Herzschrittmacher Sicherheitslücke im Brustkorb

Das Leben von Marie Moe hängt an einem Computer, nämlich an einem modernen Herzschrittmacher. Ein Programmierfehler könnte sie töten, ein Hacker vielleicht auch. Damit es nicht dazu kommt, wendet sie sich an die internationale IT-Szene.

Marie Moe beim Hackerkongress 32C3: "Ich habe weniger Angst davor, gehackt zu werden, als vor Fehlern in der Software"
Thorsten Schroeder

Marie Moe beim Hackerkongress 32C3: "Ich habe weniger Angst davor, gehackt zu werden, als vor Fehlern in der Software"

Von


Marie Moe hatte keine Wahl, welches Gerät man ihr einbaut. Es war eine dringende Operation vor vier Jahren, keine Zeit für Diskussionen, es ging um ihr Leben. Als sie wieder aufwachte, trug sie einen Herzschrittmacher, wie üblich ein Modell, das die Ärzte ausgesucht haben. Die 37-jährige Norwegerin hat in Informationssicherheit promoviert, sie weiß um Sicherheitslücken in Software und Hardware, die finden sich schließlich fast überall. Und nun fragt sich Moe seit Jahren, wie sicher eigentlich dieses eine Gerät in ihrer Brust ist.

Zunächst suchte sie im Netz nach Informationen über ihren Herzschrittmacher - und fand mit bloßem Googeln die Bedienungsanleitung. Sie fand heraus, dass ihr Leben nicht nur von dem Schrittmacher selbst, sondern von mehreren Geräten abhängt und dass ihr Schrittmacher auch von außen ansteuerbar ist.

Das haben bereits andere Patienten als Gefahr ausgemacht: Dick Cheney hat sich aus Angst vor einem Anschlag die Drahtlosfunktion in seinem Herzschrittmacher deaktivieren lassen. Auch bei Moe ist eine entsprechende Funktion in ihrem Gerät deaktiviert, weil sie sie medizinisch gesehen nicht unbedingt braucht. Zu viele Details möchte sie aus naheliegenden Gründen aber nicht über das in ihr verbaute Gerät verraten. Und vieles wusste sie - wie wohl die meisten Patienten - selbst lange nicht.

Herzschrittmacher über Ebay ersteigert

Sie beschloss, sich genauer mit der potenziellen Sicherheitslücke in ihrem Körper zu befassen. Verschiedene IT-Experten und Hacker forschen zur Sicherheit von medizinischem Gerät; unter anderem hörte Moe 2013 davon, dass der Star-Hacker Barnaby Jack auf einer Konferenz in Las Vegas einen Vortrag über die Angriffsszenarien auf Herzschrittmacher halten wollte. Moe beschloss damals, nach Las Vegas zu reisen und versuchte über den ihr bekannten Sicherheitsexperten Éireann Leverett einen Kontakt zum Redner herzustellen.

Eine Woche vor der Konferenz allerdings starb Barnaby Jack, sein Wissen hatte er laut Leverett noch geteilt, allerdings nur mit bestimmten Medizinfirmen, nicht mit der Öffentlichkeit. Leverett beschloss, Marie Moe selbst zu helfen und mit ihr die Sicherheit oder Unsicherheit ihres Herzschrittmachers zu erforschen. Auf dem Hackerkongress 32C3 des Chaos Computer Clubs in Hamburg werden die beiden am späten Abend über ihr Projekt sprechen. "Wir werden allerdings nicht tief ins Detail gehen, was wir bisher herausgefunden haben", sagt Moe, viel zu gefährlich sei das und in ihrem Fall auch viel zu privat.

Marie Moe und Éireann Leverett: "Hacken, um Leben zu retten"
Thorsten Schroeder

Marie Moe und Éireann Leverett: "Hacken, um Leben zu retten"

Über Ebay haben sie zuerst verschiedene Herzschrittmacher und dazugehörige Geräte gekauft, um sie zu testen, zu hacken, zu verstehen. "Ich bastele ja nicht an meinem eigenen Gerät herum", sagt Moe, das ginge ja auch schlecht. Die ersten Probleme mit Sicherheit und Datenschutz bei medizinischen Geräte zeigten sich den beiden auf den ersten Blick: Einige Exemplare kamen bei den Forschern samt der gespeicherten Patientendaten an.

Beim näheren Hinsehen ließ sich noch mehr kritisieren: Der Code, der Marie Moe am Leben hält, ist nicht öffentlich einsehbar, es ist keine Open-Source-Software, sondern ein geschlossenes System. Deshalb können ihn Programmierer und Sicherheitsexperten nicht auf mögliche Schwachstellen prüfen. "Es sollten mehr Menschen die Möglichkeit bekommen, den Code zu überprüfen zu können", fordert Moe.

Ein Update ist nicht so einfach möglich

Mögliche Schwachstellen im Code sind das, was Moe am meisten Sorge bereitet: "Ich habe weniger Angst davor, gehackt zu werden, als vor Fehlern in der Software." Ein Update lasse sich bei einem Herzschrittmacher eben nicht so einfach und sorglos einspielen wie am Rechner - und um das gesamte Gerät zu ersetzen, ist eine Operation nötig.

