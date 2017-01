Der frühere US-Vizepräsident Dick Cheney war sich des Risikos bewusst. Wegen seiner Herzprob­leme trug er einen eingepflanzten Defibrillator. Bei ihm hatte der Hersteller aber extra eine Funktion deaktiviert: «Es schien mir eine schlechte Idee, wenn der Vizepräsident ein Gerät trägt, das jemand im Hotelzimmer nebenan hacken könnte», sagte sein Arzt später. Seine Befürchtung: Jemand könnte Cheney töten, indem er den Defibrillator aus der Ferne manipuliert. Das war 2007.

Zehn Jahre später warnt nun auch die US-Arzneibehörde (FDA) die Öffentlichkeit vor solchen Szenarien. Anlass dafür waren Hinweise auf Sicherheitslücken bei einem bestimmten Defibrillator der Firma St. Jude. Kritiker hatten schon im August davor gewarnt.

Merlin@home, wie das System heisst, soll dem Patienten Arztbesuche ersparen. Der eingebaute Defibrillator wird in Kombination mit einem Transmitter ausgeliefert, der zum Beispiel neben dem Bett steht. Während der Patient schläft, erfasst der Transmitter die Daten vom «Defi» und übermittelt diese dem Arzt. Zugleich finden in umgekehrter Richtung Uploads statt.

Zugriff via WLAN oder Bluetooth

Die Sicherheitslücken jedoch könnten es Unbefugten ermög­lichen, die Defibrillatoren aus der Ferne so umzuprogrammieren, dass sie nicht richtig funktionieren oder starke Stromstösse ab­geben, warnte die FDA am 9. Januar in ihrer Mitteilung. Der Hersteller St. Jude begann zeitgleich mit einem Sicherheitsupdate.

Es sind nicht nur solche Defibrillatoren, die Fachleuten zunehmend Sorge bereiten. Viele Hightech-Medizinprodukte wie Hörgeräte, Herzschrittmacher, Insulinpumpen oder eingepflanzte Hirnelektroden können heute per Funk gesteuert und bei Bedarf umprogrammiert werden – für die Patienten ein grosser Vorteil, entfallen so doch Eingriffe. Manche Geräte übermitteln via WLAN oder Bluetooth Daten vom Patienten und lassen sich aus der Ferne anpassen.

Genau diese Funktion könnten Verbrecher missbrauchen, warnt die FDA: «Da diese Medizinprodukte mehr und mehr verbunden werden mit dem Internet, mit Spitalnetzwerken, mit anderen Geräten oder mit Smartphones, steigt das Risiko, dass IT-Sicherheits­lücken ausgenützt werden.»

Plötzlich gibt die Insulinpumpe eine Überdosis ab

Bei E-Banking-Angriffen gehe es um ein paar Tausend Franken. «Aber bei den Medizinprodukten geht es ums Leben. Das sogenannte ­Medjacking stellt alles bisher Dagewesene in den Schatten», sagt Peter Fischer, Dozent für Informationssicherheit und Datenschutz an der Hochschule Luzern. Fischer organisiert im Juni eine Konferenz über die Informationssicherheit von Medizinalgeräten. Ein paar Beispiele, was alles möglich ist:

— 2008 hackten US-Forscher aus einer Entfernung von fünf Zentimetern ein Herzschrittmacher-Defibrillator-Kombigerät. Sie schalteten es aus oder brachten es dazu, Stromstösse abzugeben, die für einen Menschen hätten tödlich sein können. Das Team von Spezialisten benötigte dafür Material im Wert von umgerechnet 30 000 Franken.

— 2011 hackte Jay Radcliffe, ein diabeteskranker Sicherheitsex­perte, eine Insulinpumpe. Dazu benützte er öffentlich zugängliche Informationen über das Gerät und preiswertes Material. Die Pumpe gab daraufhin eine Überdosis Insulin ab. Kurz darauf doppelte der bekannte US-Hacker Barnaby Jack nach. Er wollte Sicherheitslücken aufspüren und brachte – aus 90 Meter Entfernung – eine Insulinpumpe dazu, ihren gesamten Vorrat an Insulin auszuschütten. Mit Hilfsmitteln scannte er die Umgebung auf mögliche Insulinpumpen in der Nähe. Sie «antworteten».

— 2012 wurde bekannt, dass am Beth Israel Deaconess Medical Center in Boston über 600 Medizingeräte mit alten Windows-Programmen liefen. Diese können aus verschiedenen Gründen nicht aktualisiert werden und sind anfällig für Viren. Laut einem FDA-Vertreter haben sehr viele US-Spitäler solche Probleme. Zu den betroffenen Geräten am Beth Israel gehörten solche, die intravenöse ­Medikamente vorbereiteten, aber auch teure MRI. Auf der Intensivstation etwa legte Schadsoftware die Geräte lahm, die bei Risikoschwangerschaften überwachen, wie es dem Baby geht.

— 2013 plante Barnaby Jack an einer Konferenz vorzuführen, wie er mit einer Antenne im Umkreis von 15 Metern Herzschrittmacher und Defibrillatoren hackt, sodass sie zum Beispiel abstellen oder Schocks bis zu 830 Volt abgeben. Jack brauchte laut eigenen Angaben sechs Monate, um die Methode zu entwickeln. Kurz vor der Konferenz starb er mit 35 Jahren – an einer unbeabsichtigten Überdosis verschiedener Drogen.

— 2015 zeigte ein es gut meinender Hacker, dass sich bestimmte, in Spitälern eingesetzte Infusionspumpen manipulieren liessen. Resultat: Die Patienten würden falsche Mengen an Medikamenten oder Infusionen erhalten. Erstmals in ihrer Geschichte forderte die FDA daraufhin aus Gründen der Cybersicherheit, diese Pumpen nicht mehr zu benützen und sie vom Spitalnetzwerk zu trennen. Angesichts von immer mehr in den Körper eingebauten Hightechprodukten werden auch die Sicherheitsprobleme zunehmen, sind sich Fachleute einig. «Zudem gibt es immer mehr vernetzte Geräte. Alle vernetzten Produkte lassen sich hacken — aber mit unterschiedlichem Aufwand», sagt Bernhard Bichsel, Abteilungsleiter Medizinprodukte bei Swissmedic.

Batterie entleert sich, Patient muss unters Messer

Das Beruhigende: Obschon die offizielle ­US-Cyber-Notfall-Behörde (ICS-Cert) bereits 2013 bei 300 Medizinprodukten von 40 Herstellern Sicherheitslücken entdeckte, ist bis jetzt kein einziger Fall bekannt geworden, bei dem ein Patient deswegen zu Schaden kam. Das unterstreichen sowohl Behörden als auch Hersteller. Gegenwärtig sei das Risiko sehr klein, dass der Träger eines implantierten ­Medizinalgeräts zum Cyberopfer werde, sagen die Fachleute.

Beunruhigend dagegen ist, was alles denkbar wäre. Das Ausspionieren von Patientendaten scheint noch der «harmloseste» Schaden. So könnte zum Beispiel die Funktion eines Geräts so verändert werden, dass es mehr Strom braucht. Die Folge: Die Batterie entleert sich, der Patient muss wieder unters Messer, um das Gerät auswechseln zu lassen. Oder der Herzschrittmacher funktioniert im entscheidenden Moment nicht. Am furchterregendsten aber ist wohl, was Laurie Pycroft, Wissenschaftler am John Radcliffe Hospital im britischen Oxford, in einem Fachartikel über das «Brainjacking» zusammengetragen hat.

Pycroft befasst sich mit der ­Sicherheit von Neurostimulationsgeräten, die zum Beispiel die Symp­tome bei Parkinson lindern. Je nachdem, gegen welche Erkrankung und an welcher Stelle im Gehirn ein Neurostimulator eingesetzt wird, könnte ein Hacker etwa dafür sorgen, dass Parkinson­patienten sich kaum noch bewegen können. Bis jetzt leben weltweit über 100 000 Parkinsonkranke mit einem Neurostimulator. Oder der Hacker könnte bewirken, dass Schmerzpatienten anstatt weniger Schmerzen noch mehr Schmerzen leiden oder dass Patienten von Panik erfasst werden.

Mögliche Erpressung von Spitälern

Was ihn am meisten sorge, so ­Pycroft, sei die Möglichkeit, mithilfe manipulierter Elektroden das Verhalten eines Menschen zu beeinflussen. Hirnareale, die für die Motivation und das Lernen zuständig sind, könnten so stimuliert werden, dass ein bestimmtes Verhalten verstärkt werde. «Das könnte das Maximum an Kontrolle über einen anderen Menschen sein, das derzeit möglich ist. Es wäre für einen Hacker schwierig, dies zu ­bewerkstelligen, aber es ist bei ­weitem nicht unmöglich.»

Doch wer sollte Interesse an solchen Bösartigkeiten haben? Das Motiv müsse nicht einmal rational sein, stellt Pycroft fest. 2008 zum Beispiel wurde ein Forum gehackt, in dem sich Menschen mit Epilepsie austauschen. Auf dem Bildschirm blitzte es plötzlich. Einige User bekamen davon epileptische Anfälle.

Der wahrscheinlichste Grund für Medjacking wäre jedoch Erpressung. «Denken Sie an die ­Cyberattacken auf Privatpersonen und KMU in der letzten Zeit. Und nun stellen Sie sich vor, ein Hacker droht einem Spital oder einem Hersteller damit, Patienten umzubringen. Ich bezweifle, dass solche Fälle publik würden. Die Betroffenen würden wohl eher versuchen, das zu vertuschen», sagt Fischer von der Hochschule Luzern. Dem stimmt auch Bernhard Bichsel von Swissmedic zu: «Es ist denkbar, dass es da eine Dunkelziffer gibt.»

Bichsel rät den Patienten, sich zu informieren, welches Gerät eingebaut wird, und die Vernetzung mit anderen Geräten nur zu aktivieren, wenn sie gebraucht werde. Als Patient würde er seinen Arzt fragen, was das eingebaute Gerät alles könne. «Und ich würde ihn ­bitten, es so zu konfigurieren, dass es keine Daten über WLAN sendet oder empfängt», empfiehlt auch Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung (Melani). Das aber ist bei manchen Medizinprodukten gar nicht mehr möglich. (SonntagsZeitung)