• IT-Karriere:
  • Services:

Schaltpläne für Spione

Über das Webinterface konnten externe Benutzer nicht nur auf verschiedene Funktionen der Gebäudesteuerung zugreifen, sondern auch detaillierte Schaltpläne und Anleitungen herunterladen. Darüber hinaus gibt es auf der Webseite einen 3D-Rundgang durch das Haus. "Potenzielle Angreifer hätten sich so ein sehr detailliertes Bild von der Infrastruktur und den Örtlichkeiten verschaffen können", sagte Sebastian Neef Golem.de. Bedenkt man, dass die Patienten der Klinik im Durchschnitt recht gut betucht sein und Privatsphäre schätzen dürften, ist das sicher nicht optimal.

Stellenmarkt
  1. DAW SE, Ober-Ramstadt
  2. DMG MORI Management GmbH, Bielefeld

Schäfers und Neef meldeten die Schwachstelle kurz vor Weihnachten an die zuständige Stelle, die Melde- und Analysestelle Informationssicherung (Melani) in der Schweiz. Diese leitete die Fehlermeldung an das Krankenhaus weiter, innerhalb weniger Tage verschwanden die Systeme aus dem Netz.

  • Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
  • Auch der Zugriff auf kritische medizinische Anlagen war möglich. (Screenshot: Internetwache.org/Golem.de)
  • Ein Grundrissplan des Krankenhauses (Screenshot: Internetwache.org/Golem.de)
  • Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)
  • Auch das Garagentor kann mit der Steuerung manipuliert werden. (Screenshot: Internetwache.org/Golem.de)
  • Alarmmeldungen werden gebündelt angezeigt und können über die Weboberfläche quittiert werden. (Screenshot: Internetwache.org/Golem.de)
  • Eine Übersicht über die Heizungsanlagen (Screenshot: Internetwache.org/Golem.de)
  • Die Weboberfläche gab detaillierte Aufschlüsse über das Design der Anlage. (Screenshot: Internetwache.org/Golem.de)
Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)

Auf Anfrage von Golem.de will die Stelle den Vorgang nicht kommentieren: "Wir behandeln alle uns gemeldeten Vorfälle streng vertraulich und können deshalb den von Ihnen referenzierten Vorfall weder bestätigen noch dementieren", sagte Max Klaus, stellvertretender Leiter der Behörde. Die Kommunikation zwischen dem Team von Internetwache.org und Melani liegt Golem.de vor.

Mit der Reaktion der Behörde und des Krankenhauses sind die beiden Sicherheitsforscher zufrieden: "Es ist schön, wenn Sicherheitshinweise von White-Hat-Hackern konstruktiv aufgenommen werden", sagt Sebastian Neef Golem.de. Leider nehmen nicht alle betroffenen Stellen Hinweise konstruktiv auf - oder handeln einfach gar nicht.

Doch warum waren die Systeme überhaupt ungeschützt im Netz? Die Klinik teilte der Meldestelle mit, es habe sich lediglich um einen Testlauf vor der eigentlichen Eröffnung des Krankenhauses gehandelt. Überprüfen lässt sich das nicht - gut möglich, dass die Systeme ohne die Hinweise der beiden Forscher auch nach der Eröffnung noch online verfügbar gewesen wären.

Auf Anfragen wollte das Krankenhaus nicht antworten

Das Krankenhaus wollte den gesamten Vorfall auf mehrfache Anfrage von Golem.de nicht kommentieren. Eine Sprecherin zeigte sich am Telefon erstaunt ob der Anfrage und wollte diese an die IT weiterleiten. Doch trotz erneuter Nachfrage gibt es bislang kein Statement und auch keine Erklärung für das Verhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Gebäudesteuerung: Luxusklinik vergaß IT im NetzTestlauf ist keine Entschuldigung 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote

plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...


Folgen Sie uns
       


    •  /