Tausende Patienten mit Herzschrittmachern müssen zum Update, weil die Geräte gehackt werden könnten. Auch Österreich ist betroffen.
Wien. Die amerikanische Regulierungsbehörde FDA (Food And Drug Administration) hat den Ruf, eher streng zu sein, wenn es um die Zulassung von medizinischen Geräten geht. Diesen Dienstag gab die US-Behörde nun bekannt, dass eine halbe Million Patienten ein Update bei ihrem Herzschrittmacher machen lassen sollen. Es bestehe die Gefahr, dass der Herzschrittmacher von Hacker manipuliert werden könne. Konkret handelt es sich um Geräte der Firma St. Jude Medical, die mittlerweile unter Abbott firmiert. Schon davor hatten Sicherheitsexperten immer wieder bewiesen, dass man Herzschrittmacher mit einfachem Equipment manipuliert kann.
Die Situation in den USA klingt weit weg. Doch auch Österreicher sind betroffen, wie die Medizinmarktaufsicht der Ages der „Presse“ bestätigt. „Die betroffenen Ärzte und Kliniken sind aufgefordert, die Patienten zu informieren. Die Anzahl der betroffenen Patienten ist uns noch nicht bekannt“, so Reinhard Berger von der Ages. Es seien aber nicht alle Herzschrittmacher der Firma betroffen, sondern nur jene mit Radiofrequenzfunktion, die mit Funk über kurze Strecken kommunizieren können.
Die Firma Abbott versendete bereits an betroffene österreichische Ärzte und Krankenhäuser, die mit ihren Produkten arbeiten, einen Brief, in dem sie über das Sicherheitsupdate informieren. „Neben dem Firmeware-Update enthält dieses Update eine Software-Version [. . .], die eine Datenverschlüsselung, Betriebssystempatches und Deaktivierung von Netzwerkkonnektivitätsfunktionen beinhaltet“, heißt es in dem Schreiben, das der „Presse“ vorliegt. Und weiters: „Ein prophylaktischer Austausch betroffener Geräte wird nicht empfohlen.“
In der Innsbrucker Universitätsklinik gibt es rund hundert Patienten, die so einen Herzschrittmacher haben, schätzt Markus Stühlinger, Leiter der kardiologischen Ambulanz der Uni-Klinik Innsbruck, der ebenfalls über die Sache informiert worden ist. Er rät aber dazu, nicht in Panik zu geraten. „Es gibt noch keinen einzigen Fall, bei dem ein Schrittmacher gehackt worden ist“, sagt er. Bei dem Update handle es sich um eine Vorsichtsmaßnahme. Nachsatz: Grundsätzlich sei das Hacken „aber natürlich möglich“.
Es ist ein Thema, das Sicherheitsexperten seit Jahren beschäftigt. Wie sinnvoll, aber auch wie gefährlich ist die neue Technologie für den Menschen? Grundsätzlich, sagt Stühlinger, seien Herzschrittmacher mit Radiofrequenzfunktion entwickelt worden, um weniger Risiko für den Menschen darzustellen. Durch die Schnittstelle können Herzschrittmacher leichter eingestellt, aber auch Daten abgelesen werden. Weiters muss bei einer Operation mit weniger Geräten am Menschen hantiert werden – was das Risiko einer Infektion mit Keimen reduziert. Doch jeder Vorteil hat einen Nachteil.
Unter Sicherheitsleuten ist der Hacker Jack Barnaby längst ein Begriff, er hat öffentlich bei Konferenzen bewiesen, wie man Herzschrittmacher und Insulinpumpen hacken kann. Der Hacker ist mittlerweile verstorben – um seinen Tod ranken sich Spekulationen.
„Technisch kann ich im Labor fast alles nachstellen, aber in der freien Wildbahn nicht. Uns ist nicht bekannt, dass es Probleme deswegen gegeben hätte“, betont man bei der Ages. Berger rät betroffenen Menschen, sich bei ihrem Arzt zu melden. Dann werde die neue Firmware (das Update dauert rund 15 Minuten) eingespielt. Wobei es noch ein paar Tage für die Freigabe dauern kann. Denn zuerst müsse die Software vom TÜV geprüft werden. Grundsätzlich, sagt Berger, sei das Sicherheitsrisiko derzeit nicht hoch. Sollten aber mehr medizinische Geräte über das Smartphone gesteuert werden, habe man in Zukunft ein höheres Gefährdungspotenzial.