Medtronic Sicherheitshinweis zu potenzielle Sicherheitslücken in Bezug auf die Cybersicherheit in einigen Medtronic-Produkten.

Deutsche Übersetzung durch die Herz in Takt DEFI-Liga e.V. unter Zuhilfenahme des Google-Übersetzers... grammatikalische Fehler bitten wir zu entschuldigen.

Zusammenfassung der Sicherheitsanfälligkeit

Die externe Sicherheitsforscher Peter Morgan von Clever Security; Dave Singelée und Bart Preneel von KU Leuven; Eduard Marin, früher an der KU Leuven und derzeit an der University of Birmingham; Flavio D. Garcia; Tom Chothia von der University of Birmingham; und Rik Willems vom Universitätsklinikum Gasthuisberg Leuven offenbarten potenzielle Sicherheitslücken in Bezug auf die Cybersicherheit in einigen Medtronic-Produkten.

Die Sicherheitsanfälligkeiten beziehen sich auf das proprietäre Medtronic Conexus ™ -Hochfrequenz-Telemetrieprotokoll (in diesem Dokument als „Conexus-Telemetrie“ bezeichnet), das mit einigen Medtronic-ICDs (implantierbaren Kardioverter-Defibrillatoren) und CRT-Ds (Cardial Resynchronization Therapy Defibrillators) in Verbindung steht.

Eine vollständige Liste der betroffenen Produkte finden Sie am Ende dieses Dokuments.

Bis heute wurden keine Cyberangriffe, Verletzungen der Privatsphäre oder Verletzungen des Patienten mit diesen Sicherheitsanfälligkeiten beobachtet oder in Verbindung gebracht.

Die Conexus-Telemetrie wird bei Medtronic-Herzschrittmachern (einschließlich solchen mit drahtloser Bluetooth-Funktion) nicht verwendet. Darüber hinaus verwenden CareLink Express-Monitore und die in einigen Krankenhäusern und Kliniken verwendeten CareLink Encore-Programmierer (Modell 29901) keine Conexus-Telemetrie.

Die Conexus-Telemetrie ermöglicht Medtronic-Programmierern und Überwachungszubehör:

  • Fernübertragung von Daten von einem implantierten Herzgerät eines Patienten an eine bestimmte Klinik (d. H. Fernüberwachung), einschließlich wichtiger Betriebs- und Sicherheitsbenachrichtigungen.
  • Anzeigen und Drucken von Geräteinformationen in Echtzeit für Kliniker.
  • Geräteeinstellungen programmieren.

Die Sicherheitsanfälligkeiten können einer nicht autorisierten Person (d. H. Einer anderen Person als einem Angehörigen der Gesundheitsberufe) den Zugriff auf die Einstellungen eines implantierbaren Geräts, eines Heimmonitors oder eines Klinikprogrammiergeräts ermöglichen und möglicherweise ändern. Medtronic führt Sicherheitsüberprüfungen durch, um nach nicht autorisierten oder ungewöhnlichen Aktivitäten zu suchen, die mit diesen Sicherheitsanfälligkeiten zusammenhängen könnten.

Um diese Sicherheitsanfälligkeiten auszunutzen, um einen Patienten zu schädigen, sind detaillierte Kenntnisse über medizinische Geräte, drahtlose Telemetrie und Elektrophysiologie erforderlich. Ausbeutung ist auch schwieriger, weil:

  • Während des Implantationsverfahrens und der Nachsorgeuntersuchungen in der Klinik muss die Conexus-Telemetrie von einem medizinischen Fachpersonal aktiviert werden, das sich im selben Raum wie der Patient befindet
  • Die Aktivierungszeiten außerhalb des Krankenhauses / der Klinik sind begrenzt, variieren je nach Patient und sind für einen nicht autorisierten Benutzer schwer vorherzusagen.
  • Eine nicht autorisierte Person muss sich in der Nähe eines aktiven Geräts, Monitors oder eines Programmierers befinden, um diese Schwachstellen auszunutzen. Abhängig von der Umgebung darf die typische maximale Kommunikationsreichweite zwischen einem aktiven Gerät und einem Monitor oder Programmiergerät 6 Meter nicht überschreiten.

Mitigation

Medtronic entwickelt Updates, um diese Sicherheitsanfälligkeiten zu verringern. Wir werden Patienten und Ärzte informieren, sobald sie verfügbar sind (vorbehaltlich behördlicher Genehmigungen).

Medtronic empfiehlt, dass Patienten und Ärzte diese Geräte weiterhin wie vorgeschrieben und bestimmungsgemäß verwenden. Die Vorteile der Fernüberwachung überwiegen das praktische Risiko, dass diese Sicherheitsanfälligkeiten ausgenutzt werden können. Diese Vorteile umfassen die frühere Erkennung von Arrhythmien, weniger Krankenhausaufenthalte und verbesserte Überlebensraten.

