Mythos oder Wahrheit? Antworten auf Ihre Fragen zur Implantatsicherheit
In seiner Amtszeit als US-Vizepräsident ließ Dick Cheney die Fernüberwachungsfunktion seines Herzschrittmachers abschalten, weil er fürchtete, ein böswilliger Hacker könnte auf sein Implantat zugreifen. 2012 wurde in einer Folge der TV-Dramaserie Homeland gezeigt, wie sich ein Terrorist aus der Ferne in den Herzschrittmacher des fiktiven US-Vizepräsidenten hackt und ihn ermordet.
Das mag für Spannung im Fernsehen gesorgt haben, aber ist es auch im wirklichen Leben möglich, einen Herzschrittmacher zu hacken?
Schon bald, nachdem BIOTRONIK im Jahr 2000 Home Monitoring auf den Markt gebracht hatte, nutzten viele Patient*innen mit einem Herzrhythmusimplantat die Möglichkeit der kontinuierlichen Überwachung durch ihre Ärztin oder ihren Arzt, um Arrhythmien aufzuzeichnen und potenzielle unerwünschte Ereignisse frühzeitig zu erkennen. Die möglichen Vorteile sind enorm –BIOTRONIK Home Monitoring wurde direkt mit einer Verringerung der Gesamtmortalität um 60 % bei Patient*innen mit Herzinsuffizienz in Verbindung gebracht. Doch mit den neuen Vorteilen einer vernetzten kardiologischen Versorgung kamen auch Fragen zur Cybersicherheit auf. Sind diese Vorteile auch mit Risiken verbunden?
Für BIOTRONIK-Implantate lautet die Antwort kurz und knapp, dass vernetzte Implantate extra so konstruiert sind, dass solche Angriffe verhindert werden. Doch auch mehr als 20 Jahre nach der Einführung von BIOTRONIK Home Monitoring und 10 Jahre nach der Ausstrahlung der „Herzschrittmacher-Folge“ von Homeland bleibt dies eine wichtige Frage für Implantatpatient*innen und ein beliebtes Thema in Medienberichten über fernüberwachungsfähige Geräte.
Ist es möglich, mein BIOTRONIK-Implantat zu hacken, um mir zu schaden?
Alle derzeit auf dem Markt befindlichen BIOTRONIK-Implantate sind speziell so konstruiert, dass Änderungen an der Therapie oder Diagnostik aus der Ferne verhindert werden. Nicht einmal Kardiolog*innen können solche Änderungen aus der Ferne bei ihren Patient*innen vornehmen.
Um zu verstehen, wie dieses Design funktioniert, hilft es, sich das Implantat wie ein Haus vorzustellen. Tatsächlich wäre dieses Haus nur wenig einladend, denn es hat nur zwei winzige Fenster – und keine Türen. Eines der Fenster wird ausschließlich für Home Monitoring verwendet, z. B. um die Gesundheitsdaten der Patient*innen an das Home Monitoring Service Center zu senden, wo die Kardiologin bzw. der Kardiologe sie überprüfen kann. Das andere Fenster wird ausschließlich genutzt, um das Implantat mit einem speziellen Programmiergerät, das Ärztinnen und Ärzte nur bei persönlichen Terminen mit den Patient*innen benutzen, umzuprogrammieren.
Das Fenster für Home Monitoring führt in ein Zimmer, das keine Türen zu einem anderen Teil des Hauses hat. Außerdem ist es fast die ganze Zeit verschlossen. Auch kann das Fenster nur von innen geöffnet werden – durch das Implantat selbst. Dies geschieht nur, wenn das Implantat Gesundheitsdaten senden muss, z. B. wenn ein Ereignis aufgetreten ist oder wenn das Implantat seine Tagesstatistik gesammelt hat und diese versenden muss. Das Fenster ist so klein, dass niemand das Haus betreten kann – selbst wenn es offen ist. Eine Person, die von außen durch das Fenster schaut, sähe nur ein leeres Zimmer und keine der in anderen Räumen gelagerten Wertgegenstände. Diese Funktion hat also keine Verbindung zu dem Teil des Implantats, der die Therapie umprogrammieren kann. Das kann nur durch engen Kontakt mit den jeweiligen Patient*innen geschehen.
