Greifen Hacker jetzt auch medizinische Implantate an?
Greifen Hacker jetzt auch medizinische Implantate an? (Otto Geißler)
Cybersicherheit bei medizinischen Geräten
Medizinische Geräte wie Insulinpumpen, Defibrillatoren und Hirnstimulatoren erhalten immer mehr Konnektivität. Wird die nächste Hacking-Welle noch viel unheimlicher werden? Wie könnten mögliche Schutzmaßnahmen für Betroffene aussehen?
(Bild: 2ragon - stock.adobe.com)
Mit schwachen Kennwörtern, einem Programmierfehler oder einem missachteten Updates entstehen für Hacker Schlupflöcher, um sich sogar Zutritt in einem menschlichen Körper zu verschaffen. Doch wie kann das sein? Da immer mehr Patienten Implantate erhalten, um Erkrankungen von Diabetes, Parkinson über Taubheit bis hin zu Herz-Insuffizienz zu behandeln, werden Implantate immer komplexer – und damit auch noch drahtlos ansteuerbar.
Das heißt, Smartphones könnten schon bald Geräte wie beispielswiese Herzschrittmacher und Insulinpumpen sehr einfach und bequem verwalten. Periodische Anpassungen als chirurgische Eingriffe sind dann weitestgehend nicht mehr notwendig. Gleichzeitig würde dies dabei helfen, Operationen und Kosten zu reduzieren als auch Ärzte und Chirurgen zu entlasten.
Neurostimulatoren im Visier
Implantierbare medizinische Geräte (IMDs) verlassen sich meist gegenwärtig auf proprietäre Protokolle, um drahtlos mit externen Geräte-Programmierern zu kommunizieren. Daher ist es keine weit hergeholte Illusion, dass beispielsweise ein drahtloses Gehirn-Implantat, bekannt als Neurostimulator, mit handelsüblichen Geräten gehackt werden kann.
Der Stimulator besteht aus einer Batterie, einem kleinen Prozessor und einer drahtlosen Kommunikationsantenne, der programmiert werden kann. Im Wesentlichen funktioniert er ähnlich wie ein Herzschrittmacher, mit dem Hauptunterschied, dass er direkt mit dem Gehirn verbunden ist.
Die Kommunikation zwischen einem Geräte-Programmierer und dem Neurostimulator erfolgt im Grunde in drei Phasen. In der Initialisierungsphase werden Modell und Seriennummer des Geräteprogrammierers und des Neurostimulators ausgetauscht. Danach kann der Geräte-Programmierer während einer Neuprogrammierung innerhalb einer Protokollsitzung die Einstellungen so oft wie gewünscht ändern. Die Beendigungsphase schließt eine Sitzung, wodurch der Neurostimulator in einen Energiesparmodus zurückschalten kann.
Gefahr durch Hacking
Das Therapieverfahren aus dem Bereich der funktionellen Neurochirurgie nennt sich tiefe Hirnstimulation (deep brain stimulation - DBS). Dabei werden elektrische Impulse an das Gehirn gesendet, um Symptome der Parkinson-Krankheit, chronische Schmerzen, Depressionen, Zittern oder andere medizinische Störungen zu lindern. Aufgrund der fehlenden Verschlüsselung und Authentifizierung dieser implantierbaren Geräte ist es möglich, medizinische Informationen zu kompromittieren.
Sobald diese Geräte mit dem Internet verbunden sind, können daraus Gefahren entstehen, die als „Brainjacking“ bezeichnet werden. Gelingt es dann einem Angreifer, die bislang unzureichenden Sicherheitsvorkehrungen eines Geräts zu knacken, hat er mehrere Möglichkeiten, das Implantat seines Opfers zu manipulieren. Er kann mit der Beeinflussung der Stimulationsparameter wie Spannung, Strom, Frequenz, Impulsbreite und Elektrodenkontakt die Wirkung der Stimulation verändern. Auf diese Weise sind Hacker in der Lage, das Verhalten einer Person zu kontrollieren.
