Darum gehts
- Cyberangriffe auf Herzimplantate: Realität oder Science-Fiction? Experte erklärt Risiken
- Gezielte Attacken auf Einzelpersonen realistischer als Massenangriffe auf Tausende
- FDA rief 2017 über 465'000 Herzschrittmacher wegen Cybersecurity-Problemen zurück
Im «Tatort» vom 28. September («Kammerflimmern») brechen Menschen plötzlich in Zürich zusammen: getötet durch ihre eigenen Herzimplantate. Denn Hacker haben die sogenannten implantable cardioverter defibrillator (ICD) der Patienten umprogrammiert und fordern jetzt 317 Millionen Dollar Lösegeld. 2400 Menschen schweben in Lebensgefahr. Ein Horror-Szenario, aber wie real ist die Bedrohung?
«Für Aussenstehende ist es allgemein schwierig, solche Implantate breitflächig zu kompromittieren», erklärt IT-Sicherheitsexperte Marc Ruef von der Zürcher Firma Scip AG. «Angriffe auf ICDs klassifizieren wir eher als zielgerichtete Attacken, die primär gegen High-Value-Targets aus Politik oder Wirtschaft angewendet werden würden.»
ICD nicht unknackbar
Die Hürden sind hoch: Herzschrittmacher werden über Induktion oder drahtlose Kommunikation angesteuert. Bei direktem Kontakt zur Haut oder über spezielle Funkverbindungen mit maximal zwei Metern Reichweite. «Eine Reprogrammierung dauert bis zu einer halben Minute, Firmwareupdates können über fünf Minuten in Anspruch nehmen», so Ruef. Herstellerspezifische Programmiergeräte, nicht standardisierte Protokolle und Verschlüsselung erschweren Angriffe zusätzlich.
Dennoch sind diese Geräte nicht unknackbar. Eine Studie aus dem Jahr 2020 mit dem Titel «Security Issues in Implantable Medical Devices: Fact or Fiction?» zeigt: Obwohl es bisher kaum reale Attacken auf Patientinnen und Patienten gab, haben Forschende wiederholt Lücken in Herzimplantaten demonstriert. So rief die US-Gesundheitsbehörde FDA 2017 mehr als 465'000 Herzschrittmacher von Abbott zurück, wegen Cybersecurity-Problemen.
Brisanter Fall aus der Praxis
Ruefs Firma forscht ebenfalls im Bereich Medizintechnik und findet regelmässig Sicherheitslücken. «In einem Fall waren wir über drei Jahre im Besitz einer tödlichen Schwachstelle, die wir nicht veröffentlichen konnten», erzählt der Experte. Der betroffene Hersteller verweigerte jede Kooperation.
Erst als Ruef die US-Behörde FDA einschaltete, änderte sich dies: «Nachdem der säumige Hersteller identifiziert wurde, dauerte es keine halbe Stunde, bis er sich bei uns meldete.» Die Angst, die Marktzulassung in den USA zu verlieren, war am Ende grösser als der Widerstand gegen Sicherheitsupdates.
Das «Tatort»-Szenario eines Massenangriffs auf Tausende Herzimplantate bleibt also Science-Fiction. «Eine Fremdeinwirkung ist mit sehr hohen Aufwänden verbunden», betont Ruef. Realistischer sind gezielte Attacken auf Einzelpersonen – etwa Politiker oder Wirtschaftsbosse. Die grösste Gefahr liegt denn auch nicht in spektakulären Hackerangriffen, sondern in der mangelnden Bereitschaft zur Kooperation der Hersteller bei Sicherheitslücken. Hier sind Behörden gefordert, wie Ruefs Erfahrung zeigt.
«Kammerflimmern» läuft am 28. September um 20.10 Uhr auf SRF 1. Eine Nachbesprechung gibt es in «Puls» am 29. September um 21.05 Uhr.