BR24 Logo
BR24 Logo
Netzwelt

EU will verhindern, dass Hacker Herzschrittmacher lenken | BR24

© BR

Die EU gibt sich neue Regeln, um Implantate gegen Hacker-Angriffe abzusichern. Das scheint dringend nötig.

4
Per Mail sharen
Teilen
  • Artikel mit Audio-Inhalten

EU will verhindern, dass Hacker Herzschrittmacher lenken

Zu den Horrorszenarien in der IT gehört, dass Hacker es nicht bei Angriffen auf Computer und Smartphones belassen, sondern Implantate wie Herzschrittmacher angreifen. Technisch möglich ist das. Die EU will das verhindern.

4
Per Mail sharen
Teilen

Viele vermeintlich smarte Implantate sind unsicher. Die EU will dem abhelfen und hat deshalb die Zulassungsvoraussetzungen für medizinische Geräte verschärft. Die neue Medical Device Regulation tritt demnächst in Kraft.

Wie dringend neue Regularien sind, zeigt die Aussage von Tobias Zillner. Er berichtete kürzlich auf der Medical Electronics Conference in München über einen Hack von vor zweieinhalb Jahren. Als Angestellter der US-amerikanischen IT-Sicherheitsfirma MedSec hatte er damals gezeigt, wie Herzschrittmacher des Herstellers St. Jude Medical per Funk manipulierbar sind.

Herzschrittmacher aus der Ferne vibrieren lassen

Die Implantate lassen sich drahtlos mit einem Monitor für den Patienten und einem Steuerungsrechner beim Arzt verbinden. Zillner und seine Kollegen haben den Monitor gehackt, sind darüber zum Server des Herstellers gelangt und darüber wiederum zum Arztrechner, der den Herzschrittmacher steuert. "Dadurch dass wir volle Kenntnis hatten, wie die Schlüssel sind, konnten wir dann auch über Funk den Herzschrittmacher umprogrammieren, deaktivieren, vibrieren lassen – alle Funktionen, die man damit so machen kann."

Mit Implantate-Hack an der Börse Geld verdienen

Normalerweise informieren weiße Hacker die Hersteller über Sicherheitslücken, geben ihnen Zeit, sie zu stopfen und erst dann gehen sie damit an die Öffentlichkeit, um mit ihren Erfolgen für sich und ihre Unternehmen zu werben. Medsec machte es anders. Die Hackerfirma verkaufte ihr Wissen über die Herzschrittmacherprobleme an die umstrittene Investmentfirma Muddy Waters, die darauf spezialisiert ist, mit fallenden Aktienkursen Geld zu verdienen:

"Muddy Waters hat einen Bericht veröffentlicht mit Hinweis auf die Schwachstellen und hat vorausgesagt, dass sich der Sales für Herzschrittmacher von St. Jude natürlich drastisch verringern wird und hat die Aktien geshortet und Aktien von Mitbewerbern gekauft." Tobias Zillner

Und so musste St. Jude nach Bekanntwerden des Hacks an der Börse einen Verlust von zeitweise bis zu zwei Milliarden Dollar hinnehmen. So haben die Anleger die Sicherheitsprobleme von fast einer halben Million Herzschrittmacher bewertet.

Dick Cheney bekam es mit der Angst zu tun

Nach allem, was bekannt ist, haben sich bislang nur weiße Hacker an medizinischen Implantaten zu schaffen gemacht, also keine Kriminellen und keine Cyberterroristen. Aber die Gefahr ist real und wird von Betroffenen in exponierter Stellung durchaus gesehen. So hat etwa in den USA Dick Cheney, Vizepräsident unter George Bush, die Funk-Fernsteuerung seines Herzschrittmachers deaktivieren lassen.

EU schiebt im Mai den Riegel vor

In Europa sollen unsichere Medizinprodukte künftig gar nicht erst auf den Markt kommen. Dazu dient die neue europäische MDR, die aktuell umgesetzt wird. Das Kürzel steht für Medical Device Regulation. Sie verschärft die Zulassungsbedingungen für Medizinprodukte. Kaum noch ein Gerät gilt künftig als unproblematisch, als Klasse-1-Produkt, wie sich das in der Vorschrift nennt. Höher klassifizierte Geräte wiederum müssen durch öffentlich bestellte Experten von so genannten "benannten Stellen", ausgiebig begutachtet werden, in Deutschland beispielsweise vom TÜV Süd.

"Viele Produkte, die vorher von der Sicherheitsklassifizierung als 1 eingestuft werden konnten und einfach auf den Markt gebracht werden konnten, fallen jetzt unter 2a, 2b oder Klasse 3 und müssen dadurch eine benannte Stelle mit ins Boot holen, die dieses Produkt prüft und zulässt. Das heißt: Ja, es ist ein erheblicher Mehraufwand, ein Gerät jetzt auf den Markt zu bringen." Gesa Kniebühler, TÜV Süd Product Service.

Seit 2017 gilt die Medical Device Regulation. Die Hersteller klagen und bezeichnen sie als bürokratisches Investitionshemmnis. Ob dem so ist, wird sich in Kürze zeigen. In ein paar Monaten läuft die Übergangsfrist aus. Ab Ende Mai 2020 muss man die MDR als Medizinprodukte-Hersteller einhalten.

"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!