Zwei Hacker haben einen Hersteller von Herzschrittmachern und Insulinpumpen auf schwere Sicherheitslücken in dessen Produkten aufmerksam gemacht. Das Spektrum der Lücken reicht bis zur Installation manipulierter Firmware auf den Programmiergeräten zum Auslesen und Umprogrammieren der Herzschrittmacher – was dann natürlich zu im Zweifelsfall tödlichen Angriffen auf die implantierten Herzschrittmacher genutzt werden kann. Der Hersteller wurde vor 18 Monaten informiert, will aber dennoch kein Update liefern.
Auftragsmord per Malware – mal was Neues. Vorher kann man natürlich den Träger auch noch schön erpressen. Völlig neue Möglichkeiten. Danke Medtronic.
Quelle: Heise.de
Anzeige
Updates heißen i.d.R. veränderte Patientendaten, z.B. der erwünschte Frequenzbereich des Herzschlages. Viele moderne Schrittmacher loggen auch mit, d.h. der Arzt kann die Herzrate der letzten 4 Wochen auslesen. Das passiert aber meist mittels Induktion, d.h. das Auslesegerät muss den Patienten berühren. Ich kann also nicht ohne weiteres per WLAN meinen alten Nachbarn schocken, weil sein Hund vor meine Haustüre gekackt hat. Ich müsste schon das Auslese- und Programmiergerät infiltrieren.
Jemanden mit einem manipulierten Herzschrittmacher zu töten sollte sich als sehr schwer gestalten. Die Dinger haben eine analoge Strombegrenzung, damit einzelne Schocks keinen Schaden anrichten können, einen elektrischen Stuhl kann man damit also sicher nicht bauen. Es bleibt also die Möglichkeit, die Stimulation so zu verändern, dass der Schrittmacher seinen Sinn nicht mehr erfüllt und das herz nicht mehr richtig schlägt. Da jedes Update aber wie gesagt duch einen Arzt unter Aufsicht durchgefüht wird um genau solche Fehlfunktionen sofort zu erkennen ist das schlimmste was passieren kann ein Austausch des Implantats.
Warum der Hersteller sich so gegen eine Behebung des Problems wehrt kann ich aber auch nicht Nachvollziehen. Vielleicht muss jedes Update von der betroffenen Behörde überprüft werden, solche Prozeduren sind meist sehr aufwendig und dauern ewig.
Sie manipulieren die Dinger indem sie eine Verbindung nutzen die das Ding eigentlich nur zum Updaten benutzt. Warum zum Geier muss das Ding überhaupt updaten? Zugegeben, ich habe keine Ahnung wie so ein Herzschrittmacher genau funktioniert. Aber was muss man da groß an der Software ändern? Kann mich da wer aufklären?
Ein Schrittmacher gibt einen Stromstoss, wenn er merkt, dass das Herz nicht im Takt ist.
Nun kann sich der Medizinische Zustand des Patienten ändern und man will die Stromstärke oder empfindlichkeit anpassen.
Wenn das ding keine Wlan verbindung hat, muss man das ganze Ding austauschen, was zu einer teuren Hochrisikooperation führt.
Software updates läd das ding ironischerweise auch um Sicherheitslücken zu schliessen. Jedenfalls bei anderen Firmen die sowas herstellen^^
Generell steigt einfach die Lebenserwartung des Patienten, wenn man die fernsteuern kann. Auftragsmörder erhalten dadurch aber natürlich auch neue Optionen