Medizintechnik Nächtliches Desaster

Illustration: Stefan Dimitrov

In der Medizintechnik hinkt die Sicherheit dem Stand der Technik hinterher - wenn sich der Prakti nachts ins Netz einklinkt, droht Gefahr.

Von Hakan Tanriverdi

Wenn Florian Grunow anfängt zu erzählen, fallen einem sofort Agenten-Geschichten ein. Grunow arbeitet als IT-Sicherheitsforscher bei der Firma ERNW in Heidelberg, er interessiert sich für die Geräte, die in Krankenhäusern stehen: Magnetresonanztomografen, Patientenmonitore und Spritzenpumpen. Also ging Grunow eine Kooperation mit dem örtlichen Krankenhaus ein. Sie stellten ihm die Geräte zur Verfügung, er nahm ihre Software mit seinem Computer auseinander.

Spritzenpumpen werden zum Beispiel in der Schmerztherapie benutzt, Patienten bekommen Medikamente intravenös. "Die Pumpe hat eine Pin, die man eingeben muss, um die Dosis ändern zu können", sagt Grunow, und man weiß schon, wie dieser Satz enden wird. Wenn die Pumpe an das Krankenhaus-Netzwerk angeschlossen war, konnte Grunow die Pin auslesen. "Das taugt natürlich für eine Geheimagenten-Geschichte", sagt Grunow. Ein Angreifer, der ins Krankenhaus kommt, sich ins Netz einklinkt und die Dosis des Opfers so verändert, das es stirbt. Grunow ist überzeugt, dass diese Angriffe auch aus der Ferne möglich gewesen wären. "Aber das Krankenhaus wollte das System am nächsten Tag wieder einsetzen, also mussten wir uns zurückhalten."

Mittlerweile haben mehrere Forscher medizinische Geräte technisch angegriffen. Ein Mitarbeiter der Firma McAfee konnte nach eigenen Angaben seine Umgebung nach einem Herzschrittmacher scannen - und dessen Stromkreis kurzschließen. Auch das: Stoff für Agententhriller. In der US-Erfolgsserie "Homeland" bringen Terroristen den Vizepräsidenten auf diese Art und Weise um.

"Für normale Bürger sind diese Angriffe natürlich eher unwahrscheinlich", wie Grunow sagt. Die Gefahr liege eher darin, dass Systeme, die in Krankenhäusern eingesetzt werden, teilweise bereits bei banalen Anfragen nicht mehr funktionierten. Ein Beispiel: Es ist einfach, sich in Netzwerken "umzuschauen". Dazu gehöre es, Daten an fremde Geräte im selben Netz zu schicken. Sind es die falschen Daten, kann also ein Gerät mit der Anfrage nichts anfangen, gibt es zwei Möglichkeiten: Die Anfrage wird ignoriert - oder aber das Gerät in die Knie gezwungen. Grunow sei es gelungen, Patientenmonitore auf diese Art und Weise außer Gefecht zu setzen: "Die fuhren herunter - aber nicht mehr hoch." Daher sieht er in diesem unfreiwilligen Übergriff die tatsächliche Gefahr: "Wenn sich jemand in diesem Krankenhaus langweilt und während eines Nachtdienstes seinen Laptop anschließt, um sich umzuschauen, dann kann das im Zweifel ausreichen", so Grunow. Während einer Operation plötzlich keinen Monitor mehr zu haben, wäre ein Desaster für den Arzt.

Die Hersteller der Geräte konfrontierte der Forscher mit seinen Ergebnissen. Die Reaktion war deutlich: "Die waren sich des Problems bewusst und haben mir gesagt, dass da noch Schlimmeres möglich sei." Was genau, das sagten sie nicht. Grunow sieht die Hersteller in der Pflicht, ihre Geräte besser abzusichern: "Das sind Fehler, wie wir sie vor 20 Jahren hatten. Die Lernkurve ist nicht da. Die Hersteller lernen nicht von anderen Technikbereichen."