Cyber-Gefahr: J&J warnt vor eigener Insulinpumpe

Johnson&Johnson meldet ein Sicherheitsproblem mit der Insulinpumpe des Modells «Animas OneTouch Ping». Demnach könnten Hacker das Gerät so manipulieren, dass Patienten eine tödliche Überdosis verabreicht werden könnte. 

Die Firma versandte Warn-Briefe an Ärzte und an 114'000 Patienten, welche die Geräte in den USA und Kanada benützen. Dies erfuhr die Nachrichtenagentur Reuters. 

Demnach ist es das erste Mal, dass ein Hersteller Patienten direkt über das Risiko einer Cyber-Attacke aufklärt – womit ein ohnehin drängendes Thema in der Industrie noch akuter geworden ist.

Bereits vor einem Jahr hatte die US-Überwachungsbehörde FDA den Verkaufsstopp für eine Insulinpumpe des Herstellers Hospira verfügt, weil diese gehackt werden könnte. Im September meldeten Studenten, dass es ihnen in einem Test gelungen war, Schrittmacher und Defibrillatoren lahmzulegen. Und etwa zeitgleich konnte ein IT-Experte in Süddeutschland Narkosegeräte in Spitälern kapern – Gottseidank nur im Rahmen eines Sicherheitstests.

In der Schweiz ist der betroffene «OneTouch Ping» nicht auf dem Markt. Das Gerät, zuerst lanciert 2008 in den USA, wird mit einer Fernbedienung verkauft, welche die Patienten benützen können, um die benötigte Dosis Insulin auszulösen, damit sie das unter der Kleidung getragene Gerät nicht direkt bedienen müssen. 

Die mögliche Sicherheitslücke besteht darin, dass die Kommunikation nicht verschlüsselt erfolgt. Allerdings: Wie ein J&J-Sprecher zu Reuters sagte, habe man keine Kenntnis von versuchten Attacken auf das System. «Die Wahrscheinlichkeit eines unautorisierten Zugriffs auf das OneTouch-Ping-System ist extrem tief», steht im Brief an die Kunden und Ärzte. «Es würde technische Expertise, ausgeklügeltes Equipment und Nähe zur Pumpe verlangen, da das OneTouch-Ping-System nicht ans Internet oder an ein externes Netz angeschlossen ist.»

Gemäss Recherchen des Diabetikers und Bloggers Jay Radcliffe könnten Hacker die Pumpe aus einer Distanz von bis zu 7,5 Metern auslösen. Allerdings würde dazu viel technisches Know-how und ausgeklügelte Geräte benötigt. 

Laut der FDA ist kein Fall eines «erfolgreichen» Hackerangriffs auf ein Medical Device bekannt. Das Schreiben von Johnson & Johnson erfolgte in Abstimmung mit der Überwachungsbehörde.

Wie in diesem Zusammenhang auch bekannt wurde, erarbeitet die FDA momentan ein Regelwerk: Es soll festlegen, wie auf Hacker-Gefahren zu reagieren ist und wie dabei informiert werden soll. Im Hintergrund steht ein fast schon skandalöser Fall, der im August geschah. Dabei äusserte eine kleine IT-Security-Firma heftige Vorwürfe gegen St. Jude Medical: Ein Herzschrittmacher des US-Medtech-Konzerns könne leicht gehackt werden. 

Bekannt wurde bald darauf, dass die IT-Firma von einer Finanzfirma bezahlt worden war, die sich auf so genannte Short-Positionen spezialisiert hat – das heisst: Sie kauft Aktien von Unternehmen und setzt darauf, dass der Wert dieser Aktien sinken wird. 

St. Jude Medical hat diese Firma inzwischen verklagt (mehr dazu hier).

Die IT-Systeme der Urgent Care Clinic in der Südstaaten-Stadt Oxford wurden im August von Hackern attackiert – offenbar mit Erfolg. Wie jetzt den Patienten mitgeteilt wurde, konnten sich die Eindringlinge tatsächlich Zugriff auf die Patientendossiers verschaffen, oft inklusive Kreditkarten- und Social-Security-Informationen.

FBI-Ermittlungen ergaben, dass der Zugriff aus Russland erfolgt war.