Abo
  • Services:
Anzeige
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Schaltpläne für Spione

Über das Webinterface konnten externe Benutzer nicht nur auf verschiedene Funktionen der Gebäudesteuerung zugreifen, sondern auch detaillierte Schaltpläne und Anleitungen herunterladen. Darüber hinaus gibt es auf der Webseite einen 3D-Rundgang durch das Haus. "Potenzielle Angreifer hätten sich so ein sehr detailliertes Bild von der Infrastruktur und den Örtlichkeiten verschaffen können", sagte Sebastian Neef Golem.de. Bedenkt man, dass die Patienten der Klinik im Durchschnitt recht gut betucht sein und Privatsphäre schätzen dürften, ist das sicher nicht optimal.

Anzeige

Schäfers und Neef meldeten die Schwachstelle kurz vor Weihnachten an die zuständige Stelle, die Melde- und Analysestelle Informationssicherung (Melani) in der Schweiz. Diese leitete die Fehlermeldung an das Krankenhaus weiter, innerhalb weniger Tage verschwanden die Systeme aus dem Netz.

  • Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
  • Auch der Zugriff auf kritische medizinische Anlagen war möglich. (Screenshot: Internetwache.org/Golem.de)
  • Ein Grundrissplan des Krankenhauses (Screenshot: Internetwache.org/Golem.de)
  • Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)
  • Auch das Garagentor kann mit der Steuerung manipuliert werden. (Screenshot: Internetwache.org/Golem.de)
  • Alarmmeldungen werden gebündelt angezeigt und können über die Weboberfläche quittiert werden. (Screenshot: Internetwache.org/Golem.de)
  • Eine Übersicht über die Heizungsanlagen (Screenshot: Internetwache.org/Golem.de)
  • Die Weboberfläche gab detaillierte Aufschlüsse über das Design der Anlage. (Screenshot: Internetwache.org/Golem.de)
Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)

Auf Anfrage von Golem.de will die Stelle den Vorgang nicht kommentieren: "Wir behandeln alle uns gemeldeten Vorfälle streng vertraulich und können deshalb den von Ihnen referenzierten Vorfall weder bestätigen noch dementieren", sagte Max Klaus, stellvertretender Leiter der Behörde. Die Kommunikation zwischen dem Team von Internetwache.org und Melani liegt Golem.de vor.

Mit der Reaktion der Behörde und des Krankenhauses sind die beiden Sicherheitsforscher zufrieden: "Es ist schön, wenn Sicherheitshinweise von White-Hat-Hackern konstruktiv aufgenommen werden", sagt Sebastian Neef Golem.de. Leider nehmen nicht alle betroffenen Stellen Hinweise konstruktiv auf - oder handeln einfach gar nicht.

Doch warum waren die Systeme überhaupt ungeschützt im Netz? Die Klinik teilte der Meldestelle mit, es habe sich lediglich um einen Testlauf vor der eigentlichen Eröffnung des Krankenhauses gehandelt. Überprüfen lässt sich das nicht - gut möglich, dass die Systeme ohne die Hinweise der beiden Forscher auch nach der Eröffnung noch online verfügbar gewesen wären.

Auf Anfragen wollte das Krankenhaus nicht antworten

Das Krankenhaus wollte den gesamten Vorfall auf mehrfache Anfrage von Golem.de nicht kommentieren. Eine Sprecherin zeigte sich am Telefon erstaunt ob der Anfrage und wollte diese an die IT weiterleiten. Doch trotz erneuter Nachfrage gibt es bislang kein Statement und auch keine Erklärung für das Verhalten.

 Gebäudesteuerung: Luxusklinik vergaß IT im NetzTestlauf ist keine Entschuldigung 

eye home zur Startseite
plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...



Anzeige

Stellenmarkt
  1. comemso GmbH, Ostfildern
  2. Landesbetrieb IT.Niedersachsen, Hannover
  3. T-Systems International GmbH, Berlin
  4. WESTPRESS GmbH & Co. KG Werbeagentur, Hamm


Anzeige
Spiele-Angebote
  1. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 25,99€
  3. 1,49€

Folgen Sie uns
       


  1. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  2. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  3. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  4. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  5. Datenbank

    MongoDB bereitet offenbar Börsengang vor

  6. Spielemesse

    Entwickler von Playerunknown's Battlegrounds hält Keynote

  7. Matias Ergo Pro Keyboard im Test

    Die Exzentrische unter den Tastaturen

  8. Deeplearn.js

    Google bringt Deep Learning in den Browser

  9. Satellitennavigation

    Sapcorda will auf Zentimeter genau orten

  10. Nach Beschwerden

    Google löscht Links zu Insolvenzdatenbanken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: Überschrift nicht ganz so klar

    Henne231 | 15:16

  2. Re: Linux?

    decaflon | 15:15

  3. Freestyle Edge finde ich interessanter

    DummyAccount | 15:15

  4. Re: Das ist doch keine News...

    ms (Golem.de) | 15:15

  5. Re: Euch muss man erstmal verstehen

    Mett | 15:14


  1. 15:02

  2. 14:49

  3. 13:50

  4. 13:27

  5. 13:11

  6. 12:20

  7. 12:01

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel