• Startseite
  • Politik
  • Cyberstudie: Sicherheitslücken bei Insulinpumpen und Herzschrittmachern

Cyberstudie: Sicherheitslücken bei Insulinpumpen und Herzschrittmachern

  • Das Bundesamt für Sicherheit in der Informations­technik hat bei zehn Medizin­produkten insgesamt 150 Sicherheits­lücken gefunden.
  • Die Studie zu den Checks von Schrittmachern und anderen Geräten liegt dem RND exklusiv vor.
  • In einem Fall hätte eine Insulinpumpe digital so manipuliert werden können, dass es für den Nutzer tödlich hätte enden können.
|
Anzeige
Anzeige

Berlin. In der US-Serie „Homeland“ wurde der Vizepräsident der Vereinigten Staaten ermordet, indem sein Herzschrittmacher per Fernsteuerung manipuliert wurde. Alles nur Fiktion oder sind Medizinprodukte, die eigentlich Leben sichern sollen, eine Gefahrenquelle für ihre Nutzer?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist dieser Frage nachgegangen und hat in einer breit angelegten Studie die Cybersicherheit von Medizinprodukten untersucht. Gefunden wurden 150 Schwachstellen bei zehn getesteten Geräten, wie aus der 85-seitigen Studie hervorgeht, die dem Redaktions­Netzwerk Deutschland (RND) exklusiv vorliegt.

Die Zahl sei „auffällig hoch“, sagt Behördenchef Arne Schönbohm und verdeutlicht: „Das sind im Durchschnitt 15 Schwachstellen pro Gerät. Das ist, als ob man ein Dach decken lässt und am Ende hat es 15 undichte Stellen. Das würde kein Hausbesitzer akzeptieren.“

Anzeige

Schönbohm: Nachholbedarf bei IT-Sicherheit der Medizinprodukte

Untersucht wurden Infusions- und Spritzenpumpen, Herzschrittmacher, Monitore und Insulinpumpen. „Bei der Prüfung stellte sich heraus, dass die Schwachstellen häufig in der begleitenden Infrastruktur, selten jedoch in Medizinprodukten zu finden waren“, heißt es in der Studie.

Bei einer Insulinpumpe war die Schwachstelle so ausgeprägt, dass eine Manipulation bei der Menge der Insulingabe durch eine digitale Übernahme möglich gewesen wäre. Im äußersten Fall hätte so ein Mensch umgebracht werden können, indem ihm durch Steuerung seiner Pumpe von außen zu viel Insulin verabreicht worden wäre.

In der Regel seien die Infusionspumpen als robust eingestuft worden, heißt es in der Studie, da sie ihre Funktion unabhängig vom Zustand der Infrastruktur erfüllten, sie also auch dann noch funktionieren, wenn die Infrastruktur ausfällt. „Allerdings waren die Docks für die Pumpen in der Regel weniger gesichert“, schreiben die Autoren, „sodass dort vermehrt Schwachstellen festgestellt werden konnten.“ Diese Stationen wiederum kommunizierten vielfach direkt mit den Pumpen und böten einem Angreifer eine Schnittstelle für einen möglichen Zugang zu den Pumpen.

Anzeige

„Bei der IT-Sicherheit der Medizinprodukte gibt es Nachholbedarf. Da müssen die Hersteller ganz klar besser werden“, betonte Schönbohm, der auch darauf verwies, dass die zehn getesteten Produkte erst der Anfang gewesen seien. „Bei einem Produkt ist sogar die Patientensicherheit gefährdet gewesen. Bei den Produkten, die wir untersucht haben, sind die Sicherheitslücken inzwischen überwiegend beseitigt“, erklärte der BSI-Chef auch.

Mehrere Vorfälle in Kliniken

Die Teilnahme der Unternehmen an der Studie war freiwillig. Bei der Studie hätten nicht nur die Gerätehersteller mitgemacht, die bereits viel in die IT-Sicherheit investiert hätten, sagt Studienautorin Dina Truxius vom BSI. „Es waren natürlich nicht alle Hersteller von unseren Ergebnissen begeistert“, betont sie. „Zusammenfassend lässt sich sagen: Die Medizinprodukte sind robust und erhalten Leben. Bei ihrer IT-Sicherheit muss allerdings nachgearbeitet werden.“

Bei der Cybersicherheit von Medizinprodukten geht es nicht nur um den individuellen Schutz der Patienten. Auch ganze Krankenhäuser sind betroffen. „Theoretisch ist es denkbar, dass Medizingeräte mit Sicherheitslücken ein Krankenhaus erpressbar machen. Beispielsweise wenn sich jemand Zugang zu Medizingeräten an Intensivbetten in einer Klinik verschafft und damit droht, diese lahmzulegen“, sagt Truxius.

Schönbohm verweist darauf, dass die IT-Sicherheit von Krankenhäusern in Deutschland sehr heterogen sei. „Es gab eine Reihe von Vorfällen in Kliniken in den vergangenen Jahren, bei denen die IT der Krankenhäuser angegriffen wurde“, betont er. So legte 2016 ein Computervirus ein Krankenhaus in Neuss (Nordrhein-Westfalen) lahm. Eine Reihe von DRK-Kliniken in Rheinland-Pfalz und im Saarland hatten 2019 mit einer Schadstoffsoftware zu kämpfen. Und erst in diesem September sorgte ein Hackerangriff auf die Uniklinik Düsseldorf für Systemausfälle.

„Mit relativ einfachen Maßnahmen wie dem IT-Grundschutz des BSI hätte man eine Vielzahl der Angriffe abwehren können“, sagte Schönbohm. „Mir macht Sorge, dass bislang noch nicht alle ausreichend gehandelt haben. Für ein hohes Niveau an IT-Sicherheit sollten mindestens 15 bis 20 Prozent der IT-Kosten eines Betriebs in die IT-Sicherheit fließen.“

Die IT-Sicherheit in der Gesundheits­versorgung müsse einen ähnlich hohen Stellenwert bekommen wie die Patienten­sicherheit. Das Bewusstsein dafür wachse gerade.

Schönbohm betont: „Die Informations­sicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Sie ist auch die Voraussetzung für eine sichere Gesundheits­versorgung.“ Mit dem Krankenhaus­zukunfts­gesetz sei man auf einem guten Weg.

  • Laden Sie jetzt die RND-App herunter, aktivieren Sie Updates und wir benachrichtigen Sie laufend bei neuen Entwicklungen.

    Hier herunterladen