Hackerangriff auf Herzschrittmacher möglich

[Michael]

Rund 465.000 Patienten mit Herzschrittmacher erhalten ein Firmware-Update für ihren Schrittmacher.
Es schließt eine Sicherheitslücke, durch die Hacker Zugriff auf das lebenswichtige Gerät erlangen können.

Das Problem

Die betroffenen Herzschrittmacher bieten eine kabellose Funk-Schnittstelle für Ärzte an. Über diese kabellose Verbindung können aufgrund einer Sicherheitslücke aber auch Hacker auf den Herzschrittmacher zugreifen und diesen manipulieren. So wäre es denkbar, dass die Hacker die Batterie des Schrittmachers vorzeitig entleeren oder die Taktrate des Schrittmachers ändern.

Die Lösung

Nach dem Firmware-Update muss sich jedes externe Gerät, das sich mit dem Herzschrittmacher via Funk verbinden will, erst bei diesem autorisieren. Die FDA hat die neue Firmware überprüft und jetzt zum Aufspielen freigegeben. Bis jetzt liegen der FDA keine Hinweise vor, dass es zu derartigen Manipulationen bereits gekommen ist.

So bekommen die Patienten das Update

Laut der US Food and Drug Administration müssen die Patienten mit den von der Sicherheitslücke betroffenen Herzschrittmachern ein Firmware-Update für ihren Herzschrittmacher aufspielen lassen. Dazu müssen sie die Praxis ihres Facharztes aufsuchen. Dort spielt der Arzt dann das Firmware-Update auf die Herzschrittmacher auf. Danach sollte die Sicherheitslücke geschlossen sein. Offensichtlich besteht keine Notwendigkeit, das Update sofort aufspielen zu lassen – die FDA schreibt in ihrer Empfehlung, dass der Arzt das Firmware-Update bei dem nächsten ohnehin geplanten Arztbesuch aufspielen soll.

Das Aufspielen des Updates dauert zirka drei Minuten. Während dieser Zeit geht der Herzschrittmacher in den Backup-Modus mit 67 Schlägen pro Minute. Alle lebenswichtigen Funktionen stehen in dieser Zeit zur Verfügung. Theoretisch besteht die Gefahr, dass durch das Firmware-Update technische Probleme verursacht werden. Dieses Risiko stuft die FDA aber als sehr gering ein.

Konkret soll es sich um diese Herzschrittmacher-Modelle handeln, die außerhalb der USA verwendet wurden:
Accent SR RF
Accent ST
Accent MRI
Accent ST MRI
Assurity
Assurity+
Assurity MRI
Accent DR RF
Anthem RF
Allure RF
Allure Quadra RF
Quadra Allure MP RF
Quadra Allure
Quadra Allure MP

Laut St. Jude Medical sind offensichtlich auch Patienten außerhalb der USA betroffen. Ob auch Patienten aus Deutschland darunter sind, ist derzeit unbekannt.

Alle ab dem 28. August 2017 von Abbott Laboratories ausgelieferten Herzschrittmacher besitzen bereits die neue, sichere Firmwareversion.