Kann man Herzschrittmacher hacken? Theoretisch ja, praktisch zumindest schwierig! Neue Software schließt Sicherheitslücke

Susanne Rytina

Interessenkonflikte

2. Mai 2018

Ein Schreckens-Szenario aus einem Thriller für alle Patienten mit einem Herzschrittmacher: Spione hacken sich von ihrem Rechner in Nowosibirsk in das Gerät eines unliebsamen Politikers in Washington ein und manipulieren es so, dass es aussetzt. Für den Politiker geht dies nicht gut aus.

In der US-Öffentlichkeit wurden solche Fälle diskutiert, als die amerikanische Arzneimittelaufsicht FDA vor Sicherheitsproblemen bei den Herzschrittmachern des Herstellers St. Jude Medical (inzwischen Abbott) warnte. Nun hat die FDA mitgeteilt, dass sie ein neues Software-Update der Firma zugelassen hat. Dieses soll die Sicherheitslücken beheben und verhindern, dass potenzielle Angreifer die Software manipulieren können. Eine Attacke von Übeltätern auf Herzschrittmacher gilt jedoch unter Experten als eher unwahrscheinlich.

„Die Wahrscheinlichkeit, dass ein Hacker ein implantierbares elektronisches Herz-Kreislauf-Gerät beeinflusst oder einen spezifischen Patienten angreift, ist sehr gering“, betont der US-Kardiologe Prof. Dr. Dhanunjaya R. Lakkireddy vom Hospital and Medical Center der Universität Kansas, Mitautor eines Artikels im Journal of the American College of Cardiology [1]. Auch die FDA schreibt: „Es gibt keinen bekannten Fall, dass ein Patient durch eine derartige Anfälligkeit der Cybersecurity zu Schaden gekommen ist.“

Patienten seien unnötigerweise beunruhigt worden, kritisiert Prof. Dr. Mark S. Link, Direktor der „Cardiac Electrophysiology“ am UT Soutwestern Medical Center in Dallas, in einem Kommentar im New England Journal of Medicine . Das Aufspielen der neuen Software verursache größere Probleme als das rein theoretische Sicherheitsrisiko, so Link.

 
Die Wahrscheinlichkeit, dass ein Hacker ein implantierbares elektronisches Herz-Kreislauf-Gerät beeinflusst oder einen spezifischen Patienten angreift, ist sehr gering. Prof. Dr. Dhanunjaya R. Lakkireddy
 

Hacking über weite Distanzen technisch unmöglich

PD Dr. Philipp Sommer

Dass sich jemand von Russland aus in einen Herzschrittmacher jenseits des Teiches einhacken könnte, gehöre ins Reich der Mythen und sei technisch nicht machbar, meint dazu der Kardiologe PD Dr. Philipp Sommer, Leitender Oberarzt in der Abteilung Rhythmologie im Herzzentrum Leipzig, gegenüber Medscape. „In bislang keinem Fall erlaubte es irgendeine Software, dass man von weit entfernt auf den Schrittmacher zugreift, um Veränderungen der Programmierung vorzunehmen“, betont der Kardiologe.

Bei den Herzschrittmachern handelt sich konkret um Telemetrie-fähige kabellose Apparate. In Deutschland sind diese Home-Monitoring-Geräte noch nicht so verbreitet, schätzungsweise rund 12.000 Geräte seien im Einsatz, schätzt Sommer. Der Grund: Die Kosten für das Home-Monitoring und die Datenauswertung wurden von der GKV lange nicht erstattet, so der Kardiologe.

Warum ein Hacking von außen schwierig wäre, verdeutlicht Sommer praktisch: Kommt ein Patient etwa in die Herzschrittmacher-Ambulanz zur Kontrolle seines Gerätes, dann verbindet sich das Abfragegerät des Kardiologen über eine Kommunikationsschnittstelle via Radiofrequenz (RF) mit dem Herzschrittmacher (und nicht über eine W-LAN-Schnittstelle). Nur wenn die Verbindung erfolgt ist durch den sogenannten „elektronischen Handshake“, innerhalb einer Reichweite von wenigen Metern, kann der Arzt Einstellungen verändern oder ein böswilliger Hacker die Software manipulieren oder umprogrammieren.

Entfernt sich der Patient vom Arzt, trennt sich die Verbindung, ein Zugriff ist dann nicht mehr möglich, so Sommer. Der Hacker müsste also seinen Rechner nur wenige Meter weit vom Patienten positioniert haben, um den Schrittmacher zu manipulieren.

Was von Hackern tatsächlich abgefangen werden kann, sind Daten-Protokolle, die vom Gerät regelmäßig via Handynetz übermittelt werden. Diese Informationsflüsse seien „hackeranfällig“: „Doch was will jemand mit den Daten zu Batterielaufzeit und zur Reizschwelle eines Herzschrittmachers von Frau Müller oder Herrn Mayer anfangen?“, fragt Sommer.

 
In bislang keinem Fall erlaubte es irgendeine Software, dass man von weit entfernt auf den Schrittmacher zugreift, um Veränderungen der Programmierung vorzunehmen. PD Dr. Philipp Sommer
 

FDA: Neue Software verfügt über Autorisierungs-Tool

Für die FDA war jedoch die theoretische Möglichkeit Anlass genug zur Warnung. Es sei ja möglich, dass nicht-autorisierte Personen auf die Abbott-Geräte zugriffen und den Patienten schädigten, indem sie etwa eine Batterieentladung herbeiführten, so die FDA-Argumentation. In der neuen Software sei nun ein Korrektiv, eine Art Sperre, eingebaut, die eine Autorisierung erfordere, teilen die US-Behörde und auch Abbott in einer Pressemitteilung mit. Eine Übersetzung der Herstellerinformation von Abbott findet sich auf den Seiten des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).

