Wer hat meinen Schrittmacher gehackt?

 

 Artikel einzeln kaufen Lizenzen und Reprints

Die (bisher theoretische) Frage, ob dies möglich ist, wird seit etwa einem Jahr in Fachmedien und in der Laienpresse diskutiert. Um die Problematik zu verstehen, muss man sie im größeren Kontext der Digitalisierung der Medizin sehen. Über diese allerdings muss man nicht mehr diskutieren, sie ist Alltag. Elektronische Patientenakte, digitalisierte Befunde, Visite und Aufklärung der Patienten mit Mini-iPad sind heute in vielen Kliniken schon klinischer Alltag und bedeuten in vielen Fällen Erleichterungen gegenüber den schriftlichen Prozessen in der Vergangenheit.

Mit der Verbreitung der Digitalisierung in der Medizin sind erwartungsgemäß leider auch die Probleme aufgetaucht, die seit Jahren in anderen Bereichen bekannt und gefürchtet sind: der unerlaubte Zugriff auf die Daten. Industriebetriebe, öffentlicher Nahverkehr, Behörden, Banken, Regierungsbereiche (Bundestag) waren schon Ziele von Hackerangriffen. Die eingeschleusten Viren können in der Regel unschädlich gemacht werden, der zeitliche und/ oder finanzielle Aufwand ist dabei teilweise beträchtlich.

Krankenhäuser sind relativ neue Ziele. Aus den vorliegenden Berichten lassen sich 2 Muster erkennen: Einmal Zugriff auf Daten und damit verbunden Erpressungen, zum zweiten Zugriff auf und Manipulation von medizinischen Geräten. Beim heutigen Stand der Technik ist ein Krankenhaus nur noch sehr eingeschränkt funktionsfähig, wenn die IT-Systeme nicht mehr funktionieren. Der Schaden entsteht im typischen Fall durch eine E-Mail mit einer infizierten Software. Nach dem Öffnen wird das System durch das Virus infiziert, die Daten werden verschlüsselt. Erst nach Zahlung eines Lösegelds werden die Daten entschlüsselt. In einem weit publizierten Fall wurde durch Ransomware (Ransom = Lösegeld) das IT-System eines Krankenhauses infiziert. Um weiteren Schaden zu verhüten, wurde das gesamte IT-System abgeschaltet.

Der Betrieb wurde mit Bordmitteln aufrechterhalten. Mithilfe auswärtiger Spezialisten und einer Million Euro Kosten konnte die Verwaltung das Problem nach 4 Tagen lösen, ein Lösegeld wurde nicht bezahlt. Derartige Angriffe häufen sich in letzter Zeit.

Neben der Blockade der Systeme ist auch ein Diebstahl und Verkauf von medizinischen Daten vorstellbar. Angeblich sollen heute schon Prominente, oder solche, die sich dafür halten, Kliniken unter falschen Namen aufsuchen, um der Gefahr des Zugriffs auf ihre Daten zu entgehen.

Relativ neu ist der Zugriff auf medizinische Geräte. Hier erregte die Aktion der Firma Johnson und Johnson großes Aufsehen, die im vergangen Jahr den Trägern von 114 000 Insulinpumpen mitteilte, dass ihre Geräte von außen manipuliert werden könnten obwohl die Pumpe nicht mit dem Internet verbunden ist. Trotzdem kann die Steuerung von außen manipuliert werden. Die Entdeckung machte ein IT-Ingenieur, der als Typ-1-Diabetiker Träger einer solchen Pumpe ist. Die potenziell tödlich verlaufenden Komplikationen einer Manipulation der Insulinzufuhr sind leicht auszumalen. Die Herstellerfirma teilte allen Trägern mit, wie Eingriffe vermieden werden können. Auch andere medizinische Geräte sind der Manipulation zugänglich. Mitte letzten Jahres wurde der Hersteller von Schrittmachern, die Firma St. Jude Medical, wegen angeblicher Sicherheitslücken bei der Fernwartung ihrer Geräte angegriffen. Auch dem Laien verständlich sind die Gefahren, die drohen, wenn Eingriffe an Herzschrittmachern oder Defibrillatoren erfolgen.

Auf einem deutschen Kongress wurde vor kurzem von einem unerlaubten Zugang zu einem Bestrahlungsgerät berichtet. Auch hier sind die möglichen Folgen von unerlaubten Eingriffen ernsthafter Natur.

Diese bedrohlichen Entwicklungen sind nachvollziehbar, da medizinische Geräte besonders anfällig sind. Viele dieser Geräte sind über Jahrzehnte im Einsatz, sie sind so komplex und häufig auch so teuer, dass sie, anders als ein mobiles Telefon, nur in größeren Abständen ausgewechselt werden. Abwehr von Eingriffe von außen war hier bis vor kurzem kein Thema, interne Sicherheitsmaßnahmen sind daher oft nicht oder nicht ausreichend berücksichtigt.

Was sind die Konsequenzen? Primär sind hier die Gerätehersteller gefordert. Durch die zunehmende Komplexität der Geräte sind hier Risiken entstanden, die vor allem bei der langen Entwicklungszeit der Systeme nicht vorauszusehen waren.

Die zweite Schwachstelle ist die Sicherheit im IT-System der Kliniken. Hier herrscht an vielen Orten noch deutlicher Nachholbedarf. Bei den immensen Summen, die für den Unterhalt der Kliniken und den medizinischen Bedarf aufgebracht werden müssen, hat die IT-Seite nicht immer die nötige Priorität. Hier sind vor allem die Länder gefordert, die für Investitionen zuständig sind.

Die Digitalisierung ist nicht aufzuhalten. Ihre Vorteile überwiegen bei weitem ihre Nachteile. Mit dem Fortschritt nehmen wir auch die Nachteile und Gefahren in Kauf. Wie auf vielen anderen Gebieten gibt es auch hier einen Wettlauf zwischen Sicherheitsmaßnahmen und der Möglichkeit eines, teilweise sogar kriminellen, Eingriffs von außen. Eine absolute Sicherheit wird es leider nie geben.