von Robert Klatt •
Zwei Sicherheitslücken ermöglichen es Hackern die Implantate unbemerkt vom Träger zu deaktivieren und ihn somit zu töten.
Laut einer Untersuchung der Cybersecurity and Infrastructure Security Agency (CISA) weisen Defibrillator-Implantate des Unternehmens Medtronic kritische Sicherheitslücken auf, die es einem Hacker ermöglichen die lebensrettenden Geräte zu deaktivieren. Die Sicherheitslücken CVE-2019-6538 und CVE-2019-6540 könnten somit im Ernstfall dazu genutzt werden, eine Person zu töten, in dem das im Körper vorhandene Implantat vom Träger unbemerkt ausgeschaltet wird.
Medtronic hat als Reaktion mitgeteilt, dass bisher keine Angriffe bekannt sind, die die zwei entdeckten Sicherheitslücken ausnutzen. Laut dem Hersteller sind die Voraussetzungen für einen erfolgreichen Angriff außerdem technisch komplex, so dass dieser vermutlich in der Praxis nicht erfolgen wird.
Betroffen von den Sicherheitslücken sind folgende Produkte von Medtronic:
Kommunikation ohne Authentifikation und Verschlüsselung
Zur Ausnutzung der Sicherheitslücke muss sich ein Angreifer lediglich in der Funkreiche eines Patienten befinden, der eines der Implantate besitzt. Da die Kommunikation unverschlüsselt abläuft und eine Anmeldung nicht notwendig ist, können böswillige Hacker eigene Befehle im Implantat ausführen und dieses so beispielsweise deaktivieren.
Medtronic sieht diese Sicherheitslücke laut ihrer Stellungnahme als weniger kritisch an, da die Funkverbindung nicht dauerhaft bestehen soll, sondern nur dann aktiv ist wenn der Patient zur Prüfung des Implantats bei seinem Arzt ist oder eine Abgleichung mit dem Überwachungsmonitor zuhause durchgeführt wird.
Ein entsprechendes Update gibt es bisher nicht, Medtronic empfiehlt stattdessen den Nutzern besonders vorsichtig dabei zu seien, wenn sie ihr Implantat mit einem externen Gerät verbinden und Kontakt zu ihrem Arzt aufzunehmen.
Medtronic ist bereits im August 2018 durch manipulierbare Herzschrittmacher aufgefallen, die das Leben der Nutzer gefährdet haben.