Schwachstellen

Digitale Medizin: Wenn das Herz gehackt wird

(Bild: thinkstockphotos.com)

Ein Herzschrittmacher, der einen zu starken Stromstoß verabreicht. Eine Insulinpumpe, die plötzlich zu viel Insulin pumpt. Für Menschen, die mit einem medizinischen Hilfsmittel leben, ist die Vorstellung, dass das Gerät gehackt und manipuliert werden könnte, ein Horror.

Mit Blick auf Implantate wie Herzschrittmacher und Defibrillatoren sei das Risiko derzeit für den einzelnen Patienten nicht übermäßig groß, befanden kürzlich US-Kardiologen. Zwar bestehe die Möglichkeit. Aber: „Die Wahrscheinlichkeit, dass ein Hacker ein implantierbares elektronisches Herz-Kreislauf-Gerät erfolgreich beeinflusst oder einen spezifischen Patienten angreifen kann, ist sehr gering“, sagt die Medizinerin Dhanunjaya Lakkireddy vom Klinikum der University of Kansas. Sie ist Mitglied der Amerikanischen Kardiologen-Vereinigung, die eine Risikoeinschätzung dazu veröffentlicht hat.

Allerdings hatte die Behörde Hersteller und Anwender schon vor zwei Jahren vor möglichen Schwachstellen in vernetzten IT-Systemen gewarnt: „Bei Tests konnten Angreifer in Einzelfällen zum Beispiel den nur ungenügend abgesicherten WLAN-Schlüssel auf dem Gerät im Klartext auslesen und infolge dessen die Produkte bis hin zur falschen Abgabe von Medikamenten manipulieren.“

(Bild: sjmglobal.com, stock.adobe.com, krone.at-Grafik)

Vorsicht bei Sicherheitslücken
Vorsichtshalber musste der Hersteller Johnson & Johnson 2016 mehr als 11.000 Besitzer von vernetzten Insulinpumpen anschreiben, weil es Software-Sicherheitslücken gab. 2017 galt es für die Firma Smith Medical bei ihren Insulinpumpen nachzubessern. Und der Anbieter St. Jude Medical rief 2017 fast eine halbe Million Träger von Herzschrittmachern in die Spitäler, um ihre Geräte dort mit sicheren Updates zu versorgen.

„Wirkliche Cyber-Sicherheit beginnt mit dem Design geschützter Software von Anfang an“, erläutert Lakkireddy. Das gilt auch für größere, im Krankenhaus genutzte und vernetzte Medizintechnik, wie etwa Intensivbeatmungs- oder Anästhesiegeräte. Hannes Molsen, Sicherheitsmanager beim Medizintechnikhersteller Dräger, betont: „Geräte in Krankenhäusern müssen systematisch gegen potenzielles Manipulieren ihrer Funktionen geschützt werden.“

Das könne durch das Härten von Betriebssystemen geschehen und durch das Weglassen ungenutzter Funktionen. Außerdem sollten Sicherheits-Patches und Software-Updates nachträglich möglich sein, um bei Bedarf schnell auf Bedrohungen zu reagieren. Und auch bei einem Ausfall oder einer Störung des Netzwerks müssten die Geräte arbeitsfähig sein, sagt Molsen. Die Krux ist jedoch: Große Medizingeräte sind teuer, oft viele Jahre lang im Einsatz und deshalb nicht zwingend auf dem neuesten - oder einem nachrüstbaren - Stand.

(Bild: MUI/Florian Lechner)

Vorteile durch berührungsfreies Wirken
Dennoch ist klar, die drahtlose Vernetzung von Geräten und die Möglichkeit, berührungsfrei auf sie einzuwirken, bringt therapeutisch viele Vorteile. Nicht nur bei Implantaten, die ohne weitere Operation beeinflusst werden können. Auch um einen Intensivpatienten herum blinkt und piepst es ständig. Es wird beatmet, Vitaldaten werden gemessen, Medizin verabreicht. Oft sind es ein Dutzend Geräte, die den labilen Gesundheitszustand des Patienten überwachen und ihn therapieren. Im Notfall senden sie Alarm in den Überwachungsraum. Medizinisch ein Riesenplus, sicherheitstechnisch eine potenziell offene Flanke.

Auch die Klinik-EDV bietet Angriffsfläche - wie die Attacke auf die zentrale IT des Lukaskrankenhauses in der deutschen Stadt Neuss vor zwei Jahren zeigte. Ebenso wie in einigen anderen Kliniken in Nordrhein-Westfalen war dort ein Virus über einen geöffneten Mailanhang eingedrungen. Um Patientendaten zu schützen, wurde das komplette System heruntergefahren. Krankenhausmitarbeiter waren von jetzt auf gleich gezwungen, statt E-Mails Briefe zu verschicken, zu telefonieren, zu faxen, Befunde auf Papier zu schreiben.

(Bild: Bits and Splits/stock.adobe.com)

Der Schutz vor Hackern und Datenklau wird daher für Patienten und Anbieter ein Thema bleiben. Die nächste Generation digitalisierter Gesundheitsvorsorge und Therapie rollt vor allem in den USA schon heran - in Form neuer Apps, die etwa entwickelt werden, um Blutzucker zu messen, beim Management chronischer Krankheiten zu helfen, um Gehirnerschütterungen, Herzrhythmusstörungen oder Hautkrebs zu erkennen.