Eine Insulinpumpe des Herstellers Medtronic.

Foto: AP

Zahlreiche Menschen leiden an Diabetes, eine Stoffwechselerkrankung, bei der die Bauchspeicheldrüse kein oder zu wenig Insulin ausschüttet, um Glukose aus dem Blutkreislauf in Körperzellen zu transportieren und damit auch den Blutzuckerspiegel zu regulieren. Einige Betroffene verzichten darauf, sich selbst regelmäßig Insulinspritzen zu verabreichen, sondern verwenden eine per Katheter angeschlossene Insulinpumpe, die automatisch oder auf ein manuelles Kommando Insulin aus einem Reservoir abgibt.

Vor zwei Jahren fanden Sicherheitsforscher schwerwiegende Sicherheitslücken bei mehreren Modellen des Herstellers Medtronic, der auch in Österreich aktiv ist. Für Schlagzeilen sorgte ein Vortrag auf der Black Hat-Konferenz in Las Vegas im vergangenen Sommer, in dem man öffentlich auf die Probleme hinwies. Auch die Behörde für die Zulassung von Lebensmitteln und Medikamenten (FDA), das Innenministerium (DHS) und der Hersteller selbst sprachen Warnungen aus. Weil Medtronic und Behörden danach aber verabsäumten, eine Lösung voranzutreiben, griffen die Hacker zu einer drastischen Maßnahme. Sie entwickelten eine App, mit der man Träger der betroffenen Pumpen töten könnte, schreibt Wired.

Open-Source-Programm und Handy-App

Wer eine der von den Schwachstellen betroffenen Pumpen der Produktlinien "Minimed" und "Minimed Paradigm" trägt, kann mit einer einfachen Fernsteuerung regeln, wann die Pumpe Insulin ausschütten soll. Das Forscherteam, bestehend aus Billy Rios, Jonathan Butts, Jesse Young und Carl Schuett gelang es, das Steuersignal "nachzubauen". Es sei auch leicht gewesen, den Kontrollmechanismus, der sicherstellen soll, dass ein Kommando von der zugehörigen Fernbedienung kommt, auszuhebeln.

Um eine der Pumpen fernzusteuern reicht ein Open-Source-Programm zur Programmierung von Radiosignalen, mit dem man sich gegenüber dem elektronischen Hormonspender als Fernsteuerung ausgibt. Nach der Herstellung des erstmaligen Kontakts können sie eine selbst entwickelte Smartphone-App verwenden, um per Knopfdruck Kommandos zu schicken. Damit ließe sich die Ausschüttung von Insulin unterbinden oder auch tödliche Mengen des Stoffwechselhormons in den Kreislauf pumpen lassen. Wenngleich die Pumpe standardmäßig einen (vom Träger optional deaktivierbaren) Signalton bei der Ausschüttung abgibt, wäre dies schneller möglich, als Betroffene in den meisten Fällen reagieren könnten.

Mit ihrer Ausstattung hatte diese Lösung allerdings nur eine Signalreichweite von kaum mehr als einem Meter. Die Forscher merken jedoch an, dass mit einem Verstärker wohl auch mehrere Meter abdeckbar wären. Für Medtronic ist die Optik denkbar schlecht, wurden doch ähnliche Sicherheitslücken in der Vergangenheit auch schon in Herzschrittmachern der Firma entdeckt.

Austauschaktion erst nach langem Zögern

Monatelang sei man mit Behörden und dem Unternehmen in Kontakt gestanden, erklären die Forscher. Da eine Behebung der Sicherheitslücken nicht möglich war, war ein Austauschprogramm die einzige Lösung. Weil sich diese aber immer wieder verzögert habe, habe man die "Killer-App" schließlich entwickelt, um die Brisanz eindrücklich zu demonstrieren. Nachdem FDA und Medtronic lange die Risiken und Kosten abgewogen hatten, brachte man im Juni schließlich ein Programm an den Start, in dessen Rahmen Patienten die Geräte auf freiwilliger Basis austauschen lassen können.

Der Hersteller selbst hielt die Lecks offenbar lange nicht für bedenklich genug und gibt an, die Schwachstellen bereits seit Jahren zu kennen – noch bevor die Forscher sie entdeckt hatten. Bereits 2011 war man über mögliche Probleme informiert worden und habe sicherheitstechnisch nachgerüstet. Zudem gibt man an, dass die meisten Kunden bereits neuere Modelle der Pumpen verwenden, die diese Sicherheitsprobleme nicht mehr aufweisen. In den USA sollen noch 4.000 betroffene Geräte im Einsatz sein.

Seitens der FDA begrüßt man die Arbeit der Forscher. Man bietet sich auch weiter als Vermittler an, sollten Security-Experten kritische Sicherheitsprobleme an Hersteller melden, ohne dass diese zeitig reagieren. (red, 10.12.2019)