«Ich bin ja selbst eine Art Cyborg»

Die norwegische IT-Sicherheitsexpertin Marie Moe erzählt, wie sich ein Hackerangriff im eigenen Körper anfühlt.

Ständiger Begleiter: Marie Moe mit Herzschrittmacher. (Bild: Chris Guldberg)

Erlauben Sie uns eine persönliche Frage: Sie tragen einen Herzschrittmacher, der Sie bereits einmal in eine heikle Situation brachte. Was ist geschehen?
Marie Moe: Ich bin natürlich froh, einen Schrittmacher eingepflanzt bekommen zu haben, weil ich sonst nicht mehr da wäre. Aber ich habe zwei lebensgefährliche IT-Fehler überlebt: Ich hatte lange Zeit Mühe beim Treppensteigen und beim sportlichen Training. Erst nach längerer Zeit fand ich als IT-Expertin heraus, dass mein Schrittmacher für Pulsraten über 160 falsch programmiert gewesen war. Die Einstellung meines Herzschrittmachers war vorgesehen für ältere und weniger aktive Patienten. 

Und was war der zweite IT-Fehler?
Eine zweite lebensgefährliche Episode ereignete sich auf dem Weg zu einem Referat in den Niederlanden. Offenbar hatte die kosmische Strahlung während des Fluges meine persönliche Einstellung des Schrittmachers deaktiviert und ihn in den «Backup-Modus» zurückgesetzt, was natürlich nicht hätte passieren dürfen.   

Sie sind Expertin für IT-Sicherheit und laufen Halbmarathons. Können Sie nach dem Erlebten dem Gerät in Ihnen noch vertrauen?
Ja. Am 4. November 2018 laufe ich sogar den ganzen Marathon in New York, und ich freue mich darauf. Ich bin gut vorbereitet. Als Sportlerin und IT-Sicherheitsexpertin will und kann ich erforschen und beweisen, dass ein sportliches Leben mit Schrittmacher durchaus machbar ist, wenn die Software richtig konzipiert und eingestellt ist. 

Aus Angst vor möglichen Hacker-Angriffen hat der ehemalige US-Vizepräsident Dick Cheney die drahtlose Fernsteuerungsfunktion seines Herzschrittmachers vorsorglich abschalten lassen. Wie beurteilen Sie das?
Ich habe Verständnis dafür. Mit seinem exponierten Profil war er durchaus ein mögliches Zielobjekt für bösartige Hackerangriffe. Mich selbst sehe ich jedoch nicht als ein wahrscheinliches Ziel für solche Cyberkrieg-Angriffe.

Gezielte Angriffe auf lebensnotwendige persönliche Geräte – Insulinpumpen oder eben Herzschrittmacher – klingen nach Science-Fiction-Thriller. Ist diese Bedrohung real?
Technisch gesehen ist diese Bedrohung durchaus real. Mit sogenanntem ethischen Hacking, also im Auftrag von Anbietern, wurde gezeigt, dass viele Geräte noch Angriffsflächen bieten. Es gibt aber keine Bestätigung dafür, dass solche gezielten Angriffe bereits stattgefunden haben.

Gab es denn noch keine Erpressungen von Spitälern oder Einzelpersonen mit der Drohung, lebenswichtige Apparate aus der Ferne abzustellen?
Es gab kommerziell motivierte Computerviren, die auch britische Spitäler getroffen haben. Dem Vernehmen nach sollen die Erpresser erst gegen Lösegeld Patientenakten mit lebenswichtigen personalisierten Therapieeinstellungen herausgerückt haben.

Bis 2017 sah die Schweizer Regierung die Verantwortung für Cybersicherheit im Gesundheitswesen bei den jeweiligen Spitälern. Mit der Strategie E-Health 2.0 ist immerhin ein koordiniertes Vorgehen von Bund und Kantonen zur Stärkung der Cybersicherheit vorgesehen. Wie ist die Lage in Norwegen?
In Norwegen ist Norsk Helsenett (norwegisches Gesundheitsnetz, die Red.) der exklusive Internet-Provider für alle Spitäler. Und bei dieser Organisation ist auch die Taskforce Helsecert angesiedelt, die sich dem Thema Cybersicherheit in kompetenter Weise annimmt.

Gibt es Länder, die in Sachen Cybersicherheit im Gesundheitswesen weiter sind als die Schweiz oder Norwegen?
Die Niederlande unternehmen viel und haben auch eine entsprechende Cybersicherheits-Taskforce eingeführt. Dort werde ich im Januar 2019 an einer Konferenz sprechen. Ansonsten habe ich nicht die volle Übersicht über den Stand in anderen europäischen Ländern.

Nicht nur im Gesundheitswesen hängt unser Leben von Technik ab – auch im Strassenverkehr tut sich einiges: Würden Sie in ein selbstfahrendes Auto sitzen?
Ja, grundsätzlich bin ich eine Technologieoptimistin. Ein selbstfahrendes Auto klingt für mich komfortabel und spannend. Ich besitze keinen Führerschein. Ein selbstfahrendes Fahrzeug brächte mir also mehr Autonomie. Ich bin aber noch nicht sicher, ob die Technologie sicherheitsmässig bereits genügend ausgereift ist. Man liest noch immer von Unfällen wegen IT-Fehlern.

Autonome Fahrzeuge sorgen aktuell für kontroverse Diskussionen. Um am Markt erfolgreich zu sein, müssen die Produzenten nicht nur Konsumenten, sondern die Gesellschaft als Ganzes von der Sicherheit überzeugen. Was braucht es aus Ihrer Sicht, damit Menschen einer neuen Technik vertrauen?
Technologiefreundliche Menschen reagieren auf neue Technologien mit Neugier und spielerischer Vorfreude. Wenn sie dann aber von groben Sicherheitsmängeln lesen, warten die meisten wohl lieber ab, bis diese Fehler behoben sind.

Im vergangenen Jahr publizierte das Schweizer Fernsehen eine fiktionale Doku über einen langandauernden nationalen Stromausfall. Sie kennen die Herausforderungen zur Sicherung von kritischer Infrastruktur und sehen die Massnahmen hinter den Kulissen. Beruhigt Sie, was Sie wissen oder sorgt zu viel Einblick eher für Sorgen?
(Überlegt lange) Ich denke, dass ich mir durch den tieferen Einblick eher etwas mehr Sorgen über Sicherheitslücken mache als der «Mann auf der Strasse». Ich arbeite beispielsweise bei der Entwicklung des Smart-GRID (intelligente dezentrale Stromnetz-Architektur, in der jeder Strom produzieren und konsumieren kann, die Red.) in Sicherheitsfragen mit. Sorgen bereiten vor allem langlebige Infrastrukturen, die für die Betreiber aus der Ferne schwer zu warten, aber trotzdem angreifbar sind. Es gab 2015 und 2016 in der Ukraine schwere böswillige Hackerangriffe, die das Stromnetz lahmgelegt haben.

Ist man heute gegen solche Gefahren gewappnet?
Nicht immer. Neue Technologie soll meist möglichst rasch auf den Markt gelangen. Die Sicherheitsfragen werden leider oft erst gegen Ende der Entwicklungszeit angegangen. Lebenswichtige Elemente sollten aber erst ans Netz, wenn die Sicherheit garantiert ist. Es wäre langfristig kostengünstiger, Sicherheitsdenken bereits von Anfang an in die Entwicklung innovativer Technologien einzuplanen.

Die Technologisierung der Welt schreitet unaufhaltsam voran. Sind wir nicht automatisch gezwungen, der Künstlichen Intelligenz, der Robotik, der Biotechnologie oder der Blockchain blind zu vertrauen, weil wir ihren Eroberungszug ohnehin nicht stoppen können?
Nein (lacht). Das müssen wir nicht. Technologieanbieter, Anwender und Regulatoren müssen, wie bereits erwähnt, sicherstellen, dass die Sicherheitsfragen früh genug in den Entwicklungsprozess von neuer Technologie eingebaut werden. Vorbeugen ist günstiger als später Sicherheitslücken zu heilen.

Werden wir Menschen zusehends mit den Technologien/Maschinen zusammenschmelzen und zu Cyborgs wie beschrieben in «Homo Deus» des israelischen Intellektuellen Yuval Noah Harari oder – noch gespenstischer – in Dan Browns jüngstem Thriller «Origin»?
Ja, wir lassen immer mehr intelligente Implantate einbauen, um länger oder besser zu leben. Ich bin ja selbst eine Art Cyborg mit meinem Schrittmacher, der mich zu einer lebendigen Person macht – andernfalls wäre ich wohl tot – oder bei anderen Geräten zu einer leistungsfähigeren Person.

Zum Schluss: Sie müssten ab morgen auf alle technischen Geräte ausser einem – und natürlich ausser Ihrem Herzschrittmacher – verzichten. Welches Ding wäre das?
Das wäre die programmierbare Einheit zu meinem Schrittmacher, um diesen zu warten, einzustellen und allenfalls zu verbessern.

Gespräch: Thomas Wälti, Übersetzung: Nicolas Berg


Professorin und Trägerin eines Herzschrittmachers

Marie Moe arbeitet als Teamleiterin einer Forschungsgruppe für Informationssicherheit an der renommierten Forschungsorganisation SINTEF in Trondheim (No). Die 40 Jahre alte Norwegerin ist zudem ausserordentliche Professorin an der Technisch-Naturwissenschaftlichen Universität Norwegens (NTNU). Marie Moe trägt einen Herzschrittmacher. Die IT-Sicherheitsexpertin trat anlässlich der Swiss-Cyber-Storm-Konferenz am 30. Oktober 2018 im Kursaal Bern als Referentin auf. Ihr Thema: «Eine Geschichte meines Herzens – Wie kann ich dem Code in mir vertrauen?»