Connect with us

Wie man

Können Herzschrittmacher (und andere medizinische Geräte) wirklich gehackt werden?

Können Herzschrittmacher (und andere medizinische Geräte) wirklich gehackt werden?

Swapan Fotografie / Shutterstock

Vom Herzschrittmacher bis zur Smartwatch werden wir zunehmend zu einer kybernetischen Spezies. Aus diesem Grund könnten die jüngsten Schlagzeilen über Schwachstellen in implantierten medizinischen Geräten Alarmglocken auslösen. Kann der Schrittmacher Ihres Großvaters wirklich gehackt werden und wenn ja, wie hoch ist das reale Risiko?

Es ist eine aktuelle Frage. Ja, es gibt bedeutende Änderungen in der Medizintechnik im Gange – implantierbare Geräte können jetzt drahtlos kommunizieren, und das kommende medizinische Internet der Dinge (IoT) bringt verschiedene tragbare Geräte mit sich, um Gesundheitsdienstleister und Patienten besser miteinander zu verbinden. Ein großer Hersteller von Medizinprodukten hat jedoch nicht nur mit einer, sondern mit zwei kritischen Sicherheitslücken Schlagzeilen gemacht.

Sicherheitslücken heben Hacking-Risiken hervor

Im vergangenen März warnte das Department of Homeland Security davor Hacker konnten drahtlos auf implantierte Herzschrittmacher von Medtronic zugreifen. Dann, nur drei Monate später, Medtronic hat freiwillig einige seiner Insulinpumpen zurückgerufen aus ähnlichen Gründen.

An der Oberfläche ist das erschreckend, aber es ist vielleicht nicht ganz so schlimm, wie es sich anhört. Hacker können nicht von einem entfernten Terminal aus, das Hunderte von Kilometern entfernt ist, auf implantierte Herzschrittmacher zugreifen oder weitreichende Angriffe ausführen. Um einen dieser Herzschrittmacher zu hacken, muss der Angriff in unmittelbarer Nähe des Opfers (innerhalb der Bluetooth-Reichweite) und nur dann durchgeführt werden, wenn das Gerät eine Verbindung zum Internet herstellt, um Daten zu senden und zu empfangen.

Das Risiko ist zwar unwahrscheinlich, aber real. Medtronic hat das Kommunikationsprotokoll des Geräts so konzipiert, dass keine Authentifizierung erforderlich ist und die Daten nicht verschlüsselt werden. Jeder, der ausreichend motiviert ist, kann die Daten im Implantat ändern und möglicherweise sein Verhalten auf gefährliche oder sogar tödliche Weise ändern.

Wie die Herzschrittmacher können die zurückgerufenen Insulinpumpen drahtlos mit verwandten Geräten wie einem Messgerät verbunden werden, das bestimmt, wie viel Insulin gepumpt wird. Diese Familie von Insulinpumpen verfügt auch nicht über eine integrierte Sicherheit, weshalb das Unternehmen sie durch ein Cyber-bewussteres Modell ersetzt.

Die Branche holt auf

Röntgenaufnahme eines implantierten Schrittmachers.ChooChin / Shutterstock

Auf den ersten Blick scheint Medtronic das Aushängeschild für ahnungslose und gefährliche Sicherheit zu sein (das Unternehmen hat auf unsere Bitte um Kommentar zu dieser Geschichte nicht reagiert), aber es ist alles andere als allein.

„Der Zustand der Cybersicherheit bei Medizinprodukten ist insgesamt schlecht“, sagte Ted Shorter, Chief Technology Officer des IoT-Sicherheitsunternehmens Keyfactor.

Alaap Shah, ein Anwalt, der sich bei Epstein Becker Green auf Datenschutz, Cybersicherheit und Regulierung im Gesundheitswesen spezialisiert hat, erklärt: „Hersteller haben in der Vergangenheit keine Produkte mit Blick auf die Sicherheit entwickelt.“

Schließlich mussten Sie in der Vergangenheit eine Operation durchführen, um einen Herzschrittmacher zu manipulieren. Die gesamte Branche versucht, mit der Technologie Schritt zu halten und die Auswirkungen auf die Sicherheit zu verstehen. Ein sich schnell entwickelndes Ökosystem – wie das bereits erwähnte medizinische IoT – stellt eine Branche, die noch nie darüber nachdenken musste, vor neue Sicherheitsanforderungen.

„Wir erreichen einen Wendepunkt im Wachstum von Konnektivitäts- und Sicherheitsbedenken“, sagte Steve Povolny, leitender Bedrohungsforscher bei McAfee.

Obwohl die medizinische Industrie Schwachstellen aufweist, wurde noch nie ein medizinisches Gerät in freier Wildbahn gehackt.

„Ich kenne keine ausgenutzten Sicherheitslücken“, sagte Shorter.

Warum nicht?

„Kriminelle haben einfach nicht die Motivation, einen Schrittmacher zu hacken“, erklärte Povolny. „Nach medizinischen Servern, bei denen Patientenakten mit Ransomware als Geiseln gehalten werden können, wird ein höherer ROI erzielt. Deshalb streben sie diesen Bereich an – geringe Komplexität, hohe Rendite. “

Warum in komplexe, hochtechnische Manipulationen an medizinischen Geräten investieren, wenn die IT-Abteilungen von Krankenhäusern traditionell so schlecht geschützt sind und sich so gut auszahlen? Allein im Jahr 2017 16 Krankenhäuser wurden durch Ransomware-Angriffe verkrüppelt. Und das Deaktivieren eines Servers ist nicht mit einer Mordanklage verbunden, wenn Sie erwischt werden. Das Hacken eines funktionierenden, implantierten medizinischen Geräts ist jedoch eine ganz andere Sache.

