Barnaby Jack

Menschen hacken

So, nun können Sie auch Insulinpumpen und Schrittmacher zur laufend wachsenden Liste der Computer-ähnlichen Geräte hinzufügen, die Fehler enthalten und deshalb über Sicherheitslücken missbraucht werden können. Ja, richtig gelesen, das

Brian Donohue
14 Aug 2013

So, nun können Sie auch Insulinpumpen und Schrittmacher zur laufend wachsenden Liste der Computer-ähnlichen Geräte hinzufügen, die Fehler enthalten und deshalb über Sicherheitslücken missbraucht werden können. Ja, richtig gelesen, das kleine Metallding in Opas Brustkorb, das elektrische Impulse austeilt, um das alte Herz korrekt schlagen zu lassen, ist für Hacker anfällig, die nur einen Laptop benötigen. Und auch Insulinpumpen, die tägliche Injektionen mit Spritzen abgelöst haben, mit denen Diabetiker den Blutzuckerhaushalt regulieren können, sind nicht sicher.

Die schlechte Nachricht ist also, dass viele der millionenfach implantierten medizinischen Geräte, auf die viele Millionen Menschen vertrauen, durch Hacker-Angriffe verwundbar sind. Die gute Nachricht ist, dass mir nicht bekannt ist, dass so ein Gerät schon einmal angegriffen wurde. Tatsache ist, dass Cyberkriminelle – anders als die meisten Forscher – nicht zum Spaß hacken, sondern, um Profit zu machen. So lange die Vergiftung eines Menschen mit Insulin oder ein elektrischer Schock über den Herzschrittmacher also kein Geld einbringen, sehe ich keinen großen Anreiz für diese Art von Angriffen.

Ich muss zu geben, es ist ziemlich spannend, sich einen Hacker-Killer vorzustellen, der Trägern medizinischer Geräte auflauert – aber es ist auch ziemlich albern. Der Einstieg in solche Attacken ist durch die benötigten technischen Fähigkeiten, Testumgebungen und das benötigte Fachwissen zu den anfälligen Systemen so schwer, das fast niemand einen Schrittmacher oder eine Insulinpumpe missbrauchen könnte. Und selbst, wenn sie es könnten, warum sollten sie es tun? Um jemanden umzubringen? Wenn Sie denken, dass jemand Sie umbringen will, kann ich Ihnen versichern, dass Angriffe auf implantierte medizinische Geräte zu Ihren geringsten Sorgen gehören sollten.

Nichtsdestotrotz sollte ein potenzielles Sicherheitsproblem auch angesprochen werden. Leider starb Barnaby Jack, einer der Vorreiter bei der Erforschung implantierbarer medizinischer Geräte, vor einem Monat – eine Woche, bevor er seine Forschungsergebnisse auf der Black Hat Security Conference in Las Vegas vorstellen sollte. Doch auch schon Ende 2012 veröffentlichte Jack, der für die Sicherheitsforscher der Firma IOActive arbeitete, einige Artikel zu diesem Thema. Sein Ergebnis war gelinde gesagt düster.

Bei der Breakpoint-Konferenz in Australien im letzten Jahr, demonstrierte Jack, dass er von seinem Laptop ein Funksignal an einen Schrittmacher schicken und das Gerät dazu bringen konnte, einen potenziell tödlichen Schock im Körper des Patienten auszulösen. Der Angriff wurde durch einen Programmierfehler möglich, durch den der Forscher ein spezielles Kommando an den Schrittmacher schicken konnte, der darauf mit seinem Modellnamen und der Seriennummer antwortete. Sobald dadurch der Typ des Geräts bekannt war, konnte er den Schrittmacher dazu bringen, einen 830 Volt starken elektrischen Schock auszulösen – potenziell tödlich für den Patienten, in den der Schrittmacher implantiert ist. Darüber hinaus demonstrierte Jack auch, dass es möglich ist, den Schrittmacher zu programmieren, um Schadprogramme an andere ähnliche Geräte des gleichen Herstellers zu verteilen. Glücklicherweise wird dieses Szenario zwar von Hollywood sicher gerne aufgegriffen, für echte Kriminelle oder Terroristen sind aber Bomben und Feuerwaffen weiterhin effektiver.

Doch das war nicht Jacks erstes Rodeo. Der Forscher beeindruckte Sicherheitsexperten bereits ein Jahr vorher bei der Hacker-Halted-Konferenz in Miami, wo er erfolgreich eine Insulinpumpe aus 90 Metern Entfernung angriff, die dadurch eine tödliche Dosis Insulin freisetzte.

Jack modifizierte die Antenne einer dieser drahtlosen Pumpen und veränderte die Software, die sie steuerte. Bereits im Jahr 2001 zeigte Jerome Radcliffe auf der Black Hat, dass es möglich ist, Insulinpumpen zu manipulieren, wenn ein Angreifer die einzigartige Gerätenummer des entsprechenden Implantats herausfand. Jacks Forschung ging aber noch weiter. Er konnte alle anfälligen Geräte kompromittieren, ohne deren einzigartige Gerätenummer zu kennen.

