Hacker können Herzschrittmacher manipulieren

10. August 2018, 12:47
  • security
  • cyberangriff
  • lücke
  • verschlüsselung
image

Wieder einmal gibt es eine Lücke bei Herzschrittmachern. Diesmal trifft es Geräte des nach eigenen Angaben weltweit grössten Medizintechnik-Unternehmen Medtronic.

Wieder einmal gibt es eine Lücke bei Herzschrittmachern. Diesmal trifft es Geräte des nach eigenen Angaben weltweit grössten Medizintechnik-Unternehmen Medtronic. Denn die Geräte nutzen keine Verschlüsselung beim Aufspielen von Firmware-Updates, was theoretisch zu Sicherheitsproblemen führen kann. Jedenfalls erlaube es Hackern einen Angriff mit möglicherweise tödlichen Folgen. Obwohl schon Anfang letzten Jahres auf die Lücke aufmerksam gemacht wurde, sei bisher wenig geschehen.
Das berichtet jedenfalls 'ArsTechnica' von der gestern zu Ende gegangenen Sicherheitskonferenz Black Hat in Las Vegas. Dort haben Sicherheitsforscher vorgeführt, wie das Hacking vor sich geht. Sie demonstrierten das anhand der von ihnen entwickelten Proof-of-Concept-Angriffe, indem sie mit dem CareLink 2090 Programmer von Medtronic ein Tool kompromittierten, mit dem Ärzte Herzschrittmacher nach der Implantation in Patienten steuern.
Das sei in sofern einfach gewesen, weil die Updates für den Programmer nicht über eine verschlüsselte HTTPS-Verbindung übertragen werden und die Firmware nicht digital signiert ist, heisst es in dem Bericht. So sei es den Forscher möglich gewesen, das Ausführen bösartiger Firmware zu erzwingen und so angegriffenen Herzschrittmacher zu lebensbedrohlichen Anpassungen zu veranlassen.
Für die meisten Ärzte sei der Hack nur schwer zu erkennen, sagten die Forscher. Einen ähnliche gelagerten Angriff führten die Security-Spezialisten übrigens auch noch bei einer remote steuerbaren Insulinpumpe von Medtronic durch. Auch sie liess sich kompromittieren.
Laut 'ArsTechnica' hat der Medizintechnik-Konzern inzwischen Empfehlungen zum Umgang mit den Angriffen auf die diversen Insulinpumpentypen genauso herausgegeben, dessen Sicherheitsprobleme damit abgeschwächt werden können. (vri)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023