Herzschrittmacher: Massenmord durch Hack?

Barnaby Jack, Sicherheitsexperte bei IOActive, hat im Rahmen der Sicherheitskonferenz Breakpoint einen Hack demonstriert, durch den Herzschrittmacher tödliche Elektroschocks mit 830 Volt verabreichen. Die kabellose Attacke funktioniert auf knapp zehn Meter Entfernung, doch kann sie Jack zufolge im schlimmsten Fall zum «Massenmord» genutzt werden, berichtet das SC Magazine. Die Demonstration giesst Öl ins Feuer der Ängste, wie gefährlich medizinische Implantate für ihre Träger sein können.

Gravierende Sicherheitsmängel

Herzschlag: Schrittmacher als Gefahr (Bild: pixelio.de/Gerd Altmann) Für den Hack hat der Experte einen Transmitter untersucht, welcher der drahtlosen Kommunikation mit Herzschrittmachern dient. Dabei ist Jack auf gravierende Sicherheitsmängel gestossen. Es gibt eine Funktion, mit der alle Herzschrittmacher sowie Cardioverter-Defibrillatoren in einem Umkreis von knapp zehn Metern aktiviert werden. Darauf übermitteln die Geräte Modell- und Seriennummer, die dem Sicherheitsspezialisten zufolge ausreichen, um sich dann bei den Implantaten zu authentifizieren.

So ist es gelungen, einen Herzschrittmacher so zu beeinflussen, dass er Elektroschocks verabreichte, die für einen realen Träger tödlich wären. Potenziell noch schlimmer ist, dass Jack beim «Reverse Engineering» des Transmitters auf Daten gestossen ist, die seiner Meinung nach Benutzernamen und Passwörter für Entwicklungsserver des - aus Sicherheitsgründen bewusst nicht veröffentlichten - Herstellers sind.

Damit wäre es nach Ansicht des IOActive-Forschers möglich, eine modifizierte Firmware für die Herzschrittmacher in Umlauf zu bringen, die sich dann schnell und auch von Implantat zu Implantat ausbreiten könnte - eben mit dem «Potenzial, Massenmord zu verüben». Mit seiner Demonstration und Warnung will der Experte Herstellern helfen, ihre Geräte sicherer zu machen und eben solche Horrorszenarien unmöglich zu machen.

Angriffe bleiben heisses Thema

Die aktuelle Demonstration ist mit Sicherheit Wind in den Segeln all jener, die aus Sicherheitsgründen mehr staatliche Kontrolle bei kabellos kommunizierenden Implantaten fordern. Eben aufgrund der potenziellen Risiken hat im April ein Beratergremium gefordert, dass die US-Regierung eine Behörde für entsprechende Kontrollen einrichtet.

Doch bestätigt die aktuelle Demonstration auch einen Punkt, auf den insbesondere Hersteller von Herzschrittmachern stets verweisen: Die Reichweite für potenzielle Angriffe ist relativ gering - der Hacker beziehungsweise ein infiziertes Gerät müsste sich für den gezeigten Angriff wohl im gleichen Raum mit einem Ziel befinden.

Text: Pressetext.com/Thomas Pichler