Jack war nur ein Forscher von vielen, und Schrittmacher und Insulinpumpen sind nur die Spitze des Eisbergs. Darüber hinaus gibt es eine unbeschreibliche Menge potenziell angreifbarer medizinischer Geräte, sowohl implantierter als auch externer. Als würde es nicht schon genug hinterfragt werden, wird das Thema der Sicherheit medizinischer Geräte in den nächsten Monaten und Jahren noch viel Staub aufwirbeln – und wir werden auch immer berichten, wenn es neue interessante Forschungen dazu gibt.

Eines der Probleme bei der Sicherheit medizinischer Geräte ist, dass diese so komplett anders aufgebaut sind als Standard-Computer. Eine Insulinpumpe setzt Insulin frei und kommuniziert mit Ärzten, um die Menge des freigesetzten Insulins zu bestimmen. Das gilt auch für Schrittmacher: Sie setzen einen elektrischen Impuls frei, so dass das Herz normal schlägt, und kommunizieren mit etwas außerhalb des Körpers, um festzulegen, wie groß dieser Impuls sein muss.

Wenn diese Geräte mit Quellen außerhalb des Körpers kommunizieren können, dann tun sie dies drahtlos, was natürlich Sicherheitsprobleme aufwirft, wie Barnaby Jack und andere Forscher bereits gezeigt haben. Der nächste Schritt, so scheint es, wäre, sicherzustellen, dass diese Geräte über verschlüsselte Kanäle miteinander kommunizieren, und vielleicht eine Art der Authentifizierung einzurichten, die den Zugriff auf die Geräte beschränkt. Das könnte aber zu einer enormen Herausforderung werden, da die Natur dieser der Geräte zahlreiche Einschränkungen bedingt. So könnten Passwörter zum Beispiel Ärzte in einem anderen Land davon abhalten, einem Patienten im Urlaub das Leben zu retten. Verschlüsselung könnte die Batterie eines implantierten Geräts zu schnell leeren. All das sind neue Herausforderungen, für die erst noch Lösungen gefunden werden müssen.

Wenn es eines gibt, dessen ich mir sicher bin, dann, dass Ärzte und Sicherheitsforscher zu den klügsten Menschen der Welt gehören. Und nicht nur das – Ärzte sind stolz darauf, Leben zu retten. Und Sicherheitsforscher sind manchmal etwas übereifrig, wenn es um den Schutz von Daten und Systemen geht.

Es gibt nicht viel, das Sie hier persönlich tun können, um sich zu schützen. Niemand entwickelt Sicherheitsprodukte für den Schutz dieser Geräte und ich bezweifle ernsthaft, dass es bald Sicherheitseinstellungen geben wird, die der Anwender selbst kontrollieren kann. Wenn Sie unter Diabetes leiden, können Sie auf die altmodische Blutzuckerüberwachung mit manueller Insulin-Injektion zurückgreifen. Und vielleicht haben Sie Glück, und müssen niemals einen Schrittmacher, eine Insulinpumpe oder ein anderes implantierbares, medizinisches Gerät nutzen. Doch vielleicht haben Sie bereits so ein Gerät im Körper: Dann können Sie mit den Herstellern und Ärzten sprechen und hoffen, dass diese solche Forschungen, wie die hier vorgestellten, lesen, was sie vermutlich bereits tun.

Es mag sorglos sein, solche vertraulichen Informationen auf diese Art zu veröffentlichen, doch sind die Forschungen von Barnaby Jack und anderen genau der Stein, der bei den Herstellern die Entwicklung besser geschützter Geräte ins Rollen bringt. Es sind ja Ärzte und Ingenieure – sie lernen schließlich aus ihren Fehlern. Wenn ihnen ein Forscher einen Fehler in ihrem Produkt zeigt, wird der Fehler wahrscheinlich anschließend nicht mehr auftauchen.

Entscheidend ist, dass implantierte medizinische Geräte jährlich Millionen Leben retten und die Zahl der durch ein gehacktes medizinisches Gerät Verstorbenen irgendwo bei Null liegt.

Tipp der Woche: Wie Sie die Schutzeinstellungen auf einen anderen Computer übertragen können

Sie haben auf Ihrem Computer die Funktionen von Kaspersky PURE Total Security optimal eingestellt (vielleicht sogar mit unseren Tipps). Doch nun kaufen Sie einen neuen Computer und installieren die Schutzlösung

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Menschen hacken

Echtzeit-Hacking bei Apex Legends: Skandal in einem E-Sports-Turnier

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Tipp der Woche: Wie Sie die Schutzeinstellungen auf einen anderen Computer übertragen können

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie