BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/10517 21. Wahlperiode 02.10.17 Schriftliche Kleine Anfrage des Abgeordneten Dr. Joachim Körner (AfD) vom 27.09.17 und Antwort des Senats Betr.: Sicherheitslücken bei Herzschrittmachern Mehrere Medien berichten unlängst, dass wegen eines Systemfehlers die theoretische Möglichkeit besteht, dass Hacker per Funk auf die Herzschrittmacher eines US-Herstellers St. Jude Medical zugreifen und die Einstellungen verändern können. Ebenfalls sei es zumindest in der Theorie möglich, Batterien über den Zugriff per Funk zu leeren. Obwohl Experten die Gefahr eines Cyberangriffs und dessen Folgen letztlich eher gering einschätzen – dies insbesondere deshalb, weil selbst bei einem erfolgreich gehackten Gerät das Herz des Trägers keinesfalls sofort gänzlich ausfalle, sondern nur in seinen eigenen Rhythmus zurückfalle –, will man mit einem Software- Update die Sicherheitslücke selbstverständlich schließen. Diese Prozedur dauert laut Hersteller 3 Minuten und wird via Funk vorgenommen, macht also keine OP erforderlich. Dennoch bestehen hierbei Risiken – wenn auch nur zu einer geringen Wahrscheinlichkeit. Es sei möglich, dass das Gerät aufgrund eines unvollständigen Updates wieder auf eine vorherige Version zurückgesetzt wird oder aktuelle Einstellungen gelöscht werden. Deutschlandweit sind etwa 12.000 Geräte dieses Herstellers betroffen. Laut Expertenschätzung sind aber ähnliche Sicherheitslücken auch bei anderen Herstellern denkbar. Vor diesem Hintergrund frage ich den Senat: Für die Bewertung von Risiken bei der Anwendung oder Verwendung von Medizinprodukten ist die jeweilige Bundesoberbehörde zuständig. In diesem Fall das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Hinsichtlich der in Rede stehenden Herzschrittmacher wurde von der Firma Abbott, die den Hersteller St. Jude Medical übernommen hat, eine eigenverantwortliche Korrekturmaßnahme (Firmware- Update) als Teil eines planmäßigen Updates angekündigt und dem BfArM gemeldet, nachdem sie auf die mögliche Sicherheitslücke von der amerikanischen FDA hingewiesen worden war. Das BfArM hat aktuell die korrektiven Maßnahmen des Herstellers als ausreichend im Sinne der Risikominimierung bewertet und sieht derzeit keinen weiteren Handlungsbedarf . Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: 1. Wie viele in Hamburg gemeldete Personen tragen Herzschrittmacher des Herstellers St. Jude Medical? 2. Wie viele von ihnen tragen die Modelle, bei denen ein Software-Update erforderlich ist? Drucksache 21/10517 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 In den Hamburger Plankrankenhäusern mit kardiologischen Abteilungen wurden Herzschrittmacher des Herstellers St. Jude Medical verwendet. Die konkrete Zahl von Patientinnen und Patienten, die Schrittmacher des Herstellers St. Jude tragen beziehungsweise die von der Maßnahme betroffen sind, sind dem Senat aktuell nicht bekannt. Gemäß § 15 Medizinprodukte-Betreiberverordnung müssen Betreiber, die Herzschrittmacher implantieren, die Dokumentation zu diesen Implantaten und den betroffenen Patienten ausschließlich selbst aufbewahren und der zuständigen Behörde nicht übermitteln. Die genaue Anzahl der Patienten, die Herzschrittmacher des Herstellers St. Jude Medical tragen, müsste zur Beantwortung der Frage bei allen implantierenden Einrichtungen abgefragt werden. Dies war in der Kürze der zur Beantwortung einer Parlamentarischen Anfrage zur Verfügung stehenden Zeit nicht möglich. 3. Bei wie vielen von denen wurde bereits das erforderliche Software- Update vorgenommen? Geschah dies in den Hamburger Kliniken? Wenn ja, waren die Kliniken darauf vorbereitet und in wie vielen Fällen kam es im Zusammenhang mit dem Updaten zu Komplikationen? Das Update der Firma Abbott steht nach Kenntnisstand der zuständigen Behörde aktuell noch nicht zur Verfügung. Infolgedessen sind noch keine erforderlichen Software -Updates vorgenommen worden. 4. Ist dem Senat bekannt, ob auch Herzschrittmacher anderer Hersteller in vergleichbarer Weise Sicherheitslücken aufweisen? Wenn ja, um die Modelle welcher Hersteller handelt es sich? Sind auch bei den Geräten dieser Hersteller bereits Updates vorgenommen worden ? Siehe Vorbemerkung. Der zuständigen Behörde liegen hierzu keine Informationen vor. 5. Hat der Senat die Möglichkeit von Cyberangriffen auf medizinische Geräte bereits in ein Sicherheitskonzept einbezogen? Falls ja, in welcher Weise? Erachtet der Senat die Krankenhäuser kapazitätsmäßig als gut gerüstet für diesen Fall? Wenn ja, weshalb? Wenn nein, weshalb nicht? Die zuständige Behörde hat sich mit möglichen Cyberangriffen auf medizinische Geräte in Krankenhäusern bisher nicht befasst. Für die IT-Sicherheit sind die medizinischen Leistungserbringer eigenverantwortlich zuständig. Der Senat hat keine gesetzliche Grundlage für eine eigene Zuständigkeit.