Sicherheitslücke bei Insulinpumpen Diese App kann Menschen töten

Forscher haben eine App entwickelt, die eine Schwachstelle in bestimmten Insulinpumpen ausnutzt. Sie wollten beweisen: Für Patienten kann das Sicherheitsproblem gefährlich werden.

Insulinpumpe von Medtronic: Es kann gefährlich werden, wenn Hacker auf solche Geräte Einfluss nehmen
Chris Lee/ ZUMA Press/ imago

Insulinpumpe von Medtronic: Es kann gefährlich werden, wenn Hacker auf solche Geräte Einfluss nehmen


Irgendwann werden Hacker einen Menschen töten, ohne ihn anzufassen - davor warnt Billy Rios seit Jahren. Nun hat der US-Sicherheitsforscher zusammen mit seinem Geschäftspartner Jonathan Butts gezeigt, wie genau das aussehen könnte.

Rios beschäftigt sich seit Jahren mit dem Hacken von Medizintechnik. Bereits 2015 hatte er entdeckt, dass sich mehrere Modelle der weltweit in Krankenhäusern verwendeten Hospira-Infusionspumpen von außen so umprogrammieren ließen, dass sie Patienten im Extremfall tödliche Medikamentendosen verabreichen könnten.

2018 warnten Rios und Butts auf der IT-Sicherheitskonferenz Black Hat in Las Vegas vor Schwachstellen in Herzschrittmachern der Firma Medtronic, und auch der Umgang der Firma mit Software-Updates bereitete ihnen Sorgen. Diese würden es einem Angreifer erlauben, die Schrittmacher mit Schadsoftware zu versehen - was zu potenziell lebensbedrohlichen Fehlfunktionen führen könnte.

Hersteller will kein Update bereitstellen

Darüber hinaus fanden Rios und Butts damals aber auch Sicherheitslücken in bestimmten Insulinpumpen für Diabetespatienten, ebenfalls vom Hersteller Medtronic. MiniMed and MiniMed Paradigm heißen die entsprechenden Produktlinien.

Das Heimatschutzministerium hatte daraufhin sogar eine Warnung veröffentlicht. Doch in der hieß es unter anderem: "Medtronic wird kein Produktupdate entwickeln, um die Schwachstellen zu beseitigen." Dem Unternehmen erschien das Angriffsszenario als zu weit hergeholt, das Risiko akzeptabel. Rios und Butts waren anderer Meinung, wie "Wired" berichtet.

Sie halten vor allem die Fernbedienungen der Insulinpumpen für gefährlich. Diese sehen aus wie moderne Autoschlüssel und erlauben es zum Beispiel Pflegern, die Insulinabgabe der Pumpen für ihre Patienten zu steuern. Die Kommunikation zwischen Fernbedienung und Pumpe findet allerdings unverschlüsselt statt und lässt sich vergleichsweise einfach auslesen, wie die Sicherheitsforscher herausfanden.

Es gelang ihnen, einen Sender zu programmieren, der auf der passenden Frequenz funkt und sich als legitime Fernbedienung der Insulinpumpe ausgibt. Diesen Sender wiederum steuern die Forscher mit einer ebenfalls selbst entwickelten App.

Nach Belieben Insulin verabreichen oder die Abgabe blockieren - und dadurch ein Menschenleben gefährden - könnten sie damit nicht. Um bestimmte Insulinpumpen anzusprechen, müssten sie deren Seriennummer kennen. Aber immerhin kann die App einfach alle denkbaren Nummern durchprobieren. Zudem ist die Reichweite des Senders beschränkt. Selbst mit einem Verstärker läge sie wohl nur bei einigen Metern. Außerdem geben die Pumpen standardmäßig einen Piepton von sich, wenn sie aktiviert werden. Patienten, die den nicht ausgeschaltet haben, würden es also hören, wenn ihnen jemand mehrere Dosen verpasst.

Doch für eine Demonstration des Angriffskonzepts bei der FDA, der Lebensmittelüberwachungs- und Arzneimittelbehörde der USA, war das alles gut - oder böse - genug. Eine Woche nach der Vorführung und damit fast ein Jahr nach der Veröffentlichung der Schwachstelle kündigte Medtronic ein "freiwilliges Umtauschprogramm" an. Laut FDA ist dies das Ergebnis einer umfassenden Risikoanalyse der Behörde und des Herstellers - unter Berücksichtigung der Erkenntnisse mehrerer Forscher, darunter Rios und Butts.

Nach Angaben der Behörde sind "weltweit viele" Insulinpumpen im Einsatz, die mit der von Rios und Butts beschriebene Methode angreifbar wären. Laut Medtronic sind es in den USA rund 4000 Geräte. In "einigen Ländern" biete das Unternehmen nun an, das alte Modell gegen ein neues zu tauschen.

pbe

Mehr zum Thema


insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
PRAN1974 17.07.2019
1.
Halte es auch für weit hergeholt. Wenn sich der Erbschleicher dem Patienten sowieso auf wenige Meter nähern muss, kann er auch einfach auf die Fernbedienung drücken und sich die Mühen der Programmierung sparen. Trotzdem nicht schön, dass solche unsicheren Geräte verkauft werden und die Firma noch dazu uneinsichtig reagiert.
felisconcolor 17.07.2019
2. Es ist schon erstaunlich
Da entwerfen und bauen Firmen tatsächlich hervorragende Hardware und die mit gelieferte Software ist absolut grottig, umständlich zu bedienen, fehleranfällig oder entspricht absolut nicht dem Stand von Wissenschaft und Technik. Das fällt mir in der Umweltmesstechnik auf, zieht sich über Flitzerblitzer welche grundlegende Daten zur Verifizierung der Messung einfach nicht mit speichern und zieht sich auch durch die Medizintechnik oder Software für die Abläufe innerhalb eines Kfz. Das scheint mir tatsächlich ein grundlegendes Problem zu sein. Liegt es an der Schnittstelle Hardware- Softwareentwickler, sprich die linke Hand weiss nicht was die Rechte will oder ist die ordentliche Softwareentwicklung dem Rotstift der bugettierenden Abteilung zum Opfer gefallen? Nach dem Motto "oh es zeigt Daten an, das reicht doch".
großwolke 18.07.2019
3. Es ist der Wettbewerb
Zitat von felisconcolorDa entwerfen und bauen Firmen tatsächlich hervorragende Hardware und die mit gelieferte Software ist absolut grottig, umständlich zu bedienen, fehleranfällig oder entspricht absolut nicht dem Stand von Wissenschaft und Technik. Das fällt mir in der Umweltmesstechnik auf, zieht sich über Flitzerblitzer welche grundlegende Daten zur Verifizierung der Messung einfach nicht mit speichern und zieht sich auch durch die Medizintechnik oder Software für die Abläufe innerhalb eines Kfz. Das scheint mir tatsächlich ein grundlegendes Problem zu sein. Liegt es an der Schnittstelle Hardware- Softwareentwickler, sprich die linke Hand weiss nicht was die Rechte will oder ist die ordentliche Softwareentwicklung dem Rotstift der bugettierenden Abteilung zum Opfer gefallen? Nach dem Motto "oh es zeigt Daten an, das reicht doch".
Gute Software zu programmieren und zu validieren kostet Geld, es treibt die Entwicklungskosten und damit den Produktpreis nach oben. In Bereichen mit überschaubaren Stückzahlen merkt das der Endverbraucher recht deutlich. Wenn er dann im Laden steht oder im Netz herumguckt, sieht er vielleicht zwei Geräte, die rein äußerlich und von der Bedienung her beide einen ähnlich guten Eindruck machen. Gekauft wird dann das, was den "besseren" Preis hat. Irgendwann werden wir gute Systeme selbstschreibender Software haben, wo der "Designer" nur noch die Features vorgibt, und sich die Maschine im Hintergrund um "Kleinkram" wie die Sicherheit und Robustheit kümmert. Aber solange noch jede Technik-Klitsche ihre eigene Software-Abteilung betreiben muss, haben wir leider solche Zustände.
meyer@savvy.de 18.07.2019
4. Stückpreise von mehr als 3.700 EUR pro Gerät....
Hi, bei einem Stückpreis von 3.700 EUR pro Gerät, einer maximalen Garantie von 2 Jahren (dh. wenn man die Pumpe benutzt und diese wie durch ein Wunder an 2 Jahren und einigen Tagen einen Fehler aufweist - gern auch mal einen Softwarefehler) muss mann diese einfach nochmal kaufen) glaube ich, daß da genug Geld verdient wird, um gegen solche Szenarien gewappnet zu sein. Interessant ist auch, dass die Technik beider Pumpenserien seit mehreren Jahren auf dem Markt ist. Wir reden hier also nicht über Produkte, bei denen die Forschungsarbeit erst gemacht wurde und daher hohe Vorlaufkosten entstanden sind.
Peter Boots 18.07.2019
5. Geräte dieser Art sind bei 'Diabetik Hackers' sehr beliebt.
Hier in den USA sind diese "unsicheren" Pumpen bei 'Diabetic Hackers' sehr begehrt weil man sie selber re-programmieren kann. Da hat sich eine richtige Untergrundbewegung entwickelt. Diese Hacker sind mit den standard Programmen unzufrieden weil sie sehr inflexible sind. Man muss eine bestimmte Zeit vor dem Essen Insulin einspritzen -- aber wenn die Pumpe zuviel einspritzt muss man mehr essen als man will. Schokoladenriegel oder etwas Obst zwischendurch? Da ist die Pumpe oft überfordert. Außerdem wissen viele Diabetiker genau wie viel Insulin sie brauchen. Ein Hacker entwickelte ein Programm für sich selbst, und spielte es auf seine "unsichere" Medtronic auf, und verbesserte es über Monate. Andere Diabetiker wurden auf ihn aufmerksam, andere Programmierer halfen mit, und es gibt jetzt Tausende wenn nicht Zehntausende Diabetiker die über Facebook etc. Programme -- auch für Pumpen von anderen Herstellern -- erhalten, und wenn notwendig extra Hardware. Leider sind diese Pumpen schwerer und schwerer zu bekommen da die Hersteller die neueren Modelle zu sehr sichern. Diabetiker mit hacked Pumpen sind allgemein sehr zufrieden mit ihnen da sie ihnen ein Leben mit weniger Einschränkungen bieten -- und sie sind oft gesünder als zuvor. .
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.