Digitale Vernetzung um jeden Preis? – Rund 12.500 Patienten in Deutschland von IT-Sicherheitslücken in Herzschrittmachern betroffen.

Fr, 22.09.2017
Jüngst warnte die amerikanische Lebens- und Arzneimittelbehörde FDA vor gravierenden IT-Sicherheitslücken bei Herzschrittmachern der Marke St. Jude Medical – rund 500.000 amerikanische und 12.500 deutsche Patienten sind unter anderem davon betroffen. Vom Austausch der Geräte raten jedoch sowohl FDA als auch Abbott (die St. Jude Medical 2016 übernommen haben) ab; ein ambulant durchführbares, nicht-invasives Firmware-Update, dass eine neue Software-Version mit Datenverschlüsselung, eine Optimierung des Betriebssystems und die Möglichkeit, Vernetzungsfunktionen zu deaktivieren, enthält, soll die Sicherheitslücke schließen.

Kern des Problems der über Funk erreichbaren Geräte ist eine unsichere technische Schnittstelle. Die Implantate sind über Funk auf zwei Wegen erreichbar. Eine der Funkschnittstellen funktioniert nur über eine Distanz von ca. 10 cm und wird im Krankenhaus zur Neuprogrammierung der Geräte genutzt. Die zweite Schnittstelle ist über mehrere Meter hinweg erreichbar. Sie dient der Kommunikation des Implantats mit der sogenannten Merlin@home Basisstation. Diese ist mit dem Internet verbunden; auf diese Weise kann sich der behandelnde Arzt jederzeit über den Gesundheitszustand seines Patienten informieren.

Diese zweite (über mehrere Meter) konnektierbare Schnittstelle stellt laut Experten eine massive Sicherheitslücke dar. Mögliche Manipulationen wie die Veränderung des Herzschrittmachertaktes, eine nicht notfallindizierte Auslösung des Defibrillators oder das rapide Entladen der Batterie infolge dieser Manipulationen hätten lebensbedrohliche Folgen für die Patienten.

Laut dem Bundesamt für Arzneimittel und Medizinprodukte (BfArM) seien bisher zwar keine Fälle bekannt, in denen es zu it-sicherheitsbedingten Manipulationen von Herzschrittmachern der Firma Abbott gekommen sei; dennoch macht dieser Vorfall nachdenklich und befeuert einmal mehr Diskussionen um die Sicherheit von Daten in Zeiten allgegenwärtiger Digitalisierung. Es wird immer klarer, dass gerade im Gesundheitswesen, wo der Umgang mit besonders sensiblen Daten zum Alltagsgeschäft gehört und ein Missbrauch für Patienten wie Anbieter digitaler Lösungen weitreichende Konsequenzen hat, Unternehmen eine umfassende, fundierte und sicherheitsfokussierte Digitalstrategie benötigen.

Weitere Informationen finden Sie unter:

https://www.aerzteblatt.de/nachrichten/78018/Schutz-vor-Hackerangriffen-Tausende-deutsche-Patienten-erhalten-Herzschrittmacher-Update

https://www.golem.de/news/hack-rueckrufaktion-fuer-500-000-unsichere-herzschrittmacher-1708-129786.html

https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm (Sicherheitshinweis der FDA)

https://www.heise.de/security/meldung/Sicherheitsloch-im-Herzschrittmacher-3593932.html
nach oben