Wie real ist die Gefahr von Hacker-Angriffen auf Herzschrittmacher?

Der ehemalige US-Vizepräsident Dick Cheney hatte Angst vor möglichen Hacker-Angriffen auf seinen Herzschrittmacher. Er ließ daher die Fernsteuerungsfunktion des Geräts vorsorglich abschalten. Sind solche Sorgen berechtigt? Wäre ein Mord durch Deaktivierung eines Schrittmachers oder durch einen ausgelösten Schock eines implantierten Defibrillators (ICD) möglich?

"Theoretisch ja", sagt ein von der "American College of Cardiology" (ACC) einberufener Expertenrat. Das Gremium stuft die reale Bedrohung für Patienten aber aktuell als ziemlich gering ein. Es sei unwahrscheinlich, dass eine einzelne Person sich erfolgreich in ein solches Gerät einhackt und dem Patienten damit Schaden zufügt, stellen die Autoren um Professor Adrian Baranchuk von der Queen's University in Kingston in der kanadischen Provinz Ontario in einem Report klar. "Bis jetzt hat es noch keinen Fallbericht eines böswilligen oder versehentlichen Hacker- oder Malware-Angriffs auf ein implantierbares elektronisches kardiales Gerät gegeben", betont Baranchuk (Journal of the American College of Cardiology 71: 1284).

Medien-Berichte über Sicherheitslücken

Allerdings hatte 2016 in den USA ein Bericht für Aufregung gesorgt. Darin wurde über mögliche Sicherheitslücken in einem von St. Jude Medical (mittlerweile Abbott) vertriebenen Schrittmacher mit dem Remote-Monitoring-System Merlin@home berichtet. So lasse sich zum Beispiel durch Zugriffe von Außen die Schrittmacherfrequenz manipulieren oder ein rapides Entladen der Batterie herbeiführen. Die Umstände waren allerdings dubios: Angeblich festgestellt hatten die Schwachstellen Security-Forscher des Unternehmens MedSec. Dieses wandte sich dann aber nicht an den Hersteller, sondern an den Hedgefonds Muddy Waters Research, der den Bericht lancierte, berichtet Dr. Benjamin Ransford vom Unternehmen Virta Laboratories in Ann Arbor (US-Staat Michigan) (Pacing Clin Electrophysiol. 2017; 40: 913).

Der Computerspezialist konnte anschließend die angeblichen Risiken in einer eigens durchgeführten Untersuchung nicht bestätigen. Dem Hedgefonds wurde deshalb vorgeworfen, mit der Warnung einen Kursverfall der Aktien des Herstellers provozieren zu wollte, um daraus Profit zu schlagen. St. Jude hatte daraufhin Klage eingereicht.

Theoretisch möglich…

Fast jede Software hat Sicherheitsschwächen, also auch solche von Medizingeräten, schreibt allerdings Ransford in seinem Bericht. Baranchuk und Kollegen betonen: Über Wireless-Verbindungen von Schrittmachern und ICD könnten Hacker auf die Systeme zugreifen und dadurch etwa ein "Oversensing" (Wahrnehmung von Störimpulsen) in den Geräten provozieren. Lebensbedrohliche Schocks könnten so ausgelöst werden. Wenn aber eine Reprogrammierung vorgenommen werde, könne es sein, dass ein Gerät auf lebensbedrohliche ventrikuläre Tachykardien nicht mehr reagiere.

Solche Hacker-Angriffe auf Medizingeräte sind möglich. Bei Insulinpumpen mit Fernbedienung sind sie beispielsweise schon demonstriert worden, berichtete bereits 2016 die "Frankfurter Allgemeine Zeitung".

…aber unwahrscheinlich

Das Expertengremium hält es daher für angebracht, im Zuge einer Marktüberwachung intensiv nach potenziellen Schwachstellen bei der Sicherheit von Medizingeräten zu fahnden. Sind theoretische oder evidente Sicherheitslücken bekannt, könne es sinnvoll sein, ein Firmware-Update vorzunehmen. Mit der Bereitstellung eines solchen Updates hatte auch das Unternehmen St. Jude auf die geäußerten Sicherheitsbedenken bei ihrem Merlin-System reagiert.

Ärzte sollten über die potenzielle Bedrohung der Cyberkriminalität informiert sein, wenn sie Patienten mit Geräten betreuen, die über eine Fernsteuerung kontrolliert werden. Von der Nutzung solcher Funktionen abzuraten sehen die Experten aber kritisch, da die Fernüberwachung für Patienten eindeutige Vorteile bringe. Sie sehen momentan auch keine Veranlassung, entsprechende Geräte auszutauschen oder verstärkt zu überwachen. (Mitarbeit: eis)

Mehr Informationen zur Kardiologie unter

www.springermedizin.de