Auch bei medizinischen Geräten ist der Trend zur Vernetzung offenbar unaufhaltsam. Ergeben sich doch viele spannende Möglichkeiten, wenn beispielsweise ein Herzschrittmacher seine Daten laufend an den behandelnden Arzt weitergibt. Freilich sollte bei solch lebensnotwendigen Geräten der Sicherheit der Software dann auch eine besonders hohe Bedeutung zukommen, um jegliche Manipulationsversuche auszuschließen. Leider scheint dies aber nicht überall der Fall zu sein.

Scharfe Kritik

Eine aktuelle Untersuchung der US-amerikanischen Food and Drug Administration (FDA) hat zum Teil haarsträubende Fehler in der Software für Herzschrittmacher und Defibrillatoren der Firma St. Jude Medical gefunden. Dadurch wäre es Dritten theoretisch möglich von außen einem Herzschrittmacher Befehle zu erteilen, etwa um Schocks auszuführen, oder die Batterie schnell aufzubrauchen. Die Fehler stecken in der zugehörigen Basisstation namens Merlin@home, die eigentlich dazu gedacht ist, dem Arzt laufende Informationen über den Patienten zu geben.

Der Hersteller hat mittlerweile mit Softwareupdates auf den Bericht reagiert, diese werden seit Anfang der Woche verteilt. St. Jude Medical empfiehlt den betroffenen Nutzern, sicherzustellen, dass die Basisstation immer eine Internetverbindung hat, damit das Update auch wirklich erhalten.

Zweifel

Allerdings zweifeln Experten daran, dass die Probleme damit wirklich ordentlich bereinigt wurden. So übt etwa der Sicherheitsexperte Matthew Green in einer Reihe von Tweets schwere Kritik an dem Hersteller. Es sei bedenklich, dass überhaupt über eine Funkverbindung so kritische Befehle wie das Austeilen von Schocks an das Herz abgegeben werden können. Zudem zeige der Bericht auch, dass die genutzte Verschlüsselung bei der Authentifizierung zu schwach sei, der verwendete, 24 Bit lange RSA-Schlüssel lasse sich in kurzer Zeit knacken. (red, 12.1.2017)