Ärzte Zeitung online, 12.04.2018

Medizinprodukte

Wie real ist die Gefahr von Hacker-Angriffen auf Herzschrittmacher?

Können Hacker die Kontrolle über Herzschrittmacher gewinnen und so Patienten Schaden zufügen? Theoretisch wäre das möglich, sagen Experten. Sie empfehlen, mögliche Schwachstellen in der Software von Medizingeräten regelmäßig abzuklären.

Von Veronika Schlimpert

Hacker-Angriffe  auf Herzschrittmacher: Ist die Gefahr real?

Implantierter Schrittmacher: Über eine gehackte Fernsteuerung ließe sich zum Beispiel die Frequenz verändern.

© psdesign1 / stock.adobe.com

Der ehemalige US-Vizepräsident Dick Cheney hatte Angst vor möglichen Hacker-Angriffen auf seinen Herzschrittmacher. Er ließ daher die Fernsteuerungsfunktion des Geräts vorsorglich abschalten. Sind solche Sorgen berechtigt? Wäre ein Mord durch Deaktivierung eines Schrittmachers oder durch einen ausgelösten Schock eines implantierten Defibrillators (ICD) möglich?

"Theoretisch ja", sagt ein von der "American College of Cardiology" (ACC) einberufener Expertenrat. Das Gremium stuft die reale Bedrohung für Patienten aber aktuell als ziemlich gering ein. Es sei unwahrscheinlich, dass eine einzelne Person sich erfolgreich in ein solches Gerät einhackt und dem Patienten damit Schaden zufügt, stellen die Autoren um Professor Adrian Baranchuk von der Queen's University in Kingston in der kanadischen Provinz Ontario in einem Report klar. "Bis jetzt hat es noch keinen Fallbericht eines böswilligen oder versehentlichen Hacker- oder Malware-Angriffs auf ein implantierbares elektronisches kardiales Gerät gegeben", betont Baranchuk (Journal of the American College of Cardiology 71: 1284).

Medien-Berichte über Sicherheitslücken

Allerdings hatte 2016 in den USA ein Bericht für Aufregung gesorgt. Darin wurde über mögliche Sicherheitslücken in einem von St. Jude Medical (mittlerweile Abbott) vertriebenen Schrittmacher mit dem Remote-Monitoring-System Merlin@home berichtet. So lasse sich zum Beispiel durch Zugriffe von Außen die Schrittmacherfrequenz manipulieren oder ein rapides Entladen der Batterie herbeiführen. Die Umstände waren allerdings dubios: Angeblich festgestellt hatten die Schwachstellen Security-Forscher des Unternehmens MedSec. Dieses wandte sich dann aber nicht an den Hersteller, sondern an den Hedgefonds Muddy Waters Research, der den Bericht lancierte, berichtet Dr. Benjamin Ransford vom Unternehmen Virta Laboratories in Ann Arbor (US-Staat Michigan) (Pacing Clin Electrophysiol. 2017; 40: 913).

Der Computerspezialist konnte anschließend die angeblichen Risiken in einer eigens durchgeführten Untersuchung nicht bestätigen. Dem Hedgefonds wurde deshalb vorgeworfen, mit der Warnung einen Kursverfall der Aktien des Herstellers provozieren zu wollte, um daraus Profit zu schlagen. St. Jude hatte daraufhin Klage eingereicht.

Theoretisch möglich…

Fast jede Software hat Sicherheitsschwächen, also auch solche von Medizingeräten, schreibt allerdings Ransford in seinem Bericht. Baranchuk und Kollegen betonen: Über Wireless-Verbindungen von Schrittmachern und ICD könnten Hacker auf die Systeme zugreifen und dadurch etwa ein "Oversensing" (Wahrnehmung von Störimpulsen) in den Geräten provozieren. Lebensbedrohliche Schocks könnten so ausgelöst werden. Wenn aber eine Reprogrammierung vorgenommen werde, könne es sein, dass ein Gerät auf lebensbedrohliche ventrikuläre Tachykardien nicht mehr reagiere.

Solche Hacker-Angriffe auf Medizingeräte sind möglich. Bei Insulinpumpen mit Fernbedienung sind sie beispielsweise schon demonstriert worden, berichtete bereits 2016 die "Frankfurter Allgemeine Zeitung".

…aber unwahrscheinlich

Das Expertengremium hält es daher für angebracht, im Zuge einer Marktüberwachung intensiv nach potenziellen Schwachstellen bei der Sicherheit von Medizingeräten zu fahnden. Sind theoretische oder evidente Sicherheitslücken bekannt, könne es sinnvoll sein, ein Firmware-Update vorzunehmen. Mit der Bereitstellung eines solchen Updates hatte auch das Unternehmen St. Jude auf die geäußerten Sicherheitsbedenken bei ihrem Merlin-System reagiert.

Ärzte sollten über die potenzielle Bedrohung der Cyberkriminalität informiert sein, wenn sie Patienten mit Geräten betreuen, die über eine Fernsteuerung kontrolliert werden. Von der Nutzung solcher Funktionen abzuraten sehen die Experten aber kritisch, da die Fernüberwachung für Patienten eindeutige Vorteile bringe. Sie sehen momentan auch keine Veranlassung, entsprechende Geräte auszutauschen oder verstärkt zu überwachen. (Mitarbeit: eis)

Mehr Informationen zur Kardiologie unter

www.kardiologie.org

Weitere Beiträge aus diesem Themenbereich
[12.04.2018, 09:45:04]
Dr. Thomas Georg Schätzler 
ICD- und HSM-„Hacking“ – Der perfekte Mord?
Aus Anlass der nicht nur medizintechnisch erneut geführten Debatte, ob Hacker und EDV-Nerds tatsächlich die Kontrolle über Herzschrittmacher gewinnen und so Patienten Schaden zufügen können, hier ein literarischer Hinweis auf das Buch "Kammerflimmern", das im Münchener Piper-Verlag bereits im Jahr 2011 auf Deutsch erschienen ist.

Mit dem ‚Umprogrammieren‘ oder telemetrischen ‚Fernprogrammieren‘ von Herzschrittmachern (pacemaker-HSM) und implantierbaren Defibrillatoren wie den ICDs (implantable cardioverter defibrillator) könne man d e n „perfekten Mord“ begehen, ist im Wesentlichen in dem Buch „Kammerflimmern“ von Anne und Even Holt dargestellt. Anne Holt, Jahrgang 1958, norwegisch-US-amerikanische Thriller-Autorin, und ihr jüngerer Bruder Even, Herzspezialist und Chefarzt der Kardiologie in einer Osloer Klinik, schrieben mit „Kammerflimmern“ 2010 ihr erstes gemeinsames Buch: Der Kriminalroman unter dem Titel „Flimmer“, erschien im ‚Piratvorlaget AS‘ in Oslo und in Deutsch übersetzt im Piper-Verlag München.

Mit dynamischem Erzählstil im Strudel von Herzrhythmusstörungen, Herzschrittmachern (HSM), ICD, „Deimos-Herzstartern“, dem international operierenden Medizintechnik-Konzern „Mercury Medical“ und hierarchisch-bürokratischem Krankenhausbetrieb werden männlich-weibliches Konkurrenzdenken in Forschung und Klinik, Solidarität, Integrität, Kollegialität und Verrat, internationale Verflechtungen des medizinisch-technischen Industriekomplexes, Abgründe der Psychopathologie, Aktienspekulationen und –Manipulationen, globalisierte Marken- und Imagekampagnen, Cyber-Kriminalität, Datenklau und –Manipulationen kolportiert und ausgelotet.

Der Showdown im Four Seasons Ballroom im Colorado Convention Center in Denver, wo der Oberbösewicht Otto Schultz, natürlich Deutscher Abstammung und Hauptanteilseigner von „Mercury Medical“, auf einem abgespeckten „Heart Rhythm 2010“-Kongress vor den Augen der „Boston Scientific“-Konkurrenz von FBI-Agenten verhaftet wird, erinnert in vielen Sequenzen an ‚Dr. Richard Kimble auf der Flucht‘ von 1993 (‚The Fugitive‘), bei dem die spektakuläre Endabrechnung um manipulierte Forschungsdaten auf einem großen Kardiologenkongress im Chicago Hilton Hotel mit Verfolgung, Mord, Totschlag und dem strahlenden Überleben des Titelhelden endete.

Bei Kammerflimmern ist die Titelheldin Frau Prof. Dr. med. Sara Zuckerman, engagierte und eher übermotivierte Herzspezialistin, frischgebackene Leitende Oberärztin und Rhythmologie-Expertin am Universitätskrankenhaus Grini (GRUS) in Baerum bei Oslo. Frisch aus den USA kommend, hat sie sich gegen die einheimische, eher männlich geprägte Konkurrenz durchgesetzt. Sie patzt allerdings grandios bei einer Schrittmacherimplantation ausgerechnet bei ihrem wissenschaftlichen Ziehvater, „Prof. em. Dr. med. Erik Berntsen … Nestor der nordischen Elektrophysiologie“.

Frau Dr. Z. gehört als Ausnahmeerscheinung in der klinischen Kardiologie zu den sprechend kommunizierenden Ärztinnen und Ärzten: „Ursache der Einweisung ist eine Ventrikeltachykardie und Synkope vor 2 Wochen. Die Implantation eines ICD vom Typus Mercury Deimos wird planmäßig ungefähr eine Stunde dauern“. Natürlich darf bei diesem Eingriff eine ständig in Ohnmacht fallende PJ-lerin nicht fehlen. Natürlich muss die zu punktierende Vena subclavia dreimal verfehlt werden. Natürlich muss die Arteria subclavia einmal fehlpunktiert werden. Natürlich muss die ICD-Elektrode beim zweiten Ansatz das Myokard perforieren und eine beginnende Perikard-Tamponade auslösen.

Und, dreimal dürfen Sie, verehrte Leserinnen und Leser der Ärzte-Zeitung, raten, natürlich kann nur eine ‚beherzte‘ Herzbeutelpunktion den prominenten Patienten retten.

Aber die Rettung ist nicht von Dauer. Prof. Berentzen ist nach 24-stündiger Telemetrie- Überwachung planmäßig dekonnektiert worden und verschwindet spurlos aus dem Krankenhaus. Einen Tag später wird er tot im Wald aufgefunden. Die Obduktion bringt letztlich keine Klärung, bis auf den ICD, der auf wundersame Weise den Weg von der Pathologie in die Kitteltasche von Frau Dr. Z. findet.

Vom Kardiotechniker analysiert, offenbart der ICD mit seinen erfolgreich ausgelesenen Daten eine teuflische Spur der Zerstörung: „Das Feld für Namen und Personenkennnummer des Patienten. Dort hätte stehen müssen: Berntsen Erik 03054046073. Stattdessen war jedes einzelne der elf länglichen Karos gefüllt mit zwei kurzen Wörtern, mit großen Buchstaben und fetter Schrift. FUCK YOU, stand dort. FUCK YOU FUCK YOU, elfmal hintereinander.“ Der Tod von Prof. Berentzen war sozusagen ‚vorprogrammiert‘ worden!

Als dann eine weitere Patientin mit einem manipulierten Mercury Deimos ICD stirbt, ein anderer Patient mit einer unsterilen Notfall-ICD-Explantation auf dem platten Land gerade noch gerettet werden kann, später aber an einer fulminanten Endokarditis verstirbt, ist klar: Hinter diesen Manipulationen steckt ein rachsüchtiger, psychotischer EDV-Nerd von „Mercury Medical“, der als ebenso hochbegabter wie autistischer ehemaliger Systemanalytiker damit seine schnöde Entlassung rächen will.

Dies nutzt der hochverschuldete Oberschurke Otto Schulz, der als „Mercury Medical“ Magnat auf fallende Aktienoptionen („puts“) setzt, mit krimineller Energie aus, indem er über vorprogrammierte ICD-Leichen geht.

Wenn Sie sich jetzt als Leser/-innen der Ärzte-Zeitung fragen, muss ich dieses Buch selbst auch noch lesen, gibt es zwei Möglichkeiten:

· Sie sparen sich die gut 400 Seiten, die ich hier nach bestem Wissen und Gewissen kurz zusammengestellt habe,

· oder Sie bleiben meiner Darstellung gegenüber misstrauisch und lesen „Kammerflimmern“ Wort für Wort nach.

In jedem Fall hoffe ich, dass Sie gegenüber Meldungen von Manipulationen und ‚perfektem‘ Mord mittels Deprogrammierung und Fehlfunktionen von Herzschrittmachern und implantierbaren Defibrillatoren skeptisch bleiben.

Mf + kG, Dr. med. Thomas G. Schätzler
Vgl.
http://news.doccheck.com/de/blog/post/1256-hacking-icds-und-hsms-der-perfekte-mord/ zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Mikroben – Heimliche Heiler

Jede zweite Zelle in und auf uns gehört einer Mikrobe. Durch die erfolgreiche Behandlung mit fäkalen Mikrobiota, etwa bei Autismus, hat die Mikrobiomforschung an Fahrt gewonnen. mehr »

Junge Besucher waren "Verjüngerungskur für DGIM"

Die "Ärzte Zeitung" hat den letzten DGIM-Kongresstag mit der Kamera begleitet. Tagungspräsident Sieber hat uns dabei Rede und Antwort gestanden - und erzählt, was ihn in den Tagen begeistert hat. mehr »

628 Kliniken soll Geld gestrichen werden

Hunderte Krankenhäuser sollen nach einem Beschluss des Gemeinsamen Bundesausschusses keinen Zuschlag mehr für die Notfallversorgung erhalten. mehr »