Studenten hacken Implantat, Robo-Patient tot

Es war ein Sicherheitstest, der zu denken gibt. An der University of South Alabama bekam eine Gruppe von Studenten im ersten Universitätsjahr den Auftrag, in iStan einzudringen.

iStan ist ein ausgeklügelter Patientensimulator, der insbesondere in der Kardiologie-, Pneumologie- und Neurologie-Ausbildung eingesetzt wird.  

Die Studenten erhielten nun vom Leiter des Patienten-Simulationsprogramms der Universität den Auftrag, diverse Implantate zu manipulieren, die zuvor in iStan eingebaut worden waren.

Zum Beispiel einen Herzschrittmacher. Hier gelang es den Jung-Informatikern, die Frequenzen unbemerkt nach oben und nach unten zu treiben. Oder zum Beispiel einen eingebauten Defibrillator: Die Studenten konnten nach belieben Stromstösse auslösen.

«Wenn es Absicht gewesen wäre, hätten wir definitiv einen Patienten schädigen können», kommentierte Mike Jacobs, der Leiter des Versuchs, gegenüber dem Magazin «Vice».

Natürlich wecken solche Experimente die Befürchtung, dass Übeltäter quasi per Fern-Hack dereinst Morde oder gar Serienmorde begehen könnten. Tröstlich am Versuch der Südstaaten-Universität war allerdings, dass die IT-Studenten doch einige Stunden benötigten, bis sie die Geräte unter Kontrolle hatten. Normalerweise ist das angepeilte Opfer bis dahin wieder ausser Reichweite…

Dass die Medizinaltechnik zu Einfallstor für Cyber-Kriminelle werden könnte, ist bekanntlich nicht neu. Bei einem Versuch in Süddeutschland gelang es unlängst einem IT-Spezialisten, die Kontrolle über ein Narkosegerät zu erlangen und alle Funktionen zu blockieren. Etwa zeitgleich, Ende Juli, forderte die US-Überwachungsbehörde FDA alle Gesundheitsinstitutionen dazu auf, eine bestimmte Insulinpumpe nicht mehr zu verwenden – denn das Gerät könnte zu einfach aus der Ferne manipuliert werden. 

Und 2012 warnte ein Bericht für den Kongress in Washington vor den gewaltigen Sicherheitsproblemen, die implantierte Geräte mit Stromversorgung und Funkverbindung wie Herz- oder Gehirnschrittmacher, Defibrillatoren oder Insulinpumpen bieten werden.

Klar ist auf der anderen Seite aber auch: Man hat es erst mit gut gemachten und gut gemeinten Warnungen zu tun.

Konkrete Fälle, bei denen durch Fern-Kontrolle ein Patient geschädigt wurde, wurden bislang nicht bekannt. Wobei das Wissenschaftsmagazin «Telepolis» allerdings wieder eine bedenkenswerte Frage in den Raum stellte: Werden Todesfälle je daraufhin untersucht, ob ein involviertes Medzinaltechnik-Gerät gehackt wurde?