https://www.faz.net/-gqe-8m3co

Insulin : Wenn IT-Einbrecher lebenswichtige Medizingeräte entern

Eine Insulinpumpe von Juvenile Diabetes Research Foundation und Johnson & Johnson. Bild: AP

Der Pharmakonzern Johnson & Johnson meldet eine Sicherheitslücke in vernetzten Insulinpumpen. Der Fall ist besonders spektakulär.

          2 Min.

          Das amerikanische Medizintechnikunternehmen Johnson & Johnson (J&J) hat in dieser Woche Hundertausende unangenehme Briefe verschicken müssen. In dem Schreiben, das an Ärzte und etwa 114000 Patienten in Nordamerika rausging, musste J&J einräumen, dass es eine Sicherheitslücke in einer Insulinpumpe gibt und Hacker theoretisch das Gerät fernsteuern könnten. Das kann für Diabetiker lebensgefährlich sein, wenn die Insulinzufuhr manipuliert wird, also etwa mehr Insulin durch die tragbare Pumpe ausgeschüttet wird, die über einen Katheter mit dem Körper verbunden ist.

          Jonas Jansen

          Wirtschaftskorrespondent in Düsseldorf.

          Es ist das erste Mal, dass ein Hersteller von Medizintechnik eine solche Warnung an Patienten verschickt hat. Durch die zunehmende Vernetzung technischer Geräte im Internet der Dinge, wird die Sicherheit medizinischer Geräte zunehmend diskutiert. Die norwegische Sicherheitsspezialistin Mary Mae hat Ende des vergangenen Jahres gezeigt, wie sie ihren eigenen Herzschrittmacher hacken konnte. Vor zwei Monaten sorgte eine vermeintliche Sicherheitslücke in einem Herzschrittmacher nicht nur für Aufregung, sondern auch dafür, dass der Börsenkurs des amerikanischen Medizintechnikunternehmens St. Jude Medical abstürzte.

          Der Fall von J&J ist besonders spektakulär, weil die Schwachstelle nachgewiesen und eingeräumt ist. Zwar sei die Wahrscheinlichkeit eines „unautorisierten Zugangs“ in die Insulinpumpe „OneTouch Ping“ des J&J-Tochterunternehmens Animas „extrem gering“, wie das J&J in dem Brief mitteilt, trotzdem warnt der Medizintechnikhersteller seine Kunden darin vor den Risiken und gibt Hinweise, wie Patienten sich vor den Angriffen schützen können.

          Nur erfahrene Hacker könnten die Sicherheitslücke ausnutzen, weil das Gerät nicht über das Internet verbunden ist. Der Sender kommuniziert mit der Pumpe über Radiofrequenz-Technik, bildet also eine Art eigenes Ökosystem, ein lokales Netz. Doch wie jede Technik ist auch diese angreifbar. Anders als etwa ein Smartphone oder ein Computer kann die Insulinpumpe nicht durch ein Update nachträglich geschützt werden, die betreffenden Geräte sind schon seit dem Jahr 2008 auf dem Markt. Wer sich schützen will, muss die drahtlose Kommunikation abschalten.

          Herausgefunden hat das Jay Radcliffe, selbst Diabetiker vom Typ 1 und IT-Sicherheitsexperte, der aus Neugier seine eigene Pumpe untersucht hat. Im April hat er den Fehler an J&J gemeldet und seitdem zusammen mit dem Unternehmen und seine Funde überprüft und verifiziert. Die Abstimmung mit den Herstellern sei wichtig, sagt Radcliffe im Gespräch mit dieser Zeitung: „Medizintechnik ist etwas sehr Persönliches. Unser Ziel ist, Patienten aufzuklären, welche Risiken es gibt, und Transparenz zu schaffen.“ Radcliffe weiß: Alles ist angreifbar. „Niemand kann eine Software ohne Fehler schreiben. Doch je mehr sich Medizintechnik mit Smartphones und dem Internet vernetzt, umso größer wird die Gefahr.“ Je mehr Schwachstellen heute schon gefunden würden, desto sicherer würden Produkte in Zukunft für Patienten. Der Hacker selbst hält die Gefahr durch die Sicherheitslücke für gering: „Das ist damit vergleichbar, aus Angst vor einem Absturz nie mehr in ein Flugzeug zu steigen.“ Trotzdem müssten die Patienten über Risiken aufgeklärt werden und selbst entscheiden können, welche möglichen Schwachstellen für Bequemlichkeit tolerieren würden.

          Radcliffe, der für das IT-Sicherheitsunternehmen Rapid 7 arbeitet, lobt die Kooperation von J&J. „Normalerweise versuchen Hersteller häufig, Sicherheitslücken zu vertuschen oder klagen sogar gegen jene, die sie aufdecken.“ J&J habe verstanden, dass Computer immer angreifbar seien, das sei ein gutes Zeichen für die Zukunft.

          Rapid 7 verdient freilich Geld damit, Sicherheitslücken für Unternehmen zu finden, wenngleich dieser Fall keine Auftragsarbeit war. Einige IT-Sicherheitsexperten, darunter die Herzschrittmacher-Hackerin Mae, haben sich in einem unabhängigen Kollektiv namens „I am the Cavalry“, also zu einer Kavallerie, zusammengefunden. Sie haben einen Hippokratischen Eid für vernetzte Medizintechnikgeräte entwickelt, um Unternehmen dafür zu sensibilisieren, ihre Software und Geräte ständig zu überprüfen. Denn eine Schwachstelle kann tödlich sein.

          Weitere Themen

          Die Skepsis am China-Abkommen wächst

          FAZ Plus Artikel: Wall Street : Die Skepsis am China-Abkommen wächst

          Im Handelskonflikt zwischen Amerika und China haben Börsianer wenig Hoffnung auf wirkliche Fortschritte. Der positive Auftakt der Bilanzsaison sorgt zwar für etwas Erleichterung – doch sind noch viele Fragen offen.

          Topmeldungen

          Proteste in Hongkong : China setzt auf Konfrontation

          Der Hass auf Peking hat eine radikale Eigendynamik entwickelt. In Hongkongs Jugend wächst die Sehnsucht nach einer eigenen Nation. Für alle Seiten droht ein bitteres Ende.
          Andreas Scheuer am Mittwoch in Berlin

          Verkehrsminister Scheuer : Im Porsche durch die Politik

          Verkehrsminister Andreas Scheuer hat einen Vorteil, der ihm beim Streit über die Pkw-Maut zum Nachteil gereichen könnte: eine gewisse Lockerheit.

          Interview zu Shitstorms : #HASS im Netz

          Nutzer überschwemmen seit Jahren Konzerne, Politiker und Privatpersonen mit empörten Kommentaren. Ein Wissenschaftler erklärt, ob man Shitstorms mit mittleralterlichen Prangern vergleichen kann und ob Klarnamen helfen würden.
          Der Handelsstreit zwischen den Vereinigten Staaten und China wird nach Ansicht von Fachleuten auf absehbare Zeit im Zentrum des Interesses an der Wall Street stehen.

          Wall Street : Die Skepsis am China-Abkommen wächst

          Im Handelskonflikt zwischen Amerika und China haben Börsianer wenig Hoffnung auf wirkliche Fortschritte. Der positive Auftakt der Bilanzsaison sorgt zwar für etwas Erleichterung – doch sind noch viele Fragen offen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.