Es klingt wie in einem Thriller: US-Sicherheitsfachleuten ist es gelungen, die Herzschrittmacher von Patientinnen und Patienten zu manipulieren. „Damit hätten sie eine lebensbedrohliche Stimulierung des Herzens auslösen können“, so der Medizinische Dienst Bund (MD Bund). Dasselbe gelang mit Insulinpumpen, bei denen die Zugabe hätte gestoppt werden können. Eine Internetverbindung ist nötig, um die Programmierung zu ändern oder Updates aufzuspielen.

In Bayern müssten sich Patientinnen und Patienten keine Sorgen machen, schreibt das Gesundheitsministerium auf eine Anfrage von mehreren AfD-Landtagsabgeordneten. „Zum jetzigen Zeitpunkt ist im Zuständigkeitsbereich der bayerischen Aufsichtsbehörden für deren Hersteller und Bevollmächtigte kein Fall bekannt.“ Für die Sicherheit von Produkten seien die Hersteller verantwortlich. Entsprechend liegen der Staatsregierung auch keine Infos zu Notfallplänen bei Cyberangriffen vor. 

Außerhalb Deutschlands ist es aber schon zu Cyberangriffen auf Medizinprodukte gekommen – wenn auch unbeabsichtigt. Der „WannaCry“-Computervirus wollte 2017 eigentlich weltweit Daten verschlüsseln, damit für die Freigabe Lösegeld verlangt werden kann. In britischen Krankenhäusern befiel er aber auch die Herzmonitore von Säuglingen, sodass deren Überwachungsfunktion nicht mehr gewährleistet war. Daraufhin hat das Bundesamt für Sicherheit in der Informationstechnik 2018 die Empfehlung „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ veröffentlicht. 

Hersteller von Medizinprodukten sind laut bayerischem Gesundheitsministerium verpflichtet, neue Risiken zu ermitteln, diese zu bewerten und entsprechende Maßnahmen einzuleiten. „Die Verfahren der zuvor genannten Überwachungstätigkeiten des Herstellers werden im Rahmen der Herstellerüberwachung durch die Aufsichtsbehörden der Länder geprüft“, so das Ministerium. Schwerwiegende Vorkommnisse müssten gemäß EU-Verordnung an das Bundesinstitut für Arzneimittel und Medizinprodukte gemeldet werden.

Für neuere Modelle können bei Lücken Sicherheitspatches bereitgestellt werden, für ältere nicht

Wer dort online nachschaut, findet eine ganze Reihe von Meldungen – die letzte von Ende Februar. Darin meldet das Unternehmen Contec Medical Systems, dass „die Software des Patientenmonitors eine Hintertür enthält, die dazu führen kann, dass das Gerät oder das Netzwerk, an das das Gerät angeschlossen ist, kompromittiert wurde oder werden könnte“. Immerhin: Cybersecurity-Vorfälle, Verletzungen oder Todesfälle seien nicht bekannt. Im Schnitt wird alle zwei Monate eine neue Sicherheitswarnung veröffentlicht. 

Das größte Problem aber ist, dass Unternehmen nur so lange Updates zur Verfügung stellen, wie sie existieren. Wird eine Firma liquidiert, war’s das. Manche Menschen müssen ihr ganzes Leben einen Herzschrittmacher tragen, das Risiko ist also hoch. Hinzu kommt die technische Entwicklung: Für neuere Modelle können bei Lücken Sicherheitspatches bereitgestellt werden. „Für ältere Modelle“, schreibt der MD Bund, „war dies aus technischen Gründen nicht möglich.“ (David Lohmann)