Skandal oder Spekulation? Herzschrittmacher sollen gehackt worden sein

Die Geräte seien schlechterdings «tickende Zeitbomben»: Dies behauptet das IT-Unternehmen Medsec in einem gut 30-seitigen Bericht zur Sicherheit von Herzschrittmachern und anderen Geräten des Herstellers St. Jude Medical. Man habe reihenweise Hack-Attacken auf das «Ökosystem» der St.Jude-Herzschrittmacher geprobt – und es sei klar, dass die Geräte auf mehrerlei Weise manipuliert werden können.

Herzschrittmacher lassen sich hacken? Gewiss, wir müssen uns an die Idee gewöhnen. Unter Experten ist klar: Mit der Vernetzung der Medtech-Geräte steigt die Gefahr, dass Eindringlinge das System von aussen sabotieren können. Vor einem Jahr verfügte die US-Überwachungsbehörde FDA den Verkaufsstopp für eine Insulinpumpe, weil diese gehackt werden kann. Im September meldeten Studenten, dass es ihnen in einem Test gelungen war, Schrittmacher und Defibrillatoren lahmzulegen. Und etwa zeitgleich konnte ein IT-Experte in Süddeutschland Narkosegeräte in Spitälern kapern – Gottseidank nur im Rahmen eines Sicherheitstests. 

Die Meldung über den Schrittmacher-Hack bei St. Jude Medical ist also nicht mehr ganz überraschend. An der New Yorker Börse wurden die Aktien des Konzerns – einem Medtech-Riesen mit 18'000 Mitarbeitern und Niederlassung auch in der Schweiz – am Freitag prompt vom Handel ausgesetzt.

Das Spezielle an der Sache war nämlich auch, wie hier Fragen der Patientensicherheit und Fragen der Aktienspekulation zusammengeraten sind.

Denn Medsec, eine erst vor 18 Monaten gegründete IT-Sicherheits-Firma, wandte sich mit ihren Bedenken nicht etwa an den betroffenen Hersteller, auch nicht an die Überwachungsbehörde FDA. Sondern sie verkaufte ihre Informationen an ein Unternehmen namens Muddy Waters Research. Dieses ist durchaus bekannt in Finanzkreisen: Es hat hat sich auf so genannte Short-Positionen spezialisiert.

Das heisst: Es spekuliert auf Firmen, deren Aktienkurse demnächst fallen dürften.

Muddy Waters kaufte den Bericht von Medsec – und veröffentlichte ihn nun, begleitet von grossem Medien-Tamtam. Und gefolgt von sinkenden Aktienkursen…

Das Aufspüren heikler Punkte zur Steuerung des Aktienwerts: Wenn sich diese Methode durchsetzt, könnte sie reihenweise für interessante Fälle sorgen – gerade im Gesundheitswesen, das so anfällig ist für Schadenersatzklagen.

Der Deal zwischen Medsec und Muddy Waters sieht vor – so meldet es der Börsenbrief Investopedia –, dass die IT-Firma nicht nur für ihre Studien bezahlt wird, sondern auch einen Teil der Gewinne erhält, welche Short Seller Muddy Waters dank diesen Erkenntnissen erzielt.

Der schwache Punkt des getesteten Herzschrittmacher-Systems von St. Jude Medical seien die Ferndiagnose-Systeme, über die im umgekehrten Fall auch auf die Daten der Implantate zugegriffen werden könne. Ihren Testern sei es gelungen, die Batterien aus der Ferne zu entleeren, die Implantate abzustellen oder deren Tempo zu erhöhen – so Medsec.

Bei einem 18-monatigen Test zahlreicher Medtech-Geräte diverser Konzerne habe man vereinzelt auch andere Probleme gefunden, so Medsec-Chefin Justine Bone auf dem TV-Sender CNBC – aber niemals so gefährliche.

St. Jude Medical konterte mit einer Erklärung, wonach der Report «false and misleading» sei: falsch und irreführend. 

Falsch sei die Behauptung, die Batterien der Schrittmacher könnten in einer Entfernung von 15 Meter (50 Fuss) durch eine Dauerverbindung erschöpft werden; so etwas sei nur in einer Entfernung von bis 2 Meter (7 Fuss) möglich. Und um andere der behaupteten Störergebnisse zu erzielen, müsste ein Hacker 100 Stunden stetig mit dem Implantat verbunden sein.

Inzwischen hat sich auch die US-Aufsichtsbehörde eingeschaltet: Die FDA bestätigte, dass sie die Frage untersuche, riet aber den Patienten, sich fürs erste nicht verunsichern zu lassen und ihre Geräte unverändert zu benützen.