Einige Hersteller reagierten zunächst gar nicht

Alle genannten Schwachstellen sind ernst zu nehmen, denn sie stellen eine Gefahr für Leib und Leben dar. Weitaus gravierender ist jedoch der Umstand, dass viele Hersteller gar nicht oder nur zögerlich auf entsprechende Hinweise reagieren. Die Gefahr bleibt oft lange bestehen.

Vielen Kliniken ist nicht einmal bewusst, dass derartige Sicherheitsanfälligkeiten in ihren Netzwerken existieren. Denen, die informiert sind, bleibt lediglich die Abschaltung der anfälligen Systeme, mit entsprechenden Auswirkungen auf den Krankenhausbetrieb.

"Nur der Hersteller selbst kann die Probleme beheben", betont Pereira. Bis dies geschehen sei, blieben Tausende von Krankenhäusern gefährdet. "Sie wissen nichts von der Gefahr, da die Hersteller die Sicherheitslücken nicht einmal melden", so der Ethical Hacker.

Pereira hat sich mit den 22 Sicherheitslücken Ende Juli 2023 an die 12 Hersteller gewandt, deren Produkte davon betroffen sind. Welches Unternehmen wann reagiert und wann entsprechende Patches bereitgestellt hat, hat er in einer Tabelle dokumentiert, die der Golem.de-Redaktion vorliegt.

Gemischte Reaktionen

Einige Hersteller haben ihre Systeme innerhalb weniger Tage gepatcht, so wie man es erwarten würde. Andere haben gar nicht erst auf Pereiras Anfragen reagiert.

Positiv ist dem Forscher beispielsweise die Reaktion der Dedalus Labor GmbH in Erinnerung. Das Unternehmen antwortete Pereira innerhalb von zwei Tagen, rund eine Woche später stand ein Patch für die Laborsysteme des Herstellers bereit.

Eine Belohnung für das Entdecken der Schwachstellen gab es zwar nicht, immerhin wurde aber die Gefahr in einem angemessenen Zeitrahmen beseitigt. Vergleichbar schnell kamen Patches der Carl Zeiss AG sowie der Firma Moxa Inc., in deren Systemen Pereira ebenfalls Sicherheitslücken aufgespürt hatte.

Die Tetronik GmbH hat ebenfalls einen Patch entwickelt, jedoch ist dieser in einigen Krankenhäusern bis heute noch nicht angekommen – darunter auch jenes, in dem Pereira die Schwachstelle in den Alarmsystemen des Herstellers identifiziert hat.

Der Grund: Das Update muss von Fachleuten in jeder betroffenen Klinik vor Ort manuell eingespielt werden. Tetronik hat das auf Rückfrage der Redaktion bestätigt: Die gepatchte Software werde im Rahmen der regelmäßig stattfindenden sicherheitstechnischen Kontrollen (STK) bei den Kunden installiert.

Gemäß MPBetreibV § 11 kann das im schlimmsten Fall bis zu zwei Jahre dauern. Der Hersteller bietet das Einspielen des Patches zwar auf Wunsch auch unabhängig von der STK an; woher betroffene Krankenhäuser aber überhaupt wissen sollen, dass in ihren Alarmsystemen eine Sicherheitslücke klafft und sie dafür einen Patch anfordern können, bleibt fraglich.

Auf Nachfrage der Redaktion, ob Tetronik seine Kunden über diesen Umstand informiert hat, hat der Hersteller bisher nicht geantwortet.

Ein Hersteller hat bis heute nicht reagiert

Mehrere Unternehmen reagierten schlichtweg gar nicht auf Pereiras Meldungen. Einige davon regten sich erst, als die Golem.de-Redaktion nachhakte. Mit Silex Technology hat einer der betroffenen Hersteller aber auch der Redaktion bis heute nicht geantwortet.

Ein verantwortungsvoller Umgang mit der Situation ließ sich immerhin noch bei der Berghof GmbH erkennen. Dort kam es offenbar zu einer Fehleinschätzung der von Pereira übermittelten Schwachstellenmeldung. "Ich habe die Zentrale angewiesen, zukünftig mit E-Mails, deren Inhalt auf Sicherheitslücken verweist, vorsichtiger umzugehen und diese zu verteilen", entschuldigte sich ein Sprecher des Unternehmens. Der Hersteller hat die E-Mail von Ende Juli 2023 unmittelbar ausfindig gemacht und Kontakt zu Pereira aufgenommen, um die gemeldeten Schwachstellen zu untersuchen.