Sicherheitslücke im Herzschrittmacher

Felix Knoke
St. Jude Updates Pacemakers, Defibrillators to Prevent Hacks


Hinweis: Ich hab es jetzt so oft in anderen Berichten gelesen, dass es gesondert gesagt werden muss: Herzschrittmacher und ähnliche medizinische Geräte lassen sich nicht so einfach abschalten oder lahmlegen. Bemerken die Geräte eine Störung, schalten sie in einen robusten Notfallmodus mit niedriger Herzfrequenz.


Die amerikanische Lebensmittel- und Gesundheitsbehörde FDA hat eine Rückrufaktion für mehrere Herzschrittmachermodelle der Firma Abbott (früher St. Jude Medical) veranlasst. Unbefugte könnten über eine Funkverbindung mit dem eingebetteten Betriebssystem der Herzschrittmacher Kontakt aufnehmen und dessen Einstellungen ändern. Damit könnte zum Beispiel die Batterielaufzeit herabgesetzt oder falsche Schrittmacher-Werte eingegeben werden. Wer eines der folgenden Geräte im Brustkorb hat, sollte schleunigst zum Firmware-Update in sein Krankenhaus kommen.

Die Prozedur benötigt keinen Eingriff und ist in drei Minuten erledigt. Interessant ist aber, was die FDA dazu noch schreibt: Während des Updates wird der Herzschrittmacher in einen Backup-Modus versetzt, der das Herz mit 67 Schlägen pro Minuten antreibt. "Essenzielle, lebenserhaltene Funktionen bleiben erhalten."

Natürlich könnte das Firmware-Upgrade schief gehen: In 0,161 Prozent aller bisherigen Fälle musste wieder eine Vorgänger durch einen inkompletten Update-Vorgang eingespielt werden, in 0,023 Prozent kam es zum Verlust von Programmeinstellungen und in 0,003 Prozent aller Fälle zum kompletten Verlust der Gerätefunktionalität. Das bedeutet wohl: Aufschneiden.

Pikant: Kurz nach einem Bericht des aktivistischen Hedge-Fond Muddy Waters, bezog der Hersteller Stellung: Die Vorwürfe seien falsch und irreführend. Der Börsenkurs des Medizinunternehmens brach trotzdem um 12 Prozent ein. Im Januar 2017 wurde St. Jude Medical von Abbott aufgekauft.

Betroffen sind die Geräte

  • Accent SR RF
  • Accent MRI
  • Assurity
  • Assurity MRI
  • Accent DR RF
  • Anthem RF
  • Allure RF
  • Allure Quadra RF
  • Quadra Allure MP RF

Geräte, die nach dem 28. August 2017 hergestellt wurden, müssen nicht aktualisiert werden.

FDA, Update-Hinweis