Attentate und Hacking von Medizinprodukten

Trotzdem ging der frühere Vizepräsident Dick Cheney 2012 kein Risiko ein. Als Ärzte seinen älteren Schrittmacher durch ein neues drahtloses Modell ersetzten, deaktivierten sie die drahtlosen Funktionen, um jegliches Hacken zu verhindern. Zum Teil inspiriert von einer Handlung aus der TV-Show „Homeland“. Cheneys Arzt sagte„Es schien mir eine schlechte Idee für den Vizepräsidenten der Vereinigten Staaten zu sein, ein Gerät zu haben, in das sich vielleicht jemand … einhacken kann.“

Cheneys Saga deutet auf eine beängstigende Zukunft hin, in der Menschen über medizinische Geräte, die ihre Gesundheit regulieren, aus der Ferne angesprochen werden. Aber Povolny glaubt nicht, dass wir in einer Science-Fiction-Welt leben werden, in der Terroristen Menschen aus der Ferne zappen, indem sie Implantate manipulieren.

„Selten sehen wir Interesse daran, Personen anzugreifen“, sagte Povolny und verwies auf die entmutigende Komplexität des Hacks.

Das heißt aber nicht, dass es nicht passieren kann. Es ist wahrscheinlich nur eine Frage der Zeit, bis jemand Opfer eines echten Hack im Stil von Mission Impossible wird. Alpine Security hat eine Liste von fünf Geräteklassen entwickelt, die am anfälligsten sind. Ganz oben auf der Liste steht der ehrwürdige Schrittmacher, der den Schnitt ohne den jüngsten Rückruf von Medtronic gemacht hat und stattdessen das Jahr 2017 zitiert Rückruf von 465.000 implantierten Herzschrittmachern durch den Hersteller Abbott. Das Unternehmen musste die Firmware dieser Geräte aktualisieren, um Sicherheitslücken zu schließen, die leicht zum Tod des Patienten führen können.

Andere Geräte, um die sich Alpine Sorgen macht, sind implantierbare Kardioverter-Defibrillatoren (ähnlich wie Herzschrittmacher), Medikamenteninfusionspumpen und sogar MRT-Systeme, die weder auf dem neuesten Stand noch implantierbar sind. Die Botschaft hier ist, dass die medizinische IT-Branche viel Arbeit auf ihrem Teller hat, um alle Arten von Geräten zu sichern, einschließlich großer Legacy-Hardware, die in Krankenhäusern ausgesetzt ist.

Wie sicher sind wir?

Insulinpumpe in der Jeanstasche einer Person und am Bauch befestigt.Klicken und Foto / Shutterstock

Zum Glück scheinen sich Analysten und Experten einig zu sein, dass sich die Cybersicherheitslage der Hersteller von Medizinprodukten in den letzten Jahren stetig verbessert hat. Dies ist teilweise auf die Richtlinien der FDA im Jahr 2014 veröffentlichtzusammen mit interagierenden Task Forces, die mehrere Sektoren der Bundesregierung umfassen.

Povolny wird beispielsweise ermutigt, dass die FDA mit Herstellern zusammenarbeitet, um die Testzeitpläne für Geräteaktualisierungen zu optimieren. „Es ist notwendig, Testgeräte so weit auszugleichen, dass wir niemanden verletzen, aber nicht so lange brauchen, dass wir Angreifern eine sehr lange Landebahn geben, um Angriffe auf bekannte Schwachstellen zu untersuchen und umzusetzen.“

Laut Anura Fernando, ULs führender Innovationsarchitekt für Interoperabilität und Sicherheit medizinischer Systeme, hat die Verbesserung der Sicherheit medizinischer Geräte derzeit in der Regierung Priorität. „Die FDA bereitet neue und verbesserte Leitlinien vor. Der Koordinierungsrat für den Gesundheitssektor hat kürzlich den gemeinsamen Sicherheitsplan veröffentlicht. Entwicklung von Standards Organisationen entwickeln Standards weiter und erstellen bei Bedarf neue. Das DHS baut seine CERT-Programme und andere Pläne zum Schutz kritischer Infrastrukturen weiter aus, und die Gesundheitsgemeinschaft expandiert und arbeitet mit anderen zusammen, um die Haltung der Cybersicherheit kontinuierlich zu verbessern und mit der sich ändernden Bedrohungslandschaft Schritt zu halten. “

Vielleicht ist es beruhigend, dass so viele Akronyme beteiligt sind, aber es ist noch ein langer Weg.

„Während einige Krankenhäuser eine sehr ausgereifte Haltung in Bezug auf Cybersicherheit haben, gibt es immer noch viele, die Schwierigkeiten haben zu verstehen, wie sie mit der grundlegenden Hygiene in Bezug auf Cybersicherheit umgehen sollen“, beklagte Fernando.

Können Sie, Ihr Großvater oder ein Patient mit einem tragbaren oder implantierten medizinischen Gerät etwas tun? Die Antwort ist etwas entmutigend.

„Leider liegt die Verantwortung bei den Herstellern und der medizinischen Gemeinschaft“, sagte Povolny. „Wir brauchen sicherere Geräte und die ordnungsgemäße Implementierung von Sicherheitsprotokollen.“

Es gibt jedoch eine Ausnahme. Wenn Sie ein Gerät für Endverbraucher verwenden, z. B. eine Smartwatch, empfiehlt Povolny, eine gute Sicherheitshygiene zu praktizieren. „Ändern Sie das Standardkennwort, wenden Sie Sicherheitsupdates an und stellen Sie sicher, dass es nicht ständig mit dem Internet verbunden ist, wenn dies nicht erforderlich ist.“

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia