Hack-Risiko: "Massenmord" per Herzschrittmacher
Archivmeldung vom 19.10.2012
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 19.10.2012 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittBarnaby Jack, Sicherheitsexperte bei IOActive, hat im Rahmen der Sicherheitskonferenz Breakpoint http://ruxconbreakpoint.com einen Hack demonstriert, durch den Herzschrittmacher tödliche Elektroschocks mit 830 Volt verabreichen. Die kabellose Attacke funktioniert auf knapp zehn Meter Entfernung, doch kann sie Jack zufolge im schlimmsten Fall zum "Massenmord" genutzt werden, berichtet das SC Magazine. Die Demonstration gießt Öl ins Feuer der Ängste, wie gefährlich medizinische Implantate für ihre Träger sein können.
Für den Hack hat der Experte einen Transmitter zurückentwickelt, der der drahtlosen Kommunikation mit Herzschrittmachern dient. Dabei ist Jack auf gravierende Sicherheitsmängel gestoßen. Es gibt eine Funktion, mit der alle Herzschrittmacher sowie Cardioverter-Defibrillatoren in einem Umkreis von knapp zehn Metern aktiviert werden. Darauf übermitteln die Geräte Modell- und Seriennummer - Daten, die dem Sicherheitsspezialisten zufolge ausreichen, um sich dann bei den Implantaten zu authentifizieren.
So ist es gelungen, einen Herzschrittmacher so zu beeinflussen, dass er Elektroschocks verabreichte, die für einen realen Träger tödlich wären. Potenziell noch schlimmer ist, dass Jack beim Rückentwickeln des Transmitters auf Daten gestoßen ist, die seiner Meinung nach Benutzernamen und Passwörter für Entwicklungsserver des - aus Sicherheitsgründen bewusst nicht veröffentlichten - Herstellers sind.
Damit wäre es nach Ansicht des IOActive-Forschers möglich, eine modifizierte Firmware für die Herzschrittmacher in Umlauf zu bringen, die sich dann schnell und auch von Implantat zu Implantat ausbreiten könnte - eben mit dem "Potenzial, Massenmord zu verüben". Mit seiner Demonstration und Warnung will der Experte Herstellern helfen, ihre Geräte sicherer zu machen und eben solche Horrorszenarien unmöglich zu machen.
Angriffe bleiben heißes Thema
Die aktuelle Demonstration ist mit Sicherheit Wind in den Segeln all jener, die aus Sicherheitsgründen mehr staatliche Kontrolle bei kabellos kommunizierenden Implantaten fordern. Eben aufgrund der potenziellen Risiken hat im April ein Beratergremium gefordert, dass die US-Regierung eine Behörde für entsprechende Kontrollen einrichtet.
Doch bestätigt die aktuelle Demonstration auch einen Punkt, auf den insbesondere Hersteller von Herzschrittmachern stets verweisen: Die Reichweite für potenzielle Angriffe ist relativ gering - der Hacker beziehungsweise ein infiziertes Gerät müsste sich für den gezeigten Angriff wohl im gleichen Raum mit einem Ziel befinden.
Quelle: www.pressetext.com/Thomas Pichler