Hacker als Lebensretter

Drahtlose Medizingeräte als Risiko entlarvt

Auf der Black-Hat-Konferenz in Las Vegas hat der Sicherheitsforscher Jerome Radcliffe demonstriert, wie ein Fernzugriff auf eine Insulinpumpe möglich ist. Dies wirft erneut die Frage auf, wie riskant die Verwendung per Funk kontrollierbarer medizinischer Helfer ist.

Schon 2008 war es einem Team unter dem Universitätsprofessor Kevin Fu an der Universität von Massachusetts gelungen, die interne Steuerung eines Herzschrittmachers zu beeinflussen und diesen sogar abzuschalten. Damals gelang der Zugriff über einen fehlerhaften Selbsttest-Mechanismus und Verzicht auf die Verschlüsselung zwischen dem Schrittmacher und dem Steuerungsmodul des Arztes.

Kabellose Insulinpumpen nutzen ihre Funkverbindung, um Blutzuckerwerte an einen Bildschirm weiterzugeben. Der Patient kann diesen ablesen und die Menge des zu injizierenden Insulin entsprechend anpassen. Radcliffe fand durch Reverse Engineering der Technik heraus, dass das System kaum über Schutzmechanismen verfügte.

Beim Zugriff auf seine eigene Insulinpumpe half ihm die Spezifikation des eingebauten Wireless-Chips, die er auf der Website der Federal Communications Commission (FCC) fand, da alle Hersteller ihre Designs dort zur Emissions-Prüfung einreichen müssen. So gelangte er an Informationen, die ihn die Funktionsweise des Elektronikbausteins verstehen ließen. Auch in der Patentschrift der Pumpe entdeckte er nützliche Hinweise.

Schließlich versuchte er, die Signale der Pumpe zu entschlüsseln. In seinem Fall verschickte der Chip Nachrichten in 76 Bit Länge und einer Geschwindigkeit von mehr als 8000 Bit pro Sekunde. Mit einer Radiofrequenz-Schaltplatte für zehn Dollar gelang ihm die Aufnahme, mit einem Oszilloskop analysierte er die Daten.

Zwar gelang ihm keine ausreichende Entschlüsselung, jedoch schaffte er es, das Signal zu unterbinden und den Sender aus einer Viertelmeile Entfernung (ca. 155 Meter) mit einer Flut an falschen Daten oder einer Denial-of-Service-Attacke lahmzulegen. Dadurch kann die Menge des abgegebenen Insulins willkürlich verändert werden - mit potenziell tödlichen Folgen für den Träger des Geräts.

Schließlich schrieb Radcliffe ein Scanner-Programm, mit dem er seine eigene Insulinpumpe aufspüren konnte, da diese ihr Signal ebenfalls nicht schützt. Geräte neuerer Generation verwenden den Bluetooth-Standard zur Kommunikation, doch auch diese Verbindungstechnik kann gehackt werden.

Auf die Veröffentlichung genauer Details über sein Vorgehen verzichtete Radcliffe, er will jedoch mit dem Hersteller zusammenarbeiten, um zukünftige Modelle seiner Pumpe sicherer zu machen. (pte/hal)