Hack-Risiko: Massenmord per Herzschrittmacher
Foto: Wikipedia.de – Forscher demonstriert Fernauslösen tödlicher Elektroschocks – Melbourne (pte014/18.10.2012/11:11) – Barnaby Jack, Sicherheitsexperte bei IOActive http://ioactive.com , hat im Rahmen der Sicherheitskonferenz Breakpoint http://ruxconbreakpoint.com einen Hack demonstriert, durch den Herzschrittmacher tödliche Elektroschocks mit 830 Volt verabreichen. Die kabellose Attacke funktioniert auf knapp zehn Meter Entfernung, doch kann sie Jack zufolge im schlimmsten Fall zum „Massenmord“ genutzt werden, berichtet das SC Magazine. Die Demonstration gießt Öl ins Feuer der Ängste, wie gefährlich medizinische Implantate für ihre Träger sein können.Gravierende Sicherheitsmängel
Für den Hack hat der Experte einen Transmitter zurückentwickelt, der der drahtlosen Kommunikation mit Herzschrittmachern dient. Dabei ist Jack auf gravierende Sicherheitsmängel gestoßen. Es gibt eine Funktion, mit der alle Herzschrittmacher sowie Cardioverter-Defibrillatoren in einem Umkreis von knapp zehn Metern aktiviert werden. Darauf übermitteln die Geräte Modell- und Seriennummer – Daten, die dem Sicherheitsspezialisten zufolge ausreichen, um sich dann bei den Implantaten zu authentifizieren.
So ist es gelungen, einen Herzschrittmacher so zu beeinflussen, dass er Elektroschocks verabreichte, die für einen realen Träger tödlich wären. Potenziell noch schlimmer ist, dass Jack beim Rückentwickeln des Transmitters auf Daten gestoßen ist, die seiner Meinung nach Benutzernamen und Passwörter für Entwicklungsserver des – aus Sicherheitsgründen bewusst nicht veröffentlichten – Herstellers sind.
Damit wäre es nach Ansicht des IOActive-Forschers möglich, eine modifizierte Firmware für die Herzschrittmacher in Umlauf zu bringen, die sich dann schnell und auch von Implantat zu Implantat ausbreiten könnte – eben mit dem „Potenzial, Massenmord zu verüben“. Mit seiner Demonstration und Warnung will der Experte Herstellern helfen, ihre Geräte sicherer zu machen und eben solche Horrorszenarien unmöglich zu machen.
Angriffe bleiben heißes Thema
Die aktuelle Demonstration ist mit Sicherheit Wind in den Segeln all jener, die aus Sicherheitsgründen mehr staatliche Kontrolle bei kabellos kommunizierenden Implantaten fordern. Eben aufgrund der potenziellen Risiken hat im April ein Beratergremium gefordert, dass die US-Regierung eine Behörde für entsprechende Kontrollen einrichtet (pressetext berichtete: http://pte.com/news/20120412002 ).
Doch bestätigt die aktuelle Demonstration auch einen Punkt, auf den insbesondere Hersteller von Herzschrittmachern stets verweisen: Die Reichweite für potenzielle Angriffe ist relativ gering – der Hacker beziehungsweise ein infiziertes Gerät müsste sich für den gezeigten Angriff wohl im gleichen Raum mit einem Ziel befinden.