Herzschrittmacher lassen sich, wie alle digitalen Geräte, hacken. Wer einen solchen Hack publiziert, kann die Lage sicherer machen – oder den Börsenkurs des Herstellers ins Bodenlose fallen lassen. So in den USA geschehen. In Europa ticken die Uhren anders: Im nächsten Jahr werden härtere Vorschriften für Medizingeräte Pflicht.

"Heute hatte ich die Möglichkeit, auch viel freier zu sprechen und auch intern etwas preiszugeben, weil meine Geheimhaltungsvereinbarung ausgelaufen ist seit kurzem."

Sagt Tobias Zillner. Auf der Medical Electronics Conference vor kurzem in München konnte er deshalb detailliert über einen Hack von vor zwei Jahren berichten. Als Angestellter der US-amerikanischen IT-Sicherheitsfirma Medsec hatte er gezeigt, wie Herzschrittmacher des Herstellers St. Jude Medical per Funk manipulierbar sind.

Die Implantate lassen sich drahtlos mit einem einfachen Rechner, mit dem der Patient Daten abrufen kann, und mit einem Steuerungscomputer beim Arzt verbinden. Zillner und seine Kollegen hackten den Patientenrechner, gelangten darüber zum Server des Herstellers und darüber wiederum zum Arztrechner, der den Herzschrittmacher steuert:

"Dadurch, dass wir volle Kenntnis hatten, wie die Schlüssel sind, konnten wir dann auch über Funk den Herzschrittmacher umprogrammieren, deaktivieren, vibrieren lassen – alle Funktionen, die man damit so machen kann."
Normalerweise informieren weiße Hacker die Hersteller über Sicherheitslücken, geben ihnen Zeit, sie zu stopfen, und erst dann gehen sie damit an die Öffentlichkeit, um mit ihren Erfolgen für sich und ihre Unternehmen zu werben.

Medsec machte es anders. Die Hackerfirma verkaufte ihr Wissen über die Herzschrittmacherprobleme an die umstrittene Investmentfirma Muddy Waters, die darauf spezialisiert ist, mit fallenden Aktienkursen Geld zu verdienen:

"Muddy Waters hat einen Bericht veröffentlicht mit Hinweis auf die Schwachstellen und hat vorausgesagt, dass sich der Sales für Herzschrittmacher von St. Jude natürlich drastisch verringern wird. Und hat die Aktien geshortet und Aktien von Mitbewerbern gekauft."
Einen Verlust von kurzzeitig zwei Milliarden Dollar erlitt St. Jude nach Bekanntwerden des Hacks an der Börse. Auf diese Summe addierten sich die Kursverluste. Es waren ja schließlich fast eine halbe Million Herzschrittmacher von den Sicherheitsproblemen betroffen.

Meistens werden Geräte von amerikanischen Herstellern angegriffen, was daran liegt, dass es dort auch die meisten IT-Sicherheitsfirmen gibt. In Europa wiederum sollen unsichere Geräte künftig gar nicht erst auf den Markt kommen. Dazu dient die neue europäische MDR, die aktuell umgesetzt wird. Das Kürzel steht für Medical Device Regulation. Sie verschärft die Zulassungsbedingungen für Medizinprodukte.

Kaum noch ein Gerät gilt künftig als unproblematisch, als Klasse-1-Produkt, wie sich das in der Vorschrift nennt. Höher klassifizierte Geräte wiederum müssen durch öffentlich bestellte Experten von so genannten benannten Stellen ausgiebig begutachtet werden, in Deutschland beispielsweise vom Technischen Überwachungsverein Süd.

"Viele Produkte, die vorher von der Sicherheitsklassifizierung als 1 eingestuft werden konnten und einfach auf den Markt gebracht werden konnten, fallen jetzt unter 2a, 2b oder Klasse 3 und müssen dadurch eine benannte Stelle mit ins Boot holen, die dieses Produkt prüft und zulässt. Das heißt: Ja, es ist ein erheblicher Mehraufwand, ein Gerät jetzt auf den Markt zu bringen."

So Dr. Gesa Kniebühler von der TÜV Süd Product Service GmbH. Seit 2017 gilt die neue Medical Device Regulation. Und im nächsten Jahr dann läuft die Übergangsfrist aus.
"Das heißt, ab Ende Mai 2020 wird das akut, muss man die MDR wirklich einhalten als Medizinproduktehersteller."