Moe und Leverett möchten deshalb das Augenmerk der Hacker auf der Konferenz in Richtung der medizinischen Geräte lenken, die auch alle Computer sind, aber oft stiefmütterlich behandelt werden, was Programmierung und Wartung angeht. Weil manchem Entwickler auch das Bewusstsein für seine Verantwortung fehlt, glaubt Leverett: "Viele Informatikstudenten wollen später mal bei Google oder Facebook arbeiten und kämen gar nicht darauf, dass der von ihnen geschriebene Code vielleicht irgendwann in einem Herzschrittmacher landet." Und dort über Leben und Tod entscheidet.

Für all diese Probleme möchten die beiden auf der internationalen IT-Konferenz ein Bewusstsein schaffen. "Wir müssen uns die Sicherheit von medizinischen Geräten genauer ansehen", sagt Moe, "ich hoffe, dass in Zukunft mehr Forscher hacken, um Leben zu retten."

Moe wird zur unbequemen Patientin

Als Fachfrau kann sie zur Stimme für viele Patienten werden, die sich schlechter auskennen als sie und die viele Fragen gar nicht stellen. Auch vielen Ärzten sei das Thema IT-Sicherheit noch fremd, die Sicherheitsstandards in vielen Krankenhäusern niedrig, erklärt das Forscherduo. "Für viele Ärzte klingt das Szenario eines Angriffs auf einen Herzschrittmacher mehr nach einem Hollywood-Thriller als nach einer realen Gefahr", sagt Leverett.

Von ihrer Energie können andere Patienten mit Herzschrittmachern nur profitieren. Moe stellt den Medizinern und Informatikern Fragen, die viele andere Patienten wohl niemals stellen würden, sie ist ein "informierter Konsument", wie Leverett sagt.

In fünf oder sechs Jahren steht ihre nächste planmäßige Operation an, "dann wird die Batterie leer, die halten in der Regel so um die zehn Jahre", sagt Moe. Bis dahin werde sie eine unbequeme Patientin geworden sein: "Ich werde sehr genaue Fragen stellen über den Tausch und über das neue Gerät."

Der Vortrag "Unpatchable" von Marie Moe und Éireann Leverett ist ab 23 Uhr hier im Live-Stream des Chaos Computer Clubs zu sehen.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 42 Beiträge
Alle Kommentare öffnen
Seite 1
genugistgenug 28.12.2015
1. 'des funktioniert scho richtig'
solche Floskeln kriegt man, statt fundierter Informationen - einzig nur um das eigene Unwissen und vor allem Desinteresse zu kaschieren. Man kann ja froh sein, wenn man den Hersteller in einem Gespräch genannt bekommt und nicht nachbohren muss. Dabei geht es aber eher um Handelsspannen, Bonus, usw. Das Vertrauen in die IT beruht auf der IT Inkompetenz der Mediziner. BAnal gesagt, die sind einfach zwei Modelle (Frau/Mann) und zwei Zustände (lebend/tot) gewohnt. Seit der 1. Schrittmacher mit Fernabfrage im Bekanntenkreis verbaut wurde, stellt sich die Frfage nach den Zugriffsmöglichkeiten. Der Arzt war richtig stolz, dass er nun immer Bescheid wissen konnte wie dsa Ding funktioniert. Beriets die Frage nach dem Stromverbrauch dieser 'sinnvollen' Abfragen ließ ihn stottern. Wie die Dinegr programmiert werden, usw. ließ weißen Rauch aufsteigen und TILT erschien auf seiner Stirn ;-)
1lauto 28.12.2015
2. über Kabel auslesen und programmieren?
Täte gehen- wenn die Dinger überhaupt einen z.B. USB Anschluss hätten. Und alle paar Monate die Haut aufschneiden um den Steckkontakt zur Überprüfung herzustellen? Seit die guten Plutoniumbatterien aus der Mode gekommen sind halten die Batterien nicht mehr ewig und bei einem wirklich Schrittmacherabhängigen ist dann der Batterietod auch der Tod.
Shelly 28.12.2015
3. Ein Kabel (oder Schlauch)
Zitat von 1lautoTäte gehen- wenn die Dinger überhaupt einen z.B. USB Anschluss hätten. Und alle paar Monate die Haut aufschneiden um den Steckkontakt zur Überprüfung herzustellen? Seit die guten Plutoniumbatterien aus der Mode gekommen sind halten die Batterien nicht mehr ewig und bei einem wirklich Schrittmacherabhängigen ist dann der Batterietod auch der Tod.
vom Körperinneren nach außen ist auch immer eine Eintrittspforte für ebenfalls lebensgefährdende Keine.
MikeRubato 28.12.2015
4. Was für ein Schwachsinn!
Für sicherheitskritische Software gibt es Prozesse und Zertifizierungskriterien. Wieviele Herzschrittmacherträger sind denn in 2015 durch eine Hackerattacke zu Schaden gekommen? Ach so, Null ! Ja dann. Da wollte eine mediengeile Patientin und zugleich Möchtegernexpertin sich halt mal wichtig machen. Warum nicht.
claus_debold 28.12.2015
5. So isses halt...
....da brauche ich garnicht so speziell werden: Jedes moderne Auto ist komplett computergesteuert und somit geht die Chance, "gehackt" zu werden, nicht in die 10tausende sondern in die Millionen und wenns bei achzig knallt, sind die Überlebenschancen genauso schlecht als beim Herzschrittmacher. Ich habe auch einen und das seit 6 Jahren. Manchmal spinnt er, dann muß ihn der Kardiologe halt neu einstellen. Ohne ihn könnte ich mich garnicht mehr beschweren über Mängel. So isses halt...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.