Sommer warnt generell vor einer Diskreditierung der Home-Monitoring-Geräte, die ein großer Fortschritt seien. Mit der Telemetrie lasse sich der Patient engmaschiger kontrollieren.

In der Regel werden die Daten solcher Geräte nachts über das Handynetz des Patienten als verschlüsselte Nachricht an den Server des Herstellers verschickt und von dort an die behandelnde Klinik. Ein Statusbericht über den Patienten wird dann der entsprechenden Klinik als PDF zur Verfügung gestellt. „Dieses PDF umfasst zum Beispiel Angaben, ob die Batterie ausreichend geladen ist oder ob die Elektroden des Schrittmachers akkurat funktionieren. Auch diagnostische Informationen, die der Schrittmacher im Laufe eines Tages anhäuft, werden dann übermittelt, z.B. Angaben über die Patientenaktivität, Herzfrequenz-Spektrum, Auftreten von Rhythmusstörungen oder eine beginnende Wasserüberladung der Lunge“, erläutert der Kardiologe. 

Schwerwiegende technische Probleme wie eine Entladung der Batterie oder der Bruch einer Elektrode lassen sich so zeitnah detektieren. Dabei wird in der Datenauswertung mit einem automatisierten Ampelsystem gearbeitet: „Wenn die Ampel auf Rot steht, dann ist ein massives Problem gefunden worden. In diesem Fall kann sich der Arzt mit dem Patienten in Verbindung setzen und das Problem zeitnah lösen – und nicht erst bei der routinemäßigen Nachsorge in der Klinik nach 6 Monaten“, erklärt der Oberarzt. Gerade bei schwer herzkranken Patienten, etwa mit einem Defibrillator, lassen sich so z.B. Rhythmusstörungen oder auch Überwässerungen zeitnah erkennen.

Vorteile des Home-Monitorings

Die 2014 im Lancet publizierte IN-Time-Studie des Herzzentrums Leipzig zeigte die Vorteile von Home-Monitoring bei Herzschrittmachern. 664 Patienten wurden beobachtet. Eine Gruppe erhielt die engmaschige telemedizinische Nachsorge und die andere Gruppe die konventionelle Nachsorge.

Durch das Home-Monitoring seien die Patienten weniger unnötigen Schocks bei Elektrodenbruch oder harmlosen Rhythmusstörungen ausgesetzt worden, sagt Sommer. Auch das Überleben sei eher gewährleistet: Während in der Gruppe ohne Home-Monitoring 24 Personen im Untersuchungszeitraum starben, gab es in der Gruppe mit telemedizinischer Überwachung 11 Todesfälle.

 
Wenn ich selbst einen Herzschrittmacher benötigte, würde ich mir ein Telemetrie-fähiges Gerät besorgen. PD Dr. Philipp Sommer
 

Empfehlungen zum Software-Update

Die FDA empfiehlt nun den Ärzten, Nutzen und Risiken bezüglich der Cybersecurity mit ihren Patienten beim nächsten geplanten Termin zu besprechen. Die Kommunikation solle aufgrund der erwiesenen Vorteile des Home-Monitorings auf keinen Fall beendet werden. Mit der neuen Software werde auch ein zweites Problem gelöst und der Batterie-Leistungsalarm verbessert.

Auch die Autoren im Journal of American College of Cardiology empfehlen den Kollegen, mit ihren Patienten die Möglichkeit eines Software-Updates zu diskutieren. Risiken von Fehlfunktionen beim Aufspielen der neuen Software beziffern die Autoren und auch die Firma Abbott in einer eigenen Pressemitteilung als gering:

  • vollständiger Verlust der Gerätefunktion: 0,003%,

  • Verlust der aktuell programmierten Geräteeinstellungen: 0,023% und

  • erneutes Laden der vorherigen Software wegen Unvollständigkeit des Updates: 0,161%.

Sommer sagt: „Wenn ich selbst einen Herzschrittmacher benötigte, würde ich mir ein Telemetrie-fähiges Gerät besorgen. Mit der vermeintlichen Sicherheitslücke im Bereich der Datensicherheit könnte ich leben. Die beschriebenen Risiken durch Cyberangriffe sind doch eher theoretischer Natur. Ich würde eher nach dem Motto vorgehen: ‚Never change a running system!‘“

Die Situation in Deutschland

In Deutschland und Europa werden medizinische Geräte etwa durch den TÜV oder die Dekra zertifiziert. Es liege in der Verantwortung der Hersteller, sichere Produkte auf den Markt zu bringen, betont das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) gegenüber Medscape. Erst wenn jemand ernsthaft geschädigt worden sei, schalte sich die Behörde ein und leite eine Risikobewertung ein. Da kein Fall eines Geschädigten bekannt sei, müsse die deutsche Behörde nicht aktiv werden.

Zum Thema „Cybersicherheit bei Medizinprodukten“ organisiert das BfArM am 25. Juni 2018 eine Veranstaltung in Bonn, die sich vor allem an Ärzte, Kliniken und Hersteller richtet.

 

Kommentar

3090D553-9492-4563-8681-AD288FA52ACE
Wir bitten darum, Diskussionen höflich und sachlich zu halten. Beiträge werden vor der Veröffentlichung nicht überprüft, jedoch werden Kommentare, die unsere Community-Regeln verletzen, gelöscht.

wird bearbeitet....