• IT-Karriere:
  • Services:

Schaltpläne für Spione

Über das Webinterface konnten externe Benutzer nicht nur auf verschiedene Funktionen der Gebäudesteuerung zugreifen, sondern auch detaillierte Schaltpläne und Anleitungen herunterladen. Darüber hinaus gibt es auf der Webseite einen 3D-Rundgang durch das Haus. "Potenzielle Angreifer hätten sich so ein sehr detailliertes Bild von der Infrastruktur und den Örtlichkeiten verschaffen können", sagte Sebastian Neef Golem.de. Bedenkt man, dass die Patienten der Klinik im Durchschnitt recht gut betucht sein und Privatsphäre schätzen dürften, ist das sicher nicht optimal.

Stellenmarkt
  1. Stadt Erlangen, Erlangen
  2. MEIERHOFER AG, München, Berlin, Leipzig

Schäfers und Neef meldeten die Schwachstelle kurz vor Weihnachten an die zuständige Stelle, die Melde- und Analysestelle Informationssicherung (Melani) in der Schweiz. Diese leitete die Fehlermeldung an das Krankenhaus weiter, innerhalb weniger Tage verschwanden die Systeme aus dem Netz.

  • Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
  • Auch der Zugriff auf kritische medizinische Anlagen war möglich. (Screenshot: Internetwache.org/Golem.de)
  • Ein Grundrissplan des Krankenhauses (Screenshot: Internetwache.org/Golem.de)
  • Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)
  • Auch das Garagentor kann mit der Steuerung manipuliert werden. (Screenshot: Internetwache.org/Golem.de)
  • Alarmmeldungen werden gebündelt angezeigt und können über die Weboberfläche quittiert werden. (Screenshot: Internetwache.org/Golem.de)
  • Eine Übersicht über die Heizungsanlagen (Screenshot: Internetwache.org/Golem.de)
  • Die Weboberfläche gab detaillierte Aufschlüsse über das Design der Anlage. (Screenshot: Internetwache.org/Golem.de)
Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)

Auf Anfrage von Golem.de will die Stelle den Vorgang nicht kommentieren: "Wir behandeln alle uns gemeldeten Vorfälle streng vertraulich und können deshalb den von Ihnen referenzierten Vorfall weder bestätigen noch dementieren", sagte Max Klaus, stellvertretender Leiter der Behörde. Die Kommunikation zwischen dem Team von Internetwache.org und Melani liegt Golem.de vor.

Mit der Reaktion der Behörde und des Krankenhauses sind die beiden Sicherheitsforscher zufrieden: "Es ist schön, wenn Sicherheitshinweise von White-Hat-Hackern konstruktiv aufgenommen werden", sagt Sebastian Neef Golem.de. Leider nehmen nicht alle betroffenen Stellen Hinweise konstruktiv auf - oder handeln einfach gar nicht.

Doch warum waren die Systeme überhaupt ungeschützt im Netz? Die Klinik teilte der Meldestelle mit, es habe sich lediglich um einen Testlauf vor der eigentlichen Eröffnung des Krankenhauses gehandelt. Überprüfen lässt sich das nicht - gut möglich, dass die Systeme ohne die Hinweise der beiden Forscher auch nach der Eröffnung noch online verfügbar gewesen wären.

Auf Anfragen wollte das Krankenhaus nicht antworten

Das Krankenhaus wollte den gesamten Vorfall auf mehrfache Anfrage von Golem.de nicht kommentieren. Eine Sprecherin zeigte sich am Telefon erstaunt ob der Anfrage und wollte diese an die IT weiterleiten. Doch trotz erneuter Nachfrage gibt es bislang kein Statement und auch keine Erklärung für das Verhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Gebäudesteuerung: Luxusklinik vergaß IT im NetzTestlauf ist keine Entschuldigung 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. 499,99€
  2. (u. a. Ryzen 7 5800X für 469€)

plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...


Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /