Was Ärzte über Hackerangriffe auf Schrittmacher wissen müssen

Der frühere US-Vizepräsident Dick Cheney wusste schon vor zwölf Jahren, an welcher Stelle er angreifbar sein könnte. Als ihm ein Schrittmacher mit Defibrillator-Funktion implantiert wurde, ließ er dessen Kommunikationsmöglichkeiten per WLAN ausschalten, um nicht für Mordanschläge auf diesem Wege anfällig zu sein.

Nun gehört der US-Vizepräsident sicher zu den stärker gefährdeten Persönlichkeiten auf der Welt, doch die Tatsache, dass Hacker in die Online-Kommunikation zwischen Medizingeräten im Patienten und Arztpraxen eingreifen und dabei größere Schäden anrichten könnten, ist seitdem auch der Öffentlichkeit immer mehr bewusst geworden.

So warnte die US-Bundesregierung Ende März 2019 vor bestimmten medizinischen Implantaten von Medtronic: Unbefugte könnten die Signale der Implantate nicht nur mit Funksendern (im Wert von wenigen Euro, Anm. d. Autors) abhören, sondern auch aus nächster Nähe manipulieren. Ein solcher Angriff sei auch deshalb möglich, weil die betreffenden medizinischen Geräte unverschlüsselt kommunizierten und potenzielle Angreifer nur „geringe“ Fähigkeiten bräuchten.

Der elektronische Kammerjäger Sophos befürchtet, dass das „lebensgefährlich“ sein könnte. Auf einer Skala bis 10.0 wird die Schwachstelle mit 9.3 bewertet. 70.000 Geräte insgesamt sollen betroffen sein. Medtronic setzt sich bereits intensiv mit der Thematik auseinander.

Verschlüsselung ist implementiert

Im Gespräch mit der „Ärzte Zeitung“ geht der Hersteller auch auf das reale Bedrohungspotenzial ein: „Das Risiko, dass diese Schwachstellen in der Praxis ausgenutzt werden können, ist sehr gering.“ Zu aktuell verkauften Geräten schreibt das Unternehmen: „Die von BlueSync™-fähigen Herzschrittmachersystemen gesammelten Daten werden verschlüsselt und über die mobile MyCareLink Heart App an das CareLink-Netzwerk gesendet, wodurch Ärzte rechtzeitig über klinisch relevante Patientenereignisse informiert werden.“

Zum Schutz des Implantats, der Patientendaten und der Integrität der Datenübertragungen seien in den BlueSync™-fähigen Implantaten und in der MyCareLink Heart™ App dazu Sicherheitskontrollen wie Verschlüsselung und Zugriffsbeschränkungen integriert.

Die zumindest theoretische Gefahr, angegriffen zu werden, wächst derweil, jedenfalls in den USA. „The Journal of Healthcare Ethics & Administration (JHEA)“ berichtete im Dezember 2018, die US-Arzneimittelbehörde FDA würde Daten über „Millionen medizinischer Geräte einschließlich Herzschrittmacher“ sammeln, um „die Träger unsicherer Implantate zu schützen.“ Dazu sei ein System entwickelt worden, das die Gerätehersteller verpflichte, einen einmaligen Code anzubringen.

Öffentliche Daten zur Sicherheit?

Diese Informationen würden in einer öffentlich zugänglichen Datenbank gespeichert, die „Aufsichtsbehörden, Ärzten und Firmen“ helfen solle, Sicherheitsprobleme mit solchen Geräten zu beobachten. Ebenfalls öffentlich ist die „International Medical Devices Database (IMDD)“, die Informationen über 70.000 zurückgerufene oder unsichere Geräte aus elf Ländern enthalten soll.

Von einer solchen Panne sind Medienberichten zufolge 277.000 Patienten betroffen: Bei einer Servermigration sind dem Medizinproduktehersteller Zoll Daten „von einigen Patienten“ abhanden gekommen, wie das Unternehmen bestätigt. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hat – nach Auwertung der „Ärzte Zeitung“ – 2018 756 Meldungen zu dieser Datenbank beigesteuert.

Ein weiteres Problem: Sogar Smartphones sollen beispielsweise Herzschrittmacher aus dem Takt bringen können. Die Träger sollten – so die Empfehlung der FDA – daher darauf achten, dass Mobiltelefone einen Mindestabstand von 15 bis 20 Zentimeter zum Schrittmacher einhalten. Angreifer können sich aber auch noch eine „App“ aufs Telefon laden und dadurch eine hochfrequente Fernbedienung erhalten. Diese sollen im Freien auf eine Distanz von bis zu 100 Meter wirken können.

Damit lässt sich zusammenfassen: Medizingeräte könnten Datenlecks haben, die davon betroffenen Patienten scheinen – zumindest in den USA! – namentlich bekannt zu sein und könnten mit Mobiltelefonen angegriffen werden.

Angriff aus der Nähe ist vorstellbar

Fehlt nur noch das Wissen darüber, wo sich das Opfer aktuell aufhält. Aber auch das lässt sich durch Auswertung der Funksignale herausfinden: Je nach Chip sollen sich schlaue Telefone per GPS auf 30 Zentimeter genau lokalisieren lassen. Das Auffinden des Opfers wird zusätzlich durch sammelwütige „Apps“ von Google, Facebook und spezielle Ortungsdienste erleichtert.

Die „New York Times“ jedenfalls glaubt, für „Kopfgeldjäger“ sei es kein Problem, das Opfer mit seiner Telefonnummer und ein wenig Kleingeld aufzuspüren.

Da zumindest Gerüchte über ortsbezogene Angriffe im Internet kursieren, könnte es eine gute Idee sein, wenn die Träger medizinischer Implantate ihr Mobiltelefon wenigstens in der Öffentlichkeit abschalten, um so ihrer Ortung zu entgehen.

Die Zeit drängt: Anfang Mai 2019 veröffentlichten Wissenschaftler eine Schadsoftware, mit deren Hilfe eine Sicherheitslücke namens „Bluekeep“ ausgenutzt werden könnte. Ende Mai wurde davor gewarnt, dass damit auch medizinische Geräte in Gefahr seien. Jetzt muss nur noch Einer den Abzug betätigen.

Medizinische Geräte werden bekanntlich von den Herstellern eigenverantwortlich beziehungsweise unter Hinzuziehung einer Benannten Stelle (z.B. TÜV, DEKRA oder andere privatwirtschaftliche Institutionen) in den Verkehr gebracht.

Die Hersteller stehen nach Ansicht des BfArM „in der Pflicht, Risiken im Rahmen der Produktgestaltung und Risikoanalyse zu berücksichtigen sowie mögliche Risikoinformationen nach dem Inverkehrbringen zu erfassen, zu bewerten und gegebenenfalls korrektive Maßnahmen zu ergreifen“. Die einschlägigen rechtlichen Rahmenbedingungen seien Herstellern und Betreibern von Medizinprodukten bekannt und würden entsprechend umgesetzt.

Und was heißt das für Ärzte?

Doch wie können Haus- oder Fachärzte nun die „Integrität und Vertraulichkeit“ telemedizinischer Anwendungen gemäß Datenschutzgrundverordnung (DSGVO) nachweisen? Im Fall von Schrittmachern bedeutet „Integrität“ eine Garantie dafür, dass das Herz mit der verordneten Frequenz zum Schlagen angeregt wird.

Die Vertraulichkeit der Daten bedeutet, dass die vom Schrittmacher ausgehenden Signale nicht von Dritten belauscht werden. Der Arzt muss nach DSGVO nachweisen, dass eine etwaige Panne nicht auf sein Verschulden zurückzuführen ist.

Die Kassenärztliche Bundesvereinigung empfiehlt zur Information ein Online-Dokument mit dem Titel „EU-Datenschutz-Grundverordnung – KBV erarbeitet Praxisinformation“. Von Integrität und Vertraulichkeit ist darin allerdings keine Rede.

Die Relevanz der Probleme bei telemedizinischen Anwendungen mit Medizingeräten beginnt sich aber auch in Verbänden und Institutionen herumzusprechen. So hat der Anbieterverband ZVEI eine Initiative gestartet, um über Probleme mit der Datensicherheit aufzuklären. Und die ZTG Zentrum für Telematik und Telemedizin GmbH empfiehlt, „bei der datenschutzrechtlichen Absicherung einen ganzheitlichen Ansatz durch die Erstellung eines Datenschutzkonzeptes zu verfolgen“.

Dementsprechend unterstütze die ZTG „Akteure in NRW beispielsweise durch Beratungsangebote oder auch konzeptionelle Vorarbeiten“. Der Anbieterverband Bitkom empfiehlt: „Auch vorbeugende Maßnahmen sollten ergriffen werden, um z.B. bei physischen oder technischen Zwischenfällen Daten rasch wiederherstellen zu können.“

Noch immer sind viele Verbände mit ihren Empfehlungen unkonkret. So schreibt zum Beispiel der Berufsverband der Deutschen Dermatologen auf Anfrage: „Datensicherheit wird immer relativ bleiben.“ Bleibt zu hoffen, dass die nächste Stufe der Gesetzgebung hier klare Leitplanken setzt, damit Ärzte sich in ihrem Handeln nicht allein gelassen fühlen müssen. (Mitarbeit: ger)