Diabetespatienten wurden in den USA von einem Hersteller medizinischer Geräte davor gewarnt, dass eine seiner Insulinpumpen eine potentielle Sicherheitslücke aufweist, die theoretisch von Hackern ausgenutzt werden könnte.

Das Unternehmen Johnson & Johnson hat Ärzte sowie Anwender der Anmias OneTouch Ping in den USA und Kanada über eine Sicherheitslücke in der vernetzten Insulinpumpe informiert. Jay Radcliffe – ein Mitarbeiter einer Firma für digitale Sicherheit (Rapid7 Inc.) und selbst Diabetiker sowie Träger dieser Pumpe – hatte entdeckt, dass der Datenaustausch per Funk zwischen der Pumpe und der dazugehörigen Fernbedienung nicht verschlüsselt wird und somit ein potentielles Ziel für Hackerangriffe darstellt.

Tatsächliches Risiko ist laut Hersteller „extrem gering“

Johnson & Johnson selbst beschreibt das Risiko für einen solchen Angriff in dem Schreiben an die Anwender und an Ärzte allerdings als „extrem gering“. Dazu sei nicht nur ein erhebliches technisches Know-how nötig, da das OneTouch Ping-System nicht mit dem Internet oder einem anderen externen Netzwerk verbunden ist, sondern auch eine ausgeklügeltes Equipment und einen Mindestabstand zur Pumpe.

Zudem verfüge die Pumpe über Sicherheitsmechanismen, um unauthorisierte Zugriffe zu vermeiden. So könne die drahtlose Kommunikation abgeschaltet und eine Maximaldosis für Insulinzufuhren eingestellt werden.

Entdecker der Lücke lobt Hersteller für offenen Umgang

Auch der Entdecker der Sicherheitslücke schätzt die tatsächliche Gefahr als gering ein. Gegenüber der Frankfurter Allgemeinen Zeitung sagte Jay Radcliffe „Das ist damit vergleichbar, aus Angst vor einem Absturz nie mehr in ein Flugzeug zu steigen.“ Trotzdem sei es sehr wichtig, die Patienten über derartige Risiken aufzuklären, damit sie selbst entscheiden können, welche potentiellen Schwachstellen sie für ein Mehr an Bequemlichkeit hinnehmen wollen.

Außerdem lobte Radcliffe den Umgang des Herstellers mit seiner Entdeckung. Im April habe er Johnson & Johnson über die Schwachstelle informiert und seitdem gemeinsam mit dem Unternehmen seine Funde überprüft und verifiziert. „Normalerweise versuchen Hersteller häufig, Sicherheitslücken zu vertuschen oder klagen sogar gegen jene, die sie aufdecken.“

Insulinpumpe wird nicht in Deutschland vertrieben

Die Anmias OneTouch Ping wurde im Jahr 2008 auf den Markt gebracht, wird aber ausschließlich in den USA und Kanada offiziell vertrieben. Es besteht jedoch für Selbstzahler die Möglichkeit, sich die Insulinpumpe direkt in den USA zu bestellen. Für die hierzulande verkauften Insulinpumpen des Unternehmens gelte die Warnung nicht, betonte Johnson & Johnson auf Nachfrage.

von Gregor Hess
Redaktion Diabetes-Journal, Kirchheim-Verlag,
Kaiserstraße 41, 55116 Mainz,
Tel.: (0 61 31) 9 60 70 0, Fax: (0 61 31) 9 60 70 90,
E-Mail: redaktion@diabetes-journal.de