Jahr vom Pharmakonzern Abbott aufgekauft worden ist. Auch in Europa sind einige dieser Geräte implantiert worden, bestätigte das Unternehmen auf Nachfrage von SPIEGEL ONLINE.

Abbott und die US-amerikanische Lebensmittel- und Arzneimittelbehörde (FDA) raten nun dringend dazu, ein Firmware-Update aufzuspielen, um mögliche Sicherheitslücken in den Herzschrittmachern zu schließen.

Eine neue Software-Version soll unter anderem bei Modellen mit den Bezeichnungen Accent, Anthem, Assurity und Allure "das Risiko reduzieren, dass Patienten durch mögliche Cybersecurity-Schwachstellen gefährdet werden", heißt es bei der FDA.

Laut Abbott handelt es sich um eine weltweite Update-Aktion. In Deutschland sind demnach rund 13.000 Patienten mit einem Herzschrittmacher betroffen. Eine Abbott-Sprecherin sagt: "Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist."

Keine Operation für das Update nötig

Die medizinischen Geräte werden im oberen Bereich der Brust implantiert und regulieren die Herzfrequenz. Da sie per Funk gesteuert werden können, ist für das Update keine Operation nötig.

Laut Abbott gibt es bisher keine Berichte darüber, dass die Sicherheitslücken im Alltag von Patienten bereits ausgenutzt worden sind. Es handele sich nach Informationen des US-Innenministeriums um einen "sehr komplexen Angriff".

Doch die Folgen könnten im Falle einer Manipulation tödlich sein. "Bei einer erfolgreichen Attacke könnten Angreifer in der Nähe unrechtmäßig auf das implantierte medizinische Gerät über Funk zugreifen und Befehle ausführen", heißt es in einem Schreiben des Konzerns an Ärzte in den USA. Die Angreifer seien dann sogar in der Lage, das Gerät zu deaktivieren.

Betroffene Patienten müssen das Update in einem Krankenhaus aufspielen lassen. Die Installation dauert drei Minuten, währenddessen läuft das Gerät in einem Backup-Modus. Laut Abbott muss klinisches Fachpersonal das Software-Update beaufsichtigen, da beim Aufspielen das Risiko besteht, dass Daten verloren gehen oder eine Fehlfunktion auftritt.

Allerdings soll dieses Risiko relativ gering sein: Die Chance, dass beispielsweise ein Update abbricht und eine frühere Version der Software geladen wird, liegt den Angaben zufolge bei unter 0,2 Prozent.

Hinweis: In einer früheren Version dieses Artikels war von Mini-Defibrillatoren die Rede. Betroffen sind jedoch Herzschrittmacher.

Mehr zum Thema


insgesamt 27 Beiträge
Alle Kommentare öffnen
Seite 1
eyekey 31.08.2017
1. 0,2%
0,2% bedeuten, dass es statistisch bei 13.000 Betroffenen in Deutschland zu 26 Patienten mit Problem beim Update kommen wird. Ich finde das nicht wenig.
Cardio84 31.08.2017
2.
Wobei ich nach wie vor die Funkfunktion bei Defi und Schrittmacher nicht verstehe. Der Patient muss doch für eine Kontrolle eh im selben Raum mit dem Kontrollgerät sein, warum also nicht den konventionellen Ausleser auflegen? Dick Cheney hat ja vor über 10 Jahren bewusst ein neueres Aggregat mit Funkfunktion abgelehnt, der Mann wird schon gewusst haben warum er das getan hat.
slobo666 31.08.2017
3. Defi vs Pacemaker
Es gibt einen Unterschied zwischen Defibrillator und Schrittmacher. Laut FDA Warning Letter sind Defis explizit nicht betroffen (entgegen dem Wortlaut des Artikels). Zitat: "This communication does NOT apply to any implantable cardiac defibrillators (ICDs) or to cardiac resynchronization ICDs (CRT-Ds)."
meiner79 31.08.2017
4.
Zitat von eyekey0,2% bedeuten, dass es statistisch bei 13.000 Betroffenen in Deutschland zu 26 Patienten mit Problem beim Update kommen wird. Ich finde das nicht wenig.
Aber das heisst doch nur, das dann eine alte Version geladen wird. Die Alte hat dann für den Moment wieder die Sicherheitslücke aber medizinisch besteht dann keine Gefahr. Ich weiss nicht ob sie die Funktion eines Schrittmachers kennen, aber das Gros wirkt nur einer Bradykardie entgegen, sprich bei unter 40 Schlägen (je nach Einstellung), gibts nen Impuls. Der Patient wird in dem Moment aber eh so aufgeregt sein, das es kaum eine Relevanz hat.
Balschoiw 01.09.2017
5. Ich muss
gestehen ich wußte gar nicht, das Herzschrittmacher über Funk angesteuert werden. Funkschlüssel ist dann wahrscheinlich bei allen gleich? Wundern würde es mich nicht. 3 Minuten im "Backupmodus", was auch immer das sein soll, denn es würde bedeuten das Daten aus dem Herzschrittmacher ausgelesen werden, vor Ort innerhalb der 3 Minuten gesichert werden, eine neue Firmware auf den Herzschrittmacher aufgespielt wird, während der im Notprogramm läuft und danach werden die patientenrelvanten Daten und Einstellungen wieder per Funk in den Herzschrittmacher übertragen? Ganz ehrlich, mir fallen tausend Gründe ein, warum da was schief gehen kann. Low battery----- Crazy world.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.