Cybersecurity-Schlupfloch bei bestimmten Insulinpumpen

Medtronic kann für die MiniMed 600er Serie die Möglichkeit nicht ausschließen, dass sich ein unbefugter Dritter in die Pumpe einhacken und das Gerät zu einer Über- oder Unterinfusion von Insulin veranlassen könnte.

Cybersicherheit: Schutz vor unbefugter Daten-Preisgabe, Veränderung und Funktionsverlust

Kommunikation zwischen den Komponenten des Pumpensystems nicht vor unbefugtem Zugriff sicher

Zwei Insulinpumpen-Modelle der MiniMed™ 600 Serie, MiniMed 630G und MiniMed 670G, beinhalten drahtlose Komponenten, wie die Pumpe selbst, den Sender zur kontinuierlichen Blutzuckermessung, das Blutzuckermessgerät und das CareLink USB-Gerät. Der Hersteller Medtronic warnt in einer dringenden Mitteilung zur Korrektur an Medizinprodukten davor, dass ein unbefugter Zugriff das Kommunikationsprotokoll der Pumpe beeinträchtigen und dazu führen könnte, dass sie zu viel oder zu wenig Insulin abgibt.2 Medtronic entdeckte die Sicherheitslücke durch interne Tests. 

"Damit ein unbefugter Zugriff erfolgen kann, müsste sich eine andere Person als Sie oder Ihr Pflegepartner in der Nähe Zugang zu Ihrer Pumpe verschaffen, und zwar zeitgleich mit der Kopplung der Pumpe mit anderen Systemkomponenten. Dies ist über das Internet nicht möglich", stellt Medtronic klar.2

Auf Nummer sicher gehen: Fernbolusfunktion der Pumpe dauerhaft deaktivieren

Auch wenn es nach Angaben des Herstellers nicht zu derartigen Zwischenfällen gekommen ist, hat der Hersteller Abhilfemaßnahmen vorgelegt. Die wichtigsten Empfehlungen lauten, das Pairing von Komponenten an einem nicht öffentlichen Ort durchzuführen (was zuweilen schwer umsetzbar sein dürfte) sowie die Funktion "Fernbolus" an der Pumpe auszuschalten (Cave: Diese ist standardmäßig aktiviert, also selbst, wenn diese Funktion noch nie verwendet wurde). Außerdem wird empfohlen, die USB-Kommunikationsverbindung zum Computer zu trennen, wenn sie nicht gerade zum Herunterladen von Pumpendaten verwendet wird und auf alle Meldungen der Pumpe zu achten. Fernverbindungsanfragen und Boli (sofern unautorisiert) sollten selbstverständlich abgebrochen werden. Ebenso sollte auf einen Blutzuckermesswert hin, den der Patient nicht selbst initiiert hat, keinesfalls bestätigt, kalibriert oder ein Bolus zugelassen werden. Nutzer sollten ihre Pumpe und die angeschlossenen Systemkomponenten jederzeit im Blick behalten und keine Interaktion ihrer Pumpe mit Software oder Geräten von Drittanbietern erlauben.2

Dass es möglich ist, eine Insulinpumpe zu hacken, wurde erstmals 2011 von einem erfahrenen Hacker mit Typ-1-Diabetes gezeigt. Hierzu war die Kenntnis der Seriennummer der Pumpe ausreichend. Seither erhielt die FDA zwar immer wieder Nutzermeldungen über Fehlfunktionen von Insulinpumpen, jedoch nicht in Zusammenhang mit Fremdzugriffen. 2015 warnte Dr. David C. Klonoff, ein auf die Entwicklung von Diabetes-Technologie spezialisierter Endokrinologe: "Ein unbefugter Zugriff auf vernetzte Diabetesgeräte ist simuliert worden und könnte in der Realität vorkommen."1 Die jetzige Meldung ist nun das zweite Mal in den letzten 4 Jahren, dass Cybersicherheitsschwachstellen in Medtronic MiniMed Insulinpumpen gefunden wurden. Medtronic rief 2019 seine Insulinpumpe MiniMed 508 und die Insulinpumpen der Serie MiniMed Paradigm aufgrund von Cybersicherheitslücken zurück. Der aktuelle Warnhinweis beinhaltet keinen Rückruf der Geräte selbst.3

Weitere Informationen, technische Unterstützung und ein Meldeformular für unerwünschte Ereignisse stehen unter www.medtronic.com/security zur Verfügung.
 

Quellen:
  1. Klonoff, D. C. Cybersecurity for Connected Diabetes Devices. J Diabetes Sci Technol 9, 1143–1147 (2015).
  2. Urgent Medical Device Correction - Medtronic. Medtronic Diabetes https://www.medtronicdiabetes.com/customer-support/product-and-service-updates/notice19-letter (2022).
  3. FDA warns of possible cybersecurity risk with Medtronic MiniMed 600 Series insulin pumps. https://www.healio.com/news/endocrinology/20220920/fda-warns-of-possible-cybersecurity-risk-with-medtronic-minimed-600-series-insulin-pumps.

    letzter Zugriff auf Websites: 15.11.22