Sicherheitslücke bei Insulinpumpen Diese App kann Menschen töten

Forscher haben eine App entwickelt, die eine Schwachstelle in bestimmten Insulinpumpen ausnutzt. Sie wollten beweisen: Für Patienten kann das Sicherheitsproblem gefährlich werden.
Insulinpumpe von Medtronic: Es kann gefährlich werden, wenn Hacker auf solche Geräte Einfluss nehmen

Insulinpumpe von Medtronic: Es kann gefährlich werden, wenn Hacker auf solche Geräte Einfluss nehmen

Foto: Chris Lee/ ZUMA Press/ imago

Irgendwann werden Hacker einen Menschen töten, ohne ihn anzufassen - davor warnt Billy Rios seit Jahren. Nun hat der US-Sicherheitsforscher zusammen mit seinem Geschäftspartner Jonathan Butts gezeigt, wie genau das aussehen könnte.

Rios beschäftigt sich seit Jahren mit dem Hacken von Medizintechnik. Bereits 2015 hatte er entdeckt, dass sich mehrere Modelle der weltweit in Krankenhäusern verwendeten Hospira-Infusionspumpen von außen so umprogrammieren ließen, dass sie Patienten im Extremfall tödliche Medikamentendosen verabreichen könnten.

2018 warnten Rios und Butts auf der IT-Sicherheitskonferenz Black Hat in Las Vegas vor Schwachstellen in Herzschrittmachern der Firma Medtronic, und auch der Umgang der Firma mit Software-Updates bereitete ihnen Sorgen. Diese würden es einem Angreifer erlauben, die Schrittmacher mit Schadsoftware zu versehen - was zu potenziell lebensbedrohlichen Fehlfunktionen führen könnte.

Hersteller will kein Update bereitstellen

Darüber hinaus fanden Rios und Butts damals aber auch Sicherheitslücken in bestimmten Insulinpumpen für Diabetespatienten, ebenfalls vom Hersteller Medtronic. MiniMed and MiniMed Paradigm heißen die entsprechenden Produktlinien.

Das Heimatschutzministerium hatte daraufhin sogar eine Warnung veröffentlicht . Doch in der hieß es unter anderem: "Medtronic wird kein Produktupdate entwickeln, um die Schwachstellen zu beseitigen." Dem Unternehmen erschien das Angriffsszenario als zu weit hergeholt, das Risiko akzeptabel. Rios und Butts waren anderer Meinung, wie "Wired" berichtet .

Sie halten vor allem die Fernbedienungen der Insulinpumpen für gefährlich. Diese sehen aus wie moderne Autoschlüssel und erlauben es zum Beispiel Pflegern, die Insulinabgabe der Pumpen für ihre Patienten zu steuern. Die Kommunikation zwischen Fernbedienung und Pumpe findet allerdings unverschlüsselt statt und lässt sich vergleichsweise einfach auslesen, wie die Sicherheitsforscher herausfanden.

Es gelang ihnen, einen Sender zu programmieren, der auf der passenden Frequenz funkt und sich als legitime Fernbedienung der Insulinpumpe ausgibt. Diesen Sender wiederum steuern die Forscher mit einer ebenfalls selbst entwickelten App.

Nach Belieben Insulin verabreichen oder die Abgabe blockieren - und dadurch ein Menschenleben gefährden - könnten sie damit nicht. Um bestimmte Insulinpumpen anzusprechen, müssten sie deren Seriennummer kennen. Aber immerhin kann die App einfach alle denkbaren Nummern durchprobieren. Zudem ist die Reichweite des Senders beschränkt. Selbst mit einem Verstärker läge sie wohl nur bei einigen Metern. Außerdem geben die Pumpen standardmäßig einen Piepton von sich, wenn sie aktiviert werden. Patienten, die den nicht ausgeschaltet haben, würden es also hören, wenn ihnen jemand mehrere Dosen verpasst.

Doch für eine Demonstration des Angriffskonzepts bei der FDA, der Lebensmittelüberwachungs- und Arzneimittelbehörde der USA, war das alles gut - oder böse - genug. Eine Woche nach der Vorführung und damit fast ein Jahr nach der Veröffentlichung der Schwachstelle kündigte Medtronic ein "freiwilliges Umtauschprogramm" an. Laut FDA ist dies das Ergebnis einer umfassenden Risikoanalyse der Behörde und des Herstellers - unter Berücksichtigung der Erkenntnisse mehrerer Forscher, darunter Rios und Butts.

Nach Angaben der Behörde sind "weltweit viele" Insulinpumpen im Einsatz, die mit der von Rios und Butts beschriebene Methode angreifbar wären. Laut Medtronic sind es in den USA rund 4000 Geräte. In "einigen Ländern" biete das Unternehmen nun an, das alte Modell gegen ein neues zu tauschen.

pbe