Herzschrittmacher hacken?

Warum verbindet sich ein Schrittmacher mit dem Internet? Einen interessanten Beitrag zur heutigen Medizintechnik lieferte die norwegische IT-Sicherheitsspezialistin Marie Moe auf dem 32. Chaos Communication Congress 32C3. Sie versuchte Informationen über ihren eigenen Herzschrittmacher zu erhalten. Moe arbeitete für das norwegische Computer Emergency Response Team (Cert), heute engagiert sie sich unter anderem für mehr Transparenz auch in der medizinischen IT.

Schrittmacher-Träger beschäftigen sich bereits mit ganz banalen Fragen: Wie funktioniert denn dieses Gerät in meinem Körper? Wann löst es aus? Wie kann man es manipulieren? Worauf ist zu achten? Piept es am Flughafen? Jetzt kommt zukünftig wohl noch einige mehr dazu: Muss der Träger eines Herzschrittmachers sich davor fürchten, Opfer eines Hacker-Angriffs zu werden? Inwieweit ist ein moderner Schrittmacher fernzusteuern? Was passiert nach der Entnahme mit den Daten im Gerät?

Die Fragen sind nicht ohne, denn moderne Schrittmacher verfügen nicht nur über Drahtlosschnittstellen. Sie werden auch „gebraucht“ weiter verkauft. So berichtete Moe über bei eBay ersteigerte Geräte, die noch Datensätze von Patienten enthielten.

Eigentlich wollte sich Moe mit der Fehlerfreiheit der eingesetzten Software beschäftigen, mit der Qualitätssicherung. Sie stellte sogar provokant die Frage, ob Schrittmachersoftware nicht sogar Open Source sein sollte. Die Fragen fingen jedoch dann erst an: Wie sieht es mit der Konfiguration des Schrittmachers aus, mit Updates? Müssen Operateure vor Anpassungen oder Softwareupdates erst die Einwilligung des Patienten einholen? Und letztlich: Wie wird der Datenschutz sichergestellt, insbesondere bei der Übertragung der Daten?

 

Information in der Medizin

Rechtlich bestehen bereits heute zahlreiche Informations-, Transparenz- und Schutzpflichten sowie Empfehlungen zum Umgang mit den Patientendaten. Hersteller, Kliniken, Ärzte, aber auch Patienten tuen gut daran, sich über diese zu informieren, regelmäßig zu schulen und zu beachten. Spannend sind aber immer wieder auch Abgrenzungsfragen: Wer haftet eigentlich für Software, Hardware und Einsatz des Schrittmachers und welche vertraglichen Verpflichtungen bestehen im Innenverhältnis zwischen den Beteiligten?

Quellen und Fundstellen
Moe, Leverett, Unpatchable – Living with a vulnerable implanted device; 32C3, media.ccc.de (Video); Sicherheit und Medizin: Hack den Herzschrittmacher – golem.de; Beuth, Hack den Herzschrittmacher – zeit.de; Horchert, Herzschrittmacher: Sicherheitslücke im Brustkorb – spiegel.de; Josuttis, Debuggen am offenen Herzen – heise.de. Eingesehen am 30.12.2015

Dr. Andreas Staufer

Dr. Andreas Staufer

Rechtsanwalt Dr. Staufer ist Fachanwalt für Medizinrecht und IT-Recht.
Zu seinen Schwerpunkten zählen eHealth, LegalTech und Datenschutz.
Rufen Sie ihn an: Telefon 089 652001. Oder schreiben Sie ihm: info@fasp.de.

Die Beiträge sind nicht abschließend und ersetzen keinesfalls eine anwaltliche Beratung. Wenn Sie sich unsicher sind, fragen Sie Ihren Anwalt - oder uns.
Dr. Andreas Staufer

Letzte Artikel von Dr. Andreas Staufer (Alle anzeigen)

Veröffentlicht in Datenschutzrecht, IT-Recht, Medizinrecht Getagged mit: , , , , , ,