Deutsche Übersetzung durch die Herz in Takt DEFI-Liga e.V. unter Zuhilfenahme des Google-Übersetzers... grammatikalische Fehler bitten wir zu entschuldigen.
- Link zur Originalmeldung (in Englisch)
Zusammenfassung der Sicherheitsanfälligkeit
Die externe Sicherheitsforscher Peter Morgan von Clever Security; Dave Singelée und Bart Preneel von KU Leuven; Eduard Marin, früher an der KU Leuven und derzeit an der University of Birmingham; Flavio D. Garcia; Tom Chothia von der University of Birmingham; und Rik Willems vom Universitätsklinikum Gasthuisberg Leuven offenbarten potenzielle Sicherheitslücken in Bezug auf die Cybersicherheit in einigen Medtronic-Produkten.
Die Sicherheitsanfälligkeiten beziehen sich auf das proprietäre Medtronic Conexus ™ -Hochfrequenz-Telemetrieprotokoll (in diesem Dokument als „Conexus-Telemetrie“ bezeichnet), das mit einigen Medtronic-ICDs (implantierbaren Kardioverter-Defibrillatoren) und CRT-Ds (Cardial Resynchronization Therapy Defibrillators) in Verbindung steht.
Eine vollständige Liste der betroffenen Produkte finden Sie am Ende dieses Dokuments.
Bis heute wurden keine Cyberangriffe, Verletzungen der Privatsphäre oder Verletzungen des Patienten mit diesen Sicherheitsanfälligkeiten beobachtet oder in Verbindung gebracht.
Die Conexus-Telemetrie wird bei Medtronic-Herzschrittmachern (einschließlich solchen mit drahtloser Bluetooth-Funktion) nicht verwendet. Darüber hinaus verwenden CareLink Express-Monitore und die in einigen Krankenhäusern und Kliniken verwendeten CareLink Encore-Programmierer (Modell 29901) keine Conexus-Telemetrie.
Die Conexus-Telemetrie ermöglicht Medtronic-Programmierern und Überwachungszubehör:
- Fernübertragung von Daten von einem implantierten Herzgerät eines Patienten an eine bestimmte Klinik (d. H. Fernüberwachung), einschließlich wichtiger Betriebs- und Sicherheitsbenachrichtigungen.
- Anzeigen und Drucken von Geräteinformationen in Echtzeit für Kliniker.
- Geräteeinstellungen programmieren.
Die Sicherheitsanfälligkeiten können einer nicht autorisierten Person (d. H. Einer anderen Person als einem Angehörigen der Gesundheitsberufe) den Zugriff auf die Einstellungen eines implantierbaren Geräts, eines Heimmonitors oder eines Klinikprogrammiergeräts ermöglichen und möglicherweise ändern. Medtronic führt Sicherheitsüberprüfungen durch, um nach nicht autorisierten oder ungewöhnlichen Aktivitäten zu suchen, die mit diesen Sicherheitsanfälligkeiten zusammenhängen könnten.
Um diese Sicherheitsanfälligkeiten auszunutzen, um einen Patienten zu schädigen, sind detaillierte Kenntnisse über medizinische Geräte, drahtlose Telemetrie und Elektrophysiologie erforderlich. Ausbeutung ist auch schwieriger, weil:
- Während des Implantationsverfahrens und der Nachsorgeuntersuchungen in der Klinik muss die Conexus-Telemetrie von einem medizinischen Fachpersonal aktiviert werden, das sich im selben Raum wie der Patient befindet
- Die Aktivierungszeiten außerhalb des Krankenhauses / der Klinik sind begrenzt, variieren je nach Patient und sind für einen nicht autorisierten Benutzer schwer vorherzusagen.
- Eine nicht autorisierte Person muss sich in der Nähe eines aktiven Geräts, Monitors oder eines Programmierers befinden, um diese Schwachstellen auszunutzen. Abhängig von der Umgebung darf die typische maximale Kommunikationsreichweite zwischen einem aktiven Gerät und einem Monitor oder Programmiergerät 6 Meter nicht überschreiten.
Mitigation
Medtronic entwickelt Updates, um diese Sicherheitsanfälligkeiten zu verringern. Wir werden Patienten und Ärzte informieren, sobald sie verfügbar sind (vorbehaltlich behördlicher Genehmigungen).
Medtronic empfiehlt, dass Patienten und Ärzte diese Geräte weiterhin wie vorgeschrieben und bestimmungsgemäß verwenden. Die Vorteile der Fernüberwachung überwiegen das praktische Risiko, dass diese Sicherheitsanfälligkeiten ausgenutzt werden können. Diese Vorteile umfassen die frühere Erkennung von Arrhythmien, weniger Krankenhausaufenthalte und verbesserte Überlebensraten.
Patienten mit Bedenken hinsichtlich dieser Sicherheitslücken in Bezug auf die Cybersicherheit sollten diese Bedenken mit ihren Ärzten besprechen.
Das vollständige von ICS-CERT herausgegebene Advisory finden Sie hier.
Betroffene Produkte
Die folgenden Produkte verwenden die betroffene Conexus-Telemetrie, die von dieser Sicherheitsanfälligkeit betroffen ist:
Compia MRI™ CRT-D, all models
Concerto™ CRT-D, all models
Concerto™ II CRT-D, all models
Consulta™ CRT-D, all models
Evera MRI™ ICD, all models
Evera™ ICD, all models
Maximo™ II CRT-D and ICD, all models
Mirro MRI™ ICD, all models
Nayamed ND ICD, all models
Primo MRI™ ICD, all models
Protecta™ CRT-D and ICD, all models
Secura™ ICD, all models
Virtuoso™ ICD, all models
Virtuoso™ II ICD, all models
Visia AF MRI™ ICD, all models
Visia AF™ ICD, all models
Viva™ CRT-D, all models
Programmers and Monitors
Amplia MRI™ CRT-D, all models
CareLink™ 2090 Programmer
Claria MRI™ CRT-D, all models
CareLink™ Monitor, Model 2490C
MyCareLink Monitor, models 24950 and 24952
Fragen und Antworten
F: Warum hat die FDA einen Sicherheitshinweis zu diesem Problem ausgegeben?
A: Medtronic enthüllte Schwachstellen im Zusammenhang mit der proprietären drahtlosen Kommunikationstechnologie (Conexus-Telemetrie), die mit bestimmten ICDs und CRT-Ds von Medtronic und Programmierern verbunden ist. Wir haben auch Richtlinien zur Verringerung der Cyber-Sicherheitsrisiken im Zusammenhang mit der Conexus-Telemetrie ausgetauscht.
F: Was ist das praktische Risiko für einen Patienten?
A: Auch wenn ein nicht autorisierter Benutzer möglicherweise auf die Conexus-Telemetrie zugreifen kann, bedeutet dieser Zugriff nicht, dass der nicht autorisierte Benutzer die Möglichkeit hat, die Einstellungen eines implantierten Herzgeräts zu steuern oder zu ändern. Die vollständige Ausnutzung dieser Sicherheitsanfälligkeiten erfordert umfassendes und spezialisiertes Wissen über medizinische Geräte, drahtlose Telemetrie und Elektrophysiologie. Diese Sicherheitsanfälligkeiten sind nicht über das Internet zugänglich.
Bis heute wurde weder ein Cyberangriff noch ein Patientenschaden beobachtet oder mit diesen Schwachstellen in Verbindung gebracht.
F: Was sollte ein Patient als Nächstes tun?
A: Medtronic empfiehlt Patienten und Ärzten, die Geräte weiterhin wie vorgeschrieben und beabsichtigt zu verwenden. Die Vorteile der Fernüberwachung überwiegen das praktische Risiko, dass diese Sicherheitsanfälligkeiten ausgenutzt werden können. Die folgenden Richtlinien sollten verwendet werden, um das Risiko dieser Sicherheitsanfälligkeiten weiter zu verringern:
- Verwenden Sie nur den Fernmonitor, der direkt von einem Gesundheitsdienstleister oder erhalten wurde
Medtronic. Dies hilft, die Integrität des Systems sicherzustellen. - Halten Sie den Remote-Monitor immer angeschlossen.
Der Fernmonitor muss eingeschaltet bleiben, um sicherzustellen, dass vom Arzt programmierte drahtlose CareAlerts ™ und / oder automatisch geplante Fernübertragungen stattfinden. - Behalten Sie eine gute physische Kontrolle über den Remote-Monitor.
- Melden Sie das betreffende Verhalten bezüglich dieser Produkte einem Gesundheitsdienstleister oder Medtronic.
Patienten mit Bedenken hinsichtlich dieser Sicherheitslücken im Zusammenhang mit Cybersecurity sollten diese Bedenken mit ihrem Arzt besprechen.
Medtronic-Kontaktinformationen
USA: Der Medtronic Patienten- und technische Service steht für Fragen zur Verfügung
Montag bis Freitag von 7.00 Uhr bis 18.00 Uhr Ortszeit bei 855-275-2717.
International: Wenden Sie sich an Ihren Medtronic-Vertreter vor Ort.