Abo
  • Services:
Anzeige
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Testlauf ist keine Entschuldigung

Für Neef und Schäfers ist der angebliche Testlauf keine Entschuldigung, die Systeme nicht wenigstens mit einem Passwort abzusichern: "Wir haben bei dem Mirai-Botnetz und anderen Angriffen gesehen, dass verwundbare Infrastrukturen mittlerweile automatisch nach Schwachstellen abgescannt werden und auch Angriffe automatisch erfolgen können", sagte Tim Philipp Schäfers Golem.de. Deshalb sei es nicht sehr verantwortungsvoll, Infrastruktur vorab ungeschützt zu betreiben.

Anzeige

Wir haben das Krankenhaus um eine Stellungnahme gebeten, welche Schritte es unternommen hat, um sicherzustellen, dass die mit dem Internet verbundenen Systeme sich während der Testphase keine Schadsoftware eingefangen haben. Auch auf diese Anfrage hat das Unternehmen leider nicht reagiert.

Die von dem Krankenhaus eingesetzte Lösung ist keine Eigenentwicklung, sondern stammt von einem Systemintegrator. Anlagen der Firma kommen der Webseite des Unternehmens zufolge in zahlreichen Einrichtungen in der Schweiz zum Einsatz, unter anderem auch in anderen Krankenhäusern und Einrichtungen der öffentlichen Verwaltung.

Auch der Hersteller schweigt

Gerne hätten wir in Erfahrung gebracht, ob das Equipment des Herstellers generell nach der Installation frei im Internet verfügbar ist - und die Absicherung immer erst direkt vor der Inbetriebnahme geschieht. Auch wüssten wir gern, ob der Integrator immer die Kunden in der Pflicht sieht, die Systