Ernste Sicherheitslücken in Medizintechnik

Das US Government Accountability Office (US-Rechnungshof) warnte bereits im September vor Sicherheitslücken in computergestützten Medizingeräten. Jetzt haben die Experten von Bitdefender die Sicherheitsrisiken von medizinischen Geräten wie Defibrillatoren, Herzschrittmacher, Insulinpumpen und anderen Software-gesteuerten medizinischen Geräten genauer untersucht. Das Ergebnis ist eher beunruhigend. Immer mehr Cyber-Kriminelle versuchen Angriffe auf IT-Systeme oder Datenbanken in Krankenhäusern. Über Sicherheitslücken in veralteten Systemen schleusen Angreifer Spyware und Malware über die Netzwerkanschlüsse in ein. Die Folgen dieser Nachlässigkeit können verheerende Auswirkungen haben. Beispielsweise können Hacker IT-Systeme in Krankenhäusern lahmlegen, sodass auch lebenserhaltende Geräte nicht mehr funktionieren.

Laut dem Bitdefender Chief Security Researcher Alexandru Balan können Hacker theoretisch versuchen, in die Behandlung von Patienten einzugreifen. Sie können wichtige Informationen ausspionieren. Gerade Informationen über Prominente beziehungsweise Persönlichkeiten des öffentlichen Lebens könnten als Ausgangspunkt für gezielte Social-Engineering-Angriffe genutzt werden. Balan hält auch Angriffe aus finanziellen Interessen für möglich. Angreifer können auf die Datenbank eines Krankenhauses zugreifen, um Patienten mit Spam zu bombardieren, beispielsweise mit Werbung für passende Medizin oder gefälschte Heilmittel.

Auch der Sicherheitsexperte Jerome Radcliffe machte auf der Hacker-Konferenz Black Hat in Las Vegas auf die kritischen Sicherheitsdefizite bei medizinischen Geräten aufmerksam. Ihm ist es gelungen, eine mobile Insulinpumpe per Funk zu manipulieren, sodass sie eine viel zu hohe Dosis des Medikaments ausschüttete. Dies könnte zum Tod eines Opfers führen.

Doch das ist nicht die einzige potentielle Mordwaffe. Der Sicherheitsexperte Barnaby Jack von der Firma IOActive, führte auf der Sicherheitskonferenz Breakpoint in Australien vor, wie er auf zehn Meter Distanz per Funk einen Herzschrittmacher manipulieren konnte. Dabei verwendete er eine Wartungshardware, über die das Fachpersonal den Herzschrittmacher zugreift.