Zwei voneinander unabhängig durchgeführte Studien warnen vor schweren Sicherheitslücken in medizinischen Geräten, allen voran funkgesteuerte Herzschrittmachern. „Jeder, der in der Lage ist, einen Herzschrittmacher zu programmieren, kann dies mit allen Modellen eines Herstellers machen“, kritisieren die Sicherheitsforscher von WhiteScope. Einen Sicherheitsmechanismus, der unerwünschte Manipulationen verhindert, beispielsweise ein vom Patienten definiertes Log-In, gibt es nicht. Zudem werden viele heikle Daten unverschlüsselt übertragen.
Insgesamt machte man mehr als 8.000 Schwachstellen ausfindig, die sich oft mit wenig Aufwand ausnützen lassen. Die Geräte, die von den Sicherheitsforschern untersucht wurden, stammen von den vier wichtigsten Hersteller von Herzschrittmachern, aber auch andere Unternehmen dürften ähnliche Probleme haben.
Keine Reaktion der Hersteller
Darauf weist auch eine weitere aktuelle Studie hin. Demnach gaben 80 Prozent der befragten Hersteller, Krankenhäuser und Gesundheitsorganisationen an, dass es schwierig sei, medizinisches Equipment abzusichern. Obwohl diesen das Problem bewusst ist, testen lediglich neun Prozent der Hersteller sowie fünf Prozent der befragten Gesundheitsorganisationen regelmäßig ihre medizinischen Geräte auf Sicherheit.
Rund die Hälfte (49 Prozent) der Hersteller geben zudem zu, dass sie die Empfehlungen der US-Regulierungsbehörde FDA (Food and Drug Administration) zur Absicherung von medizinischen Geräten ignorieren würden.
Mangelnde Absicherung von Funkverbindungen
Sicherheitsforscher warnen immer wieder vor schweren Sicherheitslücken, die mittlerweile sogar von Hollywood aufgegriffen wurden. Doch der Auftragsmord, bei dem der Herzschrittmacher aus der Ferne ausgeschaltet wird, ist alles andere als Science Fiction. Derartige Funkverbindungen sind notwendig, damit Ärzte im Bedarfsfall die Parameter eines Herzschrittmachers anpassen können. Die Absicherung dieser Verbindungen ist allerdings mehr als mangelhaft, wie bereits des öfteren aufgedeckt wurde.