Abo
  • Services:
Anzeige
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Testlauf ist keine Entschuldigung

Für Neef und Schäfers ist der angebliche Testlauf keine Entschuldigung, die Systeme nicht wenigstens mit einem Passwort abzusichern: "Wir haben bei dem Mirai-Botnetz und anderen Angriffen gesehen, dass verwundbare Infrastrukturen mittlerweile automatisch nach Schwachstellen abgescannt werden und auch Angriffe automatisch erfolgen können", sagte Tim Philipp Schäfers Golem.de. Deshalb sei es nicht sehr verantwortungsvoll, Infrastruktur vorab ungeschützt zu betreiben.

Anzeige

Wir haben das Krankenhaus um eine Stellungnahme gebeten, welche Schritte es unternommen hat, um sicherzustellen, dass die mit dem Internet verbundenen Systeme sich während der Testphase keine Schadsoftware eingefangen haben. Auch auf diese Anfrage hat das Unternehmen leider nicht reagiert.

Die von dem Krankenhaus eingesetzte Lösung ist keine Eigenentwicklung, sondern stammt von einem Systemintegrator. Anlagen der Firma kommen der Webseite des Unternehmens zufolge in zahlreichen Einrichtungen in der Schweiz zum Einsatz, unter anderem auch in anderen Krankenhäusern und Einrichtungen der öffentlichen Verwaltung.

Auch der Hersteller schweigt

Gerne hätten wir in Erfahrung gebracht, ob das Equipment des Herstellers generell nach der Installation frei im Internet verfügbar ist - und die Absicherung immer erst direkt vor der Inbetriebnahme geschieht. Auch wüssten wir gern, ob der Integrator immer die Kunden in der Pflicht sieht, die Systeme abzusichern, oder sich selbst dafür in die Verantwortung nimmt. Leider reagierte aber auch der Hersteller des Equipments nicht auf unsere Anfrage.

Schäfers und Neef hatten in früheren Untersuchungen nicht nur Schwachstellen bei der konkreten Absicherung gefunden, sondern auch konkrete Verwundbarkeiten in der Software, die ein Angreifer ausnutzen könnte. Mittels Cross-Site-Scripting und Header Injection hätten Angreifer unter Umständen Code ausführen können. Die Schwachstellen sind gemeldet, aber noch nicht behoben.

Immerhin: Krankenakten oder andere persönliche Daten von Patienten des Krankenhauses sind über das System nicht zu erreichen.

 Schaltpläne für Spione

eye home zur Startseite
plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

Themenstart

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

Themenstart

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

Themenstart

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

Themenstart

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Hochschule Esslingen, Esslingen
  2. MEKRA Lang GmbH & Co. KG, Ergersheim
  3. über Ratbacher GmbH, Raum Duisburg
  4. Daimler AG, Sindelfingen


Anzeige
Hardware-Angebote
  1. 274,90€ + 3,99€ Versand
  2. 77,00€
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Action

    Bungie bestätigt PC-Version von Destiny 2

  2. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  3. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  4. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  5. Thimbleweed Park im Test

    Mord im Pixelparadies

  6. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  7. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  8. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  9. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  10. Hashfunktion

    Der schwierige Abschied von SHA-1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WLAN-Störerhaftung: Wie gefährlich sind die Netzsperrenpläne der Regierung?
WLAN-Störerhaftung
Wie gefährlich sind die Netzsperrenpläne der Regierung?
  1. Telia Schwedischer ISP muss Nutzerdaten herausgeben
  2. Die Woche im Video Dumme Handys, kernige Prozessoren und Zeldaaaaaaaaaa!
  3. Störerhaftung Regierung will Netzsperren statt Abmahnkosten

In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

  1. Re: Scheint so als würde denen das Geld langsam...

    ZuWortMelder | 01:48

  2. Re: Glückwunsch zur erfolgreichen Landung!

    PocketIsland | 01:42

  3. Re: Job vergeben

    plutoniumsulfat | 01:28

  4. kennt jemand ein UNI-Windows-Consolen-Hash...

    Golressy | 01:22

  5. Re: Wer seine Kinder als wahre Täter von...

    Garius | 01:21


  1. 22:53

  2. 19:00

  3. 18:40

  4. 18:20

  5. 18:00

  6. 17:08

  7. 16:49

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel