Hacker können Herzschrittmacher manipulieren

Wieder einmal gibt es eine Lücke bei Herzschrittmachern. Diesmal trifft es Geräte des nach eigenen Angaben weltweit grössten Medizintechnik-Unternehmen Medtronic. Denn die Geräte nutzen keine Verschlüsselung beim Aufspielen von Firmware-Updates, was theoretisch zu Sicherheitsproblemen führen kann. Jedenfalls erlaube es Hackern einen Angriff mit möglicherweise tödlichen Folgen. Obwohl schon Anfang letzten Jahres auf die Lücke aufmerksam gemacht wurde, sei bisher wenig geschehen.
 
Das berichtet jedenfalls 'ArsTechnica' von der gestern zu Ende gegangenen Sicherheitskonferenz Black Hat in Las Vegas. Dort haben Sicherheitsforscher vorgeführt, wie das Hacking vor sich geht. Sie demonstrierten das anhand der von ihnen entwickelten Proof-of-Concept-Angriffe, indem sie mit dem CareLink 2090 Programmer von Medtronic ein Tool kompromittierten, mit dem Ärzte Herzschrittmacher nach der Implantation in Patienten steuern.
 
Das sei in sofern einfach gewesen, weil die Updates für den Programmer nicht über eine verschlüsselte HTTPS-Verbindung übertragen werden und die Firmware nicht digital signiert ist, heisst es in dem Bericht. So sei es den Forscher möglich gewesen, das Ausführen bösartiger Firmware zu erzwingen und so angegriffenen Herzschrittmacher zu lebensbedrohlichen Anpassungen zu veranlassen.
 
Für die meisten Ärzte sei der Hack nur schwer zu erkennen, sagten die Forscher. Einen ähnliche gelagerten Angriff führten die Security-Spezialisten übrigens auch noch bei einer remote steuerbaren Insulinpumpe von Medtronic durch. Auch sie liess sich kompromittieren.
 
Laut 'ArsTechnica' hat der Medizintechnik-Konzern inzwischen Empfehlungen zum Umgang mit den Angriffen auf die diversen Insulinpumpentypen genauso herausgegeben wie zum richtigen Umgang mit dem dem CareLink 2090 Programmer, dessen Sicherheitsprobleme damit abgeschwächt werden können. (vri)