Patienten mit Bedenken hinsichtlich dieser Sicherheitslücken in Bezug auf die Cybersicherheit sollten diese Bedenken mit ihren Ärzten besprechen.

Das vollständige von ICS-CERT herausgegebene Advisory finden Sie hier.

Betroffene Produkte
Die folgenden Produkte verwenden die betroffene Conexus-Telemetrie, die von dieser Sicherheitsanfälligkeit betroffen ist:
Compia MRI™ CRT-D, all models

Concerto™ CRT-D, all models

Concerto™ II CRT-D, all models

Consulta™ CRT-D, all models

Evera MRI™ ICD, all models

Evera™ ICD, all models

Maximo™ II CRT-D and ICD, all models

Mirro MRI™ ICD, all models

Nayamed ND ICD, all models

Primo MRI™ ICD, all models

Protecta™ CRT-D and ICD, all models

Secura™ ICD, all models

Virtuoso™ ICD, all models

Virtuoso™ II ICD, all models

Visia AF MRI™ ICD, all models

Visia AF™ ICD, all models

Viva™ CRT-D, all models

 

Programmers and Monitors

Amplia MRI™ CRT-D, all models

CareLink™ 2090 Programmer

Claria MRI™ CRT-D, all models

CareLink™ Monitor, Model 2490C

MyCareLink Monitor, models 24950 and 24952

 

Fragen und Antworten

F: Warum hat die FDA einen Sicherheitshinweis zu diesem Problem ausgegeben?
A: Medtronic enthüllte Schwachstellen im Zusammenhang mit der proprietären drahtlosen Kommunikationstechnologie (Conexus-Telemetrie), die mit bestimmten ICDs und CRT-Ds von Medtronic und Programmierern verbunden ist. Wir haben auch Richtlinien zur Verringerung der Cyber-Sicherheitsrisiken im Zusammenhang mit der Conexus-Telemetrie ausgetauscht.

F: Was ist das praktische Risiko für einen Patienten?
A: Auch wenn ein nicht autorisierter Benutzer möglicherweise auf die Conexus-Telemetrie zugreifen kann, bedeutet dieser Zugriff nicht, dass der nicht autorisierte Benutzer die Möglichkeit hat, die Einstellungen eines implantierten Herzgeräts zu steuern oder zu ändern. Die vollständige Ausnutzung dieser Sicherheitsanfälligkeiten erfordert umfassendes und spezialisiertes Wissen über medizinische Geräte, drahtlose Telemetrie und Elektrophysiologie. Diese Sicherheitsanfälligkeiten sind nicht über das Internet zugänglich.

Bis heute wurde weder ein Cyberangriff noch ein Patientenschaden beobachtet oder mit diesen Schwachstellen in Verbindung gebracht.

F: Was sollte ein Patient als Nächstes tun?
A: Medtronic empfiehlt Patienten und Ärzten, die Geräte weiterhin wie vorgeschrieben und beabsichtigt zu verwenden. Die Vorteile der Fernüberwachung überwiegen das praktische Risiko, dass diese Sicherheitsanfälligkeiten ausgenutzt werden können. Die folgenden Richtlinien sollten verwendet werden, um das Risiko dieser Sicherheitsanfälligkeiten weiter zu verringern:

  • Verwenden Sie nur den Fernmonitor, der direkt von einem Gesundheitsdienstleister oder erhalten wurde
    Medtronic. Dies hilft, die Integrität des Systems sicherzustellen.
  • Halten Sie den Remote-Monitor immer angeschlossen.
    Der Fernmonitor muss eingeschaltet bleiben, um sicherzustellen, dass vom Arzt programmierte drahtlose CareAlerts ™ und / oder automatisch geplante Fernübertragungen stattfinden.
  • Behalten Sie eine gute physische Kontrolle über den Remote-Monitor.
  • Melden Sie das betreffende Verhalten bezüglich dieser Produkte einem Gesundheitsdienstleister oder Medtronic.

Patienten mit Bedenken hinsichtlich dieser Sicherheitslücken im Zusammenhang mit Cybersecurity sollten diese Bedenken mit ihrem Arzt besprechen.

Medtronic-Kontaktinformationen

USA: Der Medtronic Patienten- und technische Service steht für Fragen zur Verfügung
Montag bis Freitag von 7.00 Uhr bis 18.00 Uhr Ortszeit bei 855-275-2717.

International: Wenden Sie sich an Ihren Medtronic-Vertreter vor Ort.