Securing Wireless Neurostimulators
Da Neurostimulatoren derzeit keine zuverlässigen Sicherheiten bieten können, muss ein sicherer Kommunikationskanal zwischen dem Geräte-Programmierer und dem Neurostimulator eingerichtet werden. Dies lässt sich mit einem gemeinsamen Sitzungsschlüssel und einer symmetrischer Verschlüsselung erreichen. Hier sind im Wesentlichen aus heutiger Sicht zwei größere Herausforderungen zu bewältigen:
- Generierung des Sitzungsschlüssels.
- Sichere Übertragung des Sitzungsschlüssels an die andere Partei.
Für das Generieren eines Schlüssels qualifizieren sich einerseits die Geräte-Programmierer, da sie über leistungsfähige Hardware verfügen. Andererseits erweisen sich die meisten Kanäle des Out-of-Band Managements (OOB) zur Fernwartung von IT-Systemen außerhalb der Funkreichweite als ungeeignet. Dies rührt daher, dass der Transport eines Schlüssels vom Geräteprogrammierer zum IMD sehr anfällig für Sicherheitsangriffe gilt und das Hinzufügen zusätzlicher Hardwarekomponenten im Neurostimulator erfordert.
Gehirn erzeugt ein Signal
Im Moment bietet sich für die Erzeugung von Sitzungsschlüssel der Neurostimulator selbst an. Leider sind für IMDs typischerweise mikrocontrollerbasierte Plattformen im Einsatz und es fehlen dedizierte echte Zufallszahlen-Generatoren (TRNGs), was es nicht einfacher macht, Zufallszahlen auf diesen Geräten zu erzeugen. Für die Erzeugung kryptografischer Schlüssel eignen sich jedoch physiologische Signale, die im Körper des Patienten selbst entstehen und sich extrahieren lassen.
Dies bedeutet, dass das menschliche Gehirn ein Signal erzeugt, ein sogenanntes lokales Feldpotential (LFP), das sich auf das elektrische Potential im extrazellulären Raum um Neuronen bezieht. Neurotransmitter können dieses Signal mit den vorhandenen Elektroden-Konfigurationen messen. Der entscheidende Punkt dabei ist, dass es aber nicht aus der Ferne gelesen werden kann, da hierzu ein direkter Kontakt mit dem Gehirn bestehen muss. Diese Tatsache macht es für Angreifer schwer, Manipulationen vorzunehmen.
Übertragung zum Geräte-Programmierer
Nach der Erzeugung des Sitzungsschlüssels aus dem LFP des Gehirns des Patienten, muss er über einen sicheren Weg zum Programmiergerät übertragen werden. Für den Transport des Schlüssels lässt sich nutzbar machen, dass sowohl die Haut des Patienten als auch das Gehäuse des Neurostimulators leitfähig sind. Zu diesem Zweck kann das elektrische Signal (mit dem darin eingebetteten Schlüssel) an das Gehäuse des Neurostimulators angelegt werden. Der Geräte-Programmierer misst in der Folge dieses Signal, indem er die Haut des Patienten berührt.
Zur Verhinderung von Abhörangriffen, empfiehlt sich eine geringe Sendeleistung. Bei einer Amplitude kleiner 1 mV kann das Signal noch bei direktem Kontakt empfangen werden. Selbst aus wenigen Zentimetern Entfernung ist ein Abhören nicht mehr möglich. Dies geht natürlich zu Lasten einer geringeren Datenrate, was aber für einen solchen Anwendungsfall kein Problem wäre. Tatsächlich ist es von Vorteil, einige Sekunden (derzeit etwa 1,5) Hautkontakt zu haben, da davon ausgegangen wird, dass ein Patient einen Angreifer bemerken würde, der seine Haut auf diese Weise berührt ...
Dieser Artikel erschien ursprünglich bei unserem Schwesterportal Security-Insider.
(ID:49043453)