Forscher manipulieren Herzschrittmacher und Insulinpumpe

Schlagzeilen

Alle

Jens Spahn trauert: "Wir beten für Georg"

Edeka-Produkt bald bei Aldi und Penny

Nächster Trainer sagt dem FC Bayern ab

Giftschlangen ziehen in neue Regionen

Urlaubsort erleidet Verkehrskollaps

Hausangestellte erbt Millionenvermögen

"Können mich mal": Trainer hält Wutrede

Heinz Hoenigs Familie bittet um Spenden

Tuchel lobt Torwart Nübel vor Duell

Bus stürzt in Abgrund: 20 Tote

"Let's Dance"-Exit sorgt für Überraschung

Bittere Quoten-Klatsche für ARD-Show

Fesselndstes Strategiespiel des Jahres

Alle Schlagzeilen anzeigen

Hersteller streitet Gefahr ab
Forscher zeigen, wie Hacker Herzschrittmacher abschalten können

Von t-online, hd

13.08.2018Lesedauer: 2 Min.

Herzschrittmacher in der Röntgenaufnahme: Manipulationen sind möglich. (Quelle: imago-images-bilder)

News folgen

Herzschrittmacher werden mit einer Software gesteuert. Diese lässt sich von außen manipulieren. Das kann bis zum Ausfall des Gerätes und zum Tod des Trägers führen. Der Hersteller reagiert 18 Monate lang nicht auf die Alarmmeldung.

Betroffen von einer Software-Schwachstelle sind Herzschrittmacher der US-Firma Medtronic. Verwundbar sind die Geräte aus der Ferne, wenn sie Software-Updates beziehen.

Dazu wird eine VPN-Verbindung zum Software verteilenden Netzwerk des Herstellers aufgebaut, bei dem ein Nutzername und ein Passwort eingegeben werden muss. Doch diese sind leicht auslesbar, die Updates sind nicht digital signiert und werden unverschlüsselt per HTTP zum Gerät übertragen.

Das fanden die Sicherheitsforscher Billy Rios, Jesse Young und Jonathan Butts heraus, die die Schwachstelle in ihrem Vortrag bei der "Black Hat"-Sicherheitskonferenz in Las Vegas (US-Staat Nevada) vorstellten. Die Forscher konnten nach Belieben die Frequenz der Impulse des Schrittmachers verändern und ihn auch komplett anhalten.

18 Monate steht Sicherheitslücke offen

Die Forscher hatten die Firma schon vor 18 Monaten auf die Lücke aufmerksam gemacht. Doch die Schwachstelle wurde nicht geschlossen. Die Firma Medtronic ist der Meinung, dass die Lücke keinen Einfluss auf das Wohl der Patienten habe und es keine Notwendigkeit gebe, sie per Update zu schließen. "Das war die frustrierendste Erfahrung meiner Karriere", sagt Billy Rios in seinem Vortrag.

"Einen Angriff schließt der Hersteller aus, weil ein Angreifer sein Opfer dauerhaft über lange Zeit elektronisch überwachen müsste und dann in dem extrem kurzen Zeitfenster des aktivierten Fernzugriffs zuschlagen müsste", erklärte der IT-Sicherheitsexperte Jan Rähm im Deutschlandfunk.

Enthüllungsplattform "Medileaks": Hunderte Krankenhäuser von Aktivisten ausgespäht

Hackerangriffe nehmen zu: Telekom: Zwei Millionen Hinweise pro Monat

Besonderes Antriebskonzept: Rakete eines deutschen Start-ups hebt mit Kerzenwachs ab

Auf dem gleichen Weg lassen sich auch die Insulinpumpen des Herstellers manipulieren. Den Forschern gelang es, Befehle an eine Pumpe zu senden, die sich in der Nähe befand. Sie konnten damit die Dosis verändern und die Ausgabe komplett stoppen. Dazu mussten sie unter anderem die Seriennummer des Geräts herausfinden.

Verwendete Quellen