Lars Beckers Weblog

... kommentiert Kristian Köhntopp sehr treffend eine Heise Online Meldung.

Heise schreibt:

Moderne Herzschrittmacher und implantierbare Defibrillatoren verfügen über eine Funkschnittstelle, mit der Ärzte ohne nochmalige Eingriffe in den Patienten protokollierte Daten über die Funktionen des Geräts auslesen und neue Einstellungen vornehmen können. Dabei ist es etwa beim Herzschrittmacher möglich, den Takt komplett abzuschalten oder ihn zu Testzwecken hoch- oder runterzufahren.

Computerspezialisten der University of Washington und Massachusetts haben sich mit einem weit verbreiteten Modell des Herstellers Medtronic hinsichtlich der Sicherheit beschäftigt und das Übertragungsprotokoll zwischen implantiertem Gerät und Diagnosegerät analysiert. Anschließend waren sie mit einem Software Defined Radio in der Lage, mit dem Gerät zu kommunizieren und beispielsweise Stromstöße über den Defibrillator abzugeben. Somit wären Fremde in der Lage, auf die Gesundheit anderer Personen Einfluss zu nehmen.

Erschreckend an dieser Meldung ist die Tatsache, dass die Technologien offenbar entweder von Leuten entwickelt wurden, die einen zu dürftigen Background in Fragen der IT-Sicherheit haben oder aber Schutzmechanismen bewußt nicht implementiert wurden, z.B. aus Kostengründen.

Die Meldung ist aber auch noch für etwas anderes gut: sie macht einmal mehr anhand eines neuen Szenarios deutlich, in welcher Weise Informationstechnologien unser tägliches Leben beeinflussen und wie wenig bewußt wir uns dessen mitunter sind: wie viele Chirurgen werden sich vor der Implantierung derartiger Schrittmacher wohl über die Sicherheitsimplikationen der implementierten Geräte Gedanken machen? Und welcher Patient, außer vielleicht Fachleute oder interessierte Geeks, wird wohl vor der OP nach solchen Feinheiten fragen?

Es ist deswegen ein wichtiger und richtiger Anspruch, dass sich Entwickler derartiger Systeme Gedanken um solche Fragen machen sollen. Dieser Anspruch müßte gewissermaßen Eingang in den Arbeitsethos der Entwickler finden. Gleichwohl ist realistisch gesehen nicht davon auszugehen, dass dieses in absehbarer Zeit mehrheitlich der Fall sein wird. Umso wichtiger wird die Bewußtseinsbildung für den Verbraucher, den Kunden oder wie in diesem Fall den Patienten! Denn dieses Beispiel ist ja nur eines von vielen und zumindest derzeit relativ unbedeutend, wenn auch spektakulär. Viel bedeutender sind aus meiner Sicht die alltäglicheren Fragen, etwa jene nach der informationellen Selbstbestimmung oder aber die nach der Sicherheit neuer Technologien etwa im Bereich der Ernährung.

Was die IT betrifft, frage ich mich mittlerweile zunehmend, ob es wirklich zweckmäßig ist, die IT-Grundbildung (in der Fragen der IT-Sicherheit bislang leider keine Rolle spielt) als Querschnittsaufgabe anzusehen. Ähnliche Defizite bestehen in Fragen der allgemeinen Technikfolgenabschätzung. So lobenswert die Grundidee ist, so wenig aussichtsreich scheint mir derzeit die Umsetzung. Denn: wer soll diese Aufgabe übernehmen, wenn die durchschnittlichen Lehrer (und damit meine ich nicht nur die alten!) damit überfordert werden, weil ihnen schlichtweg die Kompetenzen dazu fehlen? Es mag sein, dass ich, da ich mich professionell mit der IT beschäftige, diese Frage naturgemäß etwas überbewerte. Gleichwohl denke ich, dass meine grundlegende Diagnose richtig ist. Hier besteht Handlungsbedarf!