Aufgrund einer Sicherheitslücke in der Systemsoftware sind weltweit mehrere Hunderttausend Patienten  mit einem Herzschrittmacher dazu aufgerufen, sich im Krankenhaus ein Software-Update aufspielen zu lassen. Die Rückrufaktion soll verhindern, dass die technischen Geräte etwa von Hackern per Funk manipuliert werden und die Patienten in Gefahr geraten.

Es handelt sich dabei um Geräte des Herstellers St. Jude Medical, der im vergangenen Jahr vom Pharmakonzern Abbott aufgekauft worden ist. Auch in Europa sind einige dieser Geräte implantiert worden, bestätigte das Unternehmen auf Nachfrage von SPIEGEL ONLINE.

Abbott und die US-amerikanische Lebensmittel- und Arzneimittelbehörde (FDA) raten nun dringend dazu, ein Firmware-Update aufzuspielen, um mögliche Sicherheitslücken in den Herzschrittmachern zu schließen.

Eine neue Software-Version soll unter anderem bei Modellen mit den Bezeichnungen Accent, Anthem, Assurity und Allure "das Risiko reduzieren, dass Patienten durch mögliche Cybersecurity-Schwachstellen gefährdet werden", heißt es bei der FDA .

Laut Abbott handelt es sich um eine weltweite Update-Aktion. In Deutschland sind demnach rund 13.000 Patienten mit einem Herzschrittmacher betroffen. Eine Abbott-Sprecherin sagt: "Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist."

Keine Operation für das Update nötig

Die medizinischen Geräte werden im oberen Bereich der Brust implantiert und regulieren die Herzfrequenz. Da sie per Funk gesteuert werden können, ist für das Update keine Operation nötig.

Laut Abbott gibt es bisher keine Berichte darüber, dass die Sicherheitslücken im Alltag von Patienten bereits ausgenutzt worden sind. Es handele sich nach Informationen des US-Innenministeriums um einen "sehr komplexen Angriff".

Doch die Folgen könnten im Falle einer Manipulation tödlich sein. "Bei einer erfolgreichen Attacke könnten Angreifer in der Nähe unrechtmäßig auf das implantierte medizinische Gerät über Funk zugreifen und Befehle ausführen", heißt es in einem Schreiben des Konzerns an Ärzte in den USA. Die Angreifer seien dann sogar in der Lage, das Gerät zu deaktivieren.

Betroffene Patienten müssen das Update in einem Krankenhaus aufspielen lassen. Die Installation dauert drei Minuten, währenddessen läuft das Gerät in einem Backup-Modus. Laut Abbott muss klinisches Fachpersonal das Software-Update beaufsichtigen, da beim Aufspielen das Risiko besteht, dass Daten verloren gehen oder eine Fehlfunktion auftritt.