Einige Implantate sind auch in der Lage zu hören, wenn eine CardioMessenger ans Fenster klopft. CardioMessenger sind Geräte, die oft auf dem Nachttisch der Patient*innen stehen. Sie leiten die Daten des Implantats an das Home Monitoring Service Center weiter. Wenn ein Implantat das Klopfen hört und gerade nicht beschäftigt ist, wirft es einen Blick durch das geschlossene Fenster. Wenn es sicher ist, dass tatsächlich ein CardioMessenger angeklopft hat, öffnet es das Fenster und sendet die angeforderten Gesundheitsdaten. Andernfalls bleibt das Fenster geschlossen. Wenn das Implantat beschäftigt ist, ignoriert es das Klopfen einfach und sorgt dafür, dass seine wichtige Arbeit nicht unterbrochen wird.
Wie alle Medizinprodukte müssen auch BIOTRONIK-Implantate programmiert werden, um die Patientenversorgung zu optimieren, z. B. wenn sich der Zustand eines Patienten bzw. einer Patientin ändert. Kardiologinnen und Kardiologen können die Stimulationsreizschwelle anpassen, MRI AutoDetect, die automatische MRT-Erkennung des Implantats, einschalten, wenn Patient*innen eine solche Untersuchung vor sich haben, oder andere Funktionen nutzen. Dafür ist das andere Fenster des Hauses vorgesehen. Dieses Fenster öffnet sich nur, wenn Kardiologinnen bzw. Kardiologen ein spezielles BIOTRONIK-Programmiergerät so an die Brust der Patient*innen halten, dass es sich direkt über dem Implantat befindet. Ist das Fenster geöffnet, kann das Programmiergerät Daten aus dem Implantat auslesen und dessen Einstellungen durch dieses Fenster ändern. Sobald die Umprogrammierung beendet ist, wird das Fenster wieder geschlossen. Das Fenster für die Umprogrammierung kann weder vom CardioMessenger noch von einem anderen Gerät als dem BIOTRONIK-Programmiergerät geöffnet werden.
„Dass ein solch enger Kontakt notwendig ist, heißt, dass die Patient*innen sicherstellen können, dass sie sich in Gegenwart von einer Person befinden, der sie die Programmierung ihres Implantats anvertrauen können – in der Regel ihrer Ärztin oder ihrem Arzt“, so Alan Fryer, Director of Global Product Cybersecurity bei BIOTRONIK.
Dieses Design bedeutet, dass Kardiologinnen und Kardiologen den Gesundheitszustand ihrer Patient*innen verfolgen können, indem sie aus der Ferne die Daten überprüfen, die jedes einzelne Implantat an das Home Monitoring Service Center sendet. Die Daten können eine frühzeitige Warnmeldung auslösen, sollte ein potenzielles Problem auftreten. In diesem Fall müssen die Patient*innen jedoch persönlich ihre Ärztin oder ihren Arzt aufsuchen, um ihr Implantat umprogrammieren zu lassen, denn BIOTRONIK-Implantate sind, wie oben erläutert, speziell so konzipiert, dass sie nicht aus der Ferne konfiguriert werden können.
Schon durch ihre Konstruktion sind BIOTRONIK-Implantate also wirksam gegen böswillige Hacking-Versuche aus der Ferne geschützt.
Können Hacker Zugriff auf meine Daten bekommen?
BIOTRONIK legt größten Wert auf die Privatsphäre seiner Patient*innen und hat seine Produkte, Prozesse und Organisation so gestaltet, dass die Daten der Patient*innen sicher sind. Das fängt damit an, dass nur die Daten erfasst werden, die für eine hochwertige Patientenversorgung erforderlich sind. Home Monitoring ist daher so konzipiert, dass die gesendeten Daten keine Informationen wie Namen oder Geburtsdatum enthalten, mit denen Patient*innen identifiziert werden könnten. Stattdessen werden Gerätekennungen verwendet, mit deren Hilfe die Ärztin oder der Arzt die Daten den betreffenden Patient*innen zuordnen kann.
Nach Verlassen des Implantats werden die Home-Monitoring-Daten über den CardioMessenger an das Home Monitoring Service Center weitergeleitet. Bei der Übertragung werden die Daten durch modernste kryptografische Verfahren mit individuellen Schlüsseln verschlüsselt. Darüber hinaus werden sie über ein mobiles Netzwerk gesendet, das nicht mit dem Internet verbunden oder darüber zugänglich ist. Wenn die Daten BIOTRONIK erreichen, werden sie sicher in einem modernen Datenzentrum gespeichert, auf das Kardiologinnen und Kardiologen nur über ein sicheres Login zugreifen können.
BIOTRONIK verwendet ein System zum Informationssicherheitsmanagement für Betrieb, Support und Verwaltung des Home Monitoring Service Center. Dieses Informationssicherheitsmanagementsystem ist nach der internationalen Norm ISO/IEC 27001:2017 zertifiziert. Diese Zertifizierung wird unabhängig vergeben. Um sie zu erhalten, müssen alle Mitarbeitenden, die mit Patientendaten arbeiten, entsprechend geschult werden, und es müssen administrative, physische und technische Sicherheitsvorkehrungen getroffen werden – bis hin zum Einbau spezieller Schließanlagen an den Türen zu den Räumlichkeiten. Zur Aufrechterhaltung dieses Zertifikats wird BIOTRONIK mehrmals im Jahr auditiert. Darüber hinaus beauftragt BIOTRONIK regelmäßig externe Cybersicherheitsexpert*innen mit der Durchführung so genannter „Penetrationstests“, um sicherzustellen, dass die Sicherheitsvorkehrungen auf dem neuesten Stand sind und kontinuierlich gepflegt werden, um effektiv zu sein. Dadurch wird sichergestellt, dass Sicherheitsmaßnahmen kontinuierlich verbessert und an die sich verändernde Cybersicherheitslandschaft angepasst werden.
Gibt es etwas, das ich über die Sicherung meines CardioMessenger wissen sollte?
Home-Monitoring-fähige Implantate senden ihre Daten über einen CardioMessenger, der einem Smartphone ähnelt, an das Home Monitoring Service Center. Der CardioMessenger wird in der Regel zuhause auf dem Nachttisch der Patient*innen aufbewahrt und ermöglicht nächtliche Übertragungen. Wie oben erläutert, kann der CardioMessenger, konstruktionsbedingt, die klinische Funktion des Implantats nicht beeinflussen. Selbst wenn der CardioMessenger also beschädigt wird oder verloren geht, hat dies keine Auswirkungen auf das Wohlbefinden der Patient*innen.
Wie in der Gebrauchsanweisung erläutert, müssen die Patient*innen jedoch dafür sorgen, dass ihr CardioMessenger mit Strom versorgt wird und richtig aufgestellt ist, so dass eine gute Kommunikation mit ihrem Implantat gewährleistet ist. Wenn der CardioMessenger verloren geht, gestohlen oder beschädigt wird, sollten die Patient*innen dies melden, damit das Gerät ersetzt und die Fernüberwachung wiederhergestellt werden kann.
Die Sicherheit der Patient*innen und der Schutz ihrer Privatsphäre haben für BIOTRONIK oberste Priorität – eine Verpflichtung, die sich auch auf die Cybersicherheit erstreckt. Mit Geräten und Implantaten, bei deren Entwicklung Cybersicherheit von Beginn an mitberücksichtigt wird, sorgt BIOTRONIK sowohl für die physische Sicherheit von Patient*innen als auch für die Sicherheit ihrer Daten.