{"id":1523,"date":"2013-08-14T18:00:53","date_gmt":"2013-08-14T18:00:53","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=1523"},"modified":"2020-02-26T18:26:54","modified_gmt":"2020-02-26T16:26:54","slug":"menschen-hacken","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/menschen-hacken\/1523\/","title":{"rendered":"Menschen hacken"},"content":{"rendered":"

So, nun k\u00f6nnen Sie auch Insulinpumpen und Schrittmacher zur laufend wachsenden Liste der Computer-\u00e4hnlichen Ger\u00e4te hinzuf\u00fcgen, die Fehler enthalten und deshalb \u00fcber Sicherheitsl\u00fccken missbraucht werden k\u00f6nnen<\/a>. Ja, richtig gelesen, das kleine Metallding in Opas Brustkorb, das elektrische Impulse austeilt, um das alte Herz korrekt schlagen zu lassen, ist f\u00fcr Hacker anf\u00e4llig, die nur einen Laptop ben\u00f6tigen. Und auch Insulinpumpen, die t\u00e4gliche Injektionen mit Spritzen abgel\u00f6st haben, mit denen Diabetiker den Blutzuckerhaushalt regulieren k\u00f6nnen, sind nicht sicher.<\/p>\n

\"humans_title_DE\"<\/a><\/p>\n

Die schlechte Nachricht ist also, dass viele der millionenfach implantierten medizinischen Ger\u00e4te, auf die viele Millionen Menschen vertrauen, durch Hacker-Angriffe verwundbar sind. Die gute Nachricht ist, dass mir nicht bekannt ist, dass so ein Ger\u00e4t schon einmal angegriffen wurde. Tatsache ist, dass Cyberkriminelle \u2013 anders als die meisten Forscher \u2013 nicht zum Spa\u00df hacken, sondern, um Profit zu machen. So lange die Vergiftung eines Menschen mit Insulin oder ein elektrischer Schock \u00fcber den Herzschrittmacher also kein Geld einbringen, sehe ich keinen gro\u00dfen Anreiz f\u00fcr diese Art von Angriffen.<\/p>\n

Ich muss zu geben, es ist ziemlich spannend, sich einen Hacker-Killer vorzustellen, der Tr\u00e4gern medizinischer Ger\u00e4te auflauert \u2013 aber es ist auch ziemlich albern. Der Einstieg in solche Attacken ist durch die ben\u00f6tigten technischen F\u00e4higkeiten, Testumgebungen und das ben\u00f6tigte Fachwissen zu den anf\u00e4lligen Systemen so schwer, das fast niemand einen Schrittmacher oder eine Insulinpumpe missbrauchen k\u00f6nnte. Und selbst, wenn sie es k\u00f6nnten, warum sollten sie es tun? Um jemanden umzubringen? Wenn Sie denken, dass jemand Sie umbringen will, kann ich Ihnen versichern, dass Angriffe auf implantierte medizinische Ger\u00e4te zu Ihren geringsten Sorgen geh\u00f6ren sollten.<\/p>\n

\"Menschen<\/a><\/p>\n

\u00a0<\/p>\n

Nichtsdestotrotz sollte ein potenzielles Sicherheitsproblem auch angesprochen werden.\u00a0Leider starb Barnaby Jack, einer der Vorreiter bei der Erforschung implantierbarer medizinischer Ger\u00e4te, vor einem Monat \u2013 eine Woche, bevor er seine Forschungsergebnisse<\/a> auf der Black Hat Security Conference in Las Vegas<\/a> vorstellen sollte. Doch auch schon Ende 2012 ver\u00f6ffentlichte Jack, der f\u00fcr die Sicherheitsforscher der Firma IOActive arbeitete, einige Artikel zu diesem Thema. Sein Ergebnis war gelinde gesagt d\u00fcster.<\/a><\/p>\n

\"barnaby_jack\"<\/a><\/p>\n

Bei der Breakpoint-Konferenz in Australien im letzten Jahr, demonstrierte Jack, dass er von seinem Laptop ein Funksignal an einen Schrittmacher schicken und das Ger\u00e4t dazu bringen konnte, einen potenziell t\u00f6dlichen Schock im K\u00f6rper des Patienten auszul\u00f6sen. Der Angriff wurde durch einen Programmierfehler m\u00f6glich, durch den der Forscher ein spezielles Kommando an den Schrittmacher schicken konnte, der darauf mit seinem Modellnamen und der Seriennummer antwortete. Sobald dadurch der Typ des Ger\u00e4ts bekannt war, konnte er den Schrittmacher dazu bringen, einen 830 Volt starken elektrischen Schock auszul\u00f6sen \u2013 potenziell t\u00f6dlich f\u00fcr den Patienten, in den der Schrittmacher implantiert ist. Dar\u00fcber hinaus demonstrierte Jack auch, dass es m\u00f6glich ist, den Schrittmacher zu programmieren, um Schadprogramme an andere \u00e4hnliche Ger\u00e4te des gleichen Herstellers zu verteilen. Gl\u00fccklicherweise wird dieses Szenario zwar von Hollywood sicher gerne aufgegriffen, f\u00fcr echte Kriminelle oder Terroristen sind aber Bomben und Feuerwaffen weiterhin effektiver.<\/p>\n

Doch das war nicht Jacks erstes Rodeo. Der Forscher beeindruckte Sicherheitsexperten bereits ein Jahr vorher bei der Hacker-Halted-Konferenz in Miami, wo er erfolgreich eine Insulinpumpe aus 90 Metern Entfernung angriff, die dadurch eine t\u00f6dliche Dosis Insulin freisetzte.<\/p>\n

Jack modifizierte die Antenne einer dieser drahtlosen Pumpen und ver\u00e4nderte die Software, die sie steuerte. Bereits im Jahr 2001 zeigte Jerome Radcliffe auf der Black Hat, dass es m\u00f6glich ist, Insulinpumpen zu manipulieren, wenn ein Angreifer die einzigartige Ger\u00e4tenummer des entsprechenden Implantats herausfand. Jacks Forschung ging aber noch weiter. Er konnte alle anf\u00e4lligen Ger\u00e4te kompromittieren, ohne deren einzigartige Ger\u00e4tenummer zu kennen.<\/p>\n

Jack war nur ein Forscher von vielen, und Schrittmacher und Insulinpumpen sind nur die Spitze des Eisbergs. Dar\u00fcber hinaus gibt es eine unbeschreibliche Menge potenziell angreifbarer medizinischer Ger\u00e4te, sowohl implantierter als auch externer. Als w\u00fcrde es nicht schon genug hinterfragt werden, wird das Thema der Sicherheit medizinischer Ger\u00e4te in den n\u00e4chsten Monaten und Jahren noch viel Staub aufwirbeln \u2013 und wir werden auch immer berichten, wenn es neue interessante Forschungen dazu gibt.<\/p>\n

Eines der Probleme bei der Sicherheit medizinischer Ger\u00e4te ist, dass diese so komplett anders aufgebaut sind als Standard-Computer. Eine Insulinpumpe setzt Insulin frei und kommuniziert mit \u00c4rzten, um die Menge des freigesetzten Insulins zu bestimmen. Das gilt auch f\u00fcr Schrittmacher: Sie setzen einen elektrischen Impuls frei, so dass das Herz normal schl\u00e4gt, und kommunizieren mit etwas au\u00dferhalb des K\u00f6rpers, um festzulegen, wie gro\u00df dieser Impuls sein muss.<\/p>\n

\"pump\"<\/a><\/p>\n

Wenn diese Ger\u00e4te mit Quellen au\u00dferhalb des K\u00f6rpers kommunizieren k\u00f6nnen, dann tun sie dies drahtlos, was nat\u00fcrlich Sicherheitsprobleme aufwirft, wie Barnaby Jack und andere Forscher bereits gezeigt haben. Der n\u00e4chste Schritt, so scheint es, w\u00e4re, sicherzustellen, dass diese Ger\u00e4te \u00fcber verschl\u00fcsselte Kan\u00e4le miteinander kommunizieren, und vielleicht eine Art der Authentifizierung einzurichten, die den Zugriff auf die Ger\u00e4te beschr\u00e4nkt. Das k\u00f6nnte aber zu einer enormen Herausforderung werden, da die Natur dieser der Ger\u00e4te zahlreiche Einschr\u00e4nkungen bedingt. So k\u00f6nnten Passw\u00f6rter zum Beispiel \u00c4rzte in einem anderen Land davon abhalten, einem Patienten im Urlaub das Leben zu retten. Verschl\u00fcsselung k\u00f6nnte die Batterie eines implantierten Ger\u00e4ts zu schnell leeren. All das sind neue Herausforderungen, f\u00fcr die erst noch L\u00f6sungen gefunden werden m\u00fcssen.<\/p>\n

Wenn es eines gibt, dessen ich mir sicher bin, dann, dass \u00c4rzte und Sicherheitsforscher zu den kl\u00fcgsten Menschen der Welt geh\u00f6ren. Und nicht nur das \u2013 \u00c4rzte sind stolz darauf, Leben zu retten. Und Sicherheitsforscher sind manchmal etwas \u00fcbereifrig, wenn es um den Schutz von Daten und Systemen geht.<\/p>\n

Es gibt nicht viel, das Sie hier pers\u00f6nlich tun k\u00f6nnen, um sich zu sch\u00fctzen. Niemand entwickelt Sicherheitsprodukte f\u00fcr den Schutz dieser Ger\u00e4te<\/a> und ich bezweifle ernsthaft, dass es bald Sicherheitseinstellungen geben wird, die der Anwender selbst kontrollieren kann. Wenn Sie unter Diabetes leiden, k\u00f6nnen Sie auf die altmodische Blutzucker\u00fcberwachung mit manueller Insulin-Injektion zur\u00fcckgreifen. Und vielleicht haben Sie Gl\u00fcck, und m\u00fcssen niemals einen Schrittmacher, eine Insulinpumpe oder ein anderes implantierbares, medizinisches Ger\u00e4t nutzen. Doch vielleicht haben Sie bereits so ein Ger\u00e4t im K\u00f6rper: Dann k\u00f6nnen Sie mit den Herstellern und \u00c4rzten sprechen und hoffen, dass diese solche Forschungen, wie die hier vorgestellten, lesen, was sie vermutlich bereits tun.<\/p>\n

Es mag sorglos sein, solche vertraulichen Informationen auf diese Art zu ver\u00f6ffentlichen, doch sind die Forschungen von Barnaby Jack und anderen genau der Stein, der bei den Herstellern die Entwicklung besser gesch\u00fctzter Ger\u00e4te ins Rollen bringt. Es sind ja \u00c4rzte und Ingenieure \u2013 sie lernen schlie\u00dflich aus ihren Fehlern. Wenn ihnen ein Forscher einen Fehler in ihrem Produkt zeigt, wird der Fehler wahrscheinlich anschlie\u00dfend nicht mehr auftauchen.<\/p>\n

Entscheidend ist, dass implantierte medizinische Ger\u00e4te j\u00e4hrlich Millionen Leben retten und die Zahl der durch ein gehacktes medizinisches Ger\u00e4t Verstorbenen irgendwo bei Null liegt.<\/p>\n","protected":false},"excerpt":{"rendered":"

So, nun k\u00f6nnen Sie auch Insulinpumpen und Schrittmacher zur laufend wachsenden Liste der Computer-\u00e4hnlichen Ger\u00e4te hinzuf\u00fcgen, die Fehler enthalten und deshalb \u00fcber Sicherheitsl\u00fccken missbraucht werden k\u00f6nnen. Ja, richtig gelesen, das<\/p>\n","protected":false},"author":42,"featured_media":1528,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[627,626,625,1653],"class_list":{"0":"post-1523","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-barnaby-jack","9":"tag-insulinpumpe","10":"tag-schrittmacher","11":"tag-security"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/menschen-hacken\/1523\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/barnaby-jack\/","name":"Barnaby Jack"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1523","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=1523"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1523\/revisions"}],"predecessor-version":[{"id":22557,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1523\/revisions\/22557"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/1528"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=1523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=1523"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=1523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}