IT-Sicherheitslücken in Herzschrittmachern

Inhaltsverzeichnis:
Sicherheitsforscher entdeckten einige IT-Sicherheitslücken in verschiedenen Herzschrittmacher Geräten oder anderen kardiologischen Implantaten. So fand man mit der Hilfe einer Feldanalyse heraus, dass notwendige Geräte für die Herzschrittmacher, Herzmonitore und auch implantierbare Defibrillatoren einige Sicherheitslücken aufweisen. Diese wurden auf dem virtuellen Hackertreffen „remote Chaos Communication Congress“ vorgestellt. Des Weiteren konnten die Forscher einen Ego-Shooter auf den Implantaten installieren. Somit können solche lebenserhaltenden Instrumente von Hackern umprogrammiert werden und zum Beispiel zu Elektroschocks führen.
Die modernen kardiologischen Geräte, welche zum Implantieren gedacht sind, können über die Funkfrequenztechniken kommunizieren. Des Weiteren kommunizieren sie über die Gateways in der Nähe des Geräts und dem Backendserver im Internet. Aus diesen Komponenten bildet sich ein Ökosystem aus Protokollen und Hardware, welche die medizinischen Daten verarbeitet. Für die Patienten ist dies sehr oft lebensnotwendig.
Somit ist die Bedrohung durch mögliche IT-Sicherheitslücken und IT-Angriffe sehr hoch. In der Regel haben die kleinen Implantate keine direkte technische Verbindung nach außen. Jedoch können diese mit verschiedenen Spezialgeräten für die Kliniken justiert werden. So gelang es Wissenschaftlern solch eine Vorrichtung für circa 2000 Dollar zu erwerben. Zum Beispiel verfügen Defibrillatoren eine Schnittstelle über die Hochfrequenzinduktion oder einer normalen RFID über die Nahfeldkommunikation. Ein Mikrorechner bildet dabei das Herzstück der Implantate.
Unberechtigter Zugriff auf die Herzmonitore
Passwörter können leicht gefunden werden
Bei dem Herzmonitor des Herstellers Biotronik gelang es verschiedenen Wissenschaftlern und Expterten mit dem sogenannten GSM-Spoofing die Zugangsdaten durch den unverschlüsselten Netzwerkverkehr mitzulesen und sogar zu kopieren. Es wurde dabei ebenfalls herausgefunden, dass die Authentifizierungsprozesse der Domain die entscheidende Rolle spielen. Jedoch kann man diese auch für andere Webdienste in Verbindung bringen, die zusätzliche Gefahren mit sich bringt. Ähnlich aufgebaut war das Medtronic-Gerät. Jedoch konnte man hierbei mit dem Spoofing nichts erreichen. Dabei haben sich die operierenden Mobile-2-Mobile Sim Karten sicherheitstechnisch ausgezahlt. Ãœber eine Uart (Universal Asynchronous Receiver Transmitter) – Schnittstelle konnte man das Passwort herausfinden. So konnte man trotzdem auf die verschlüsselten Dateisysteme zugreifen.
Ebenfalls wurde die Speicherkomponente EEPROM entschlüsselt. Die Firmware konnte entsprechend ausgelesen werden. Außerdem fand man das Bild von gebrochenen Herzen auf dem Display. Ebenfalls konnten die Adressen von den Backendservern komplett ausgelesen werden. Die Infrastruktur, welche neben den Ärzten, Kliniken und Krankenhäusern angeschlossen war, sind bei Medtronic in der Regel gut gegen Missbrauch gesichert. Die Forscher landen hierbei meistens nur auf einer leeren Webseite. Prinzipiell konnte man über verschiedene Internetschnittstellen auf den Klinikzugang zugreifen. Das Team schaute jedoch nach ausnutzbaren Exploits nicht nach. Auch wurden keine direkten Angriffsformen ausgetestet.
Wenig Reaktion der Herzschrittmacher Hersteller
Die gefundenen IT-Sicherheitslücken können Schäden an den Patienten auslösen. Regelmäßige Updates und Sicherheitsentwicklungen könnten jedoch entgegenwirken. Jedoch hat sich bei den Firmen innerhalb von vier Wochen nicht viel getan.