Marie Moe hat einen Herzschrittmacher und eine schlechte Nachricht. Die Geräte können nicht nur theoretisch aus der Ferne manipuliert werden, im Umgang mit ihnen wird offenbar oft auch der Datenschutz der Patienten vernachlässigt. Auf dem Hackerkongress 32C3 in Hamburg sprach sie gemeinsam mit dem Sicherheitsexperten Éireann Leverett über das Sicherheitsrisiko in der Brust.

Experten warnen seit Jahren

Die Bedienungsanleitung für ihren Herzschrittmacher konnte Moe durch eine Google-Suche finden, berichtet der Spiegel. Es gibt Drahtlos-Funktionen, über die das Gerät aus der Ferne gesteuert werden kann. Bei Moe ist das deaktiviert, weil es aus medizinischen Gründen für sie nicht notwendig ist. Auf dem 32C3 haben Moe und Leverett am Montagabend über ihre Forschungsergebnisse berichtet, ohne zu weit ins Detail zu gehen um potenziell gefährliche Informationen auszuplaudern.

Experten warnen schon länger davor, dass auch medizinische Geräte Sicherheitslücken aufweisen, über sie durch Hacker manipuliert werden könnten. 2011 hatte der Computerexperte Jay Radcliffe demonstriert wie man bei Insulinpumpen per Funk die Dosis verändern kann. Der 2013 verstorbene Sicherheitsforscher Barnaby Jack hatte ebenfalls Schwachstellen in medizinischen Geräten entdeckt. Über ihn kam auch Moe zu dem Thema. Im gleichen Jahren hatten die US-Gesundheitsbehörde FDA und das Heimatschutzministerium davor gewarnt, dass die Computernetze von Krankenhäusern oft mit Viren infiziert seien. 2015 ließ ein Krankenhaus in Deutschland einen Test durchführen, bei dem ein Narkosegerät gehackt und die Beatmungsfunktion gestoppt werden konnte.

Patientendaten auf gekauften Herzschrittmachern

Für ihre Untersuchungen haben Moe und Leverett mehrere Herzschrittmacher und die dazugehörenden Geräte auf eBay gekauft. Dabei stießen sie auf mehrere Probleme. So waren auf einigen Geräten noch Patientendaten gespeichert. Da Moes eigener Herzschrittmacher mit einer proprietären Software funktioniert, kann der Code zudem nicht von anderen Entwicklern und Sicherheitsforschern auf Sicherheitslecks hin geprüft werden. Ein Update der Software ist nicht so einfach möglich.

"Ich habe weniger Angst davor, gehackt zu werden, als vor Fehlern in der Software", so die 37-Jährige. Leverett kritisiert das mangelnde Verantwortungsbewusstsein mancher Entwickler: "Viele Informatikstudenten wollen später mal bei Google oder Facebook arbeiten und kämen gar nicht darauf, dass der von ihnen geschriebene Code vielleicht irgendwann in einem Herzschrittmacher landet." Zudem bemängeln die beiden zu niedrige Sicherheitsstandards in Krankenhäusern. Ein Hackerangriff auf einen Herzschrittmacher sei für viele Ärzte kein ernstzunehmendes Bedrohungsszenario. Mit ihrem Vortrag in Hamburg wollten sie mehr Bewusstsein dafür schaffen. (br, 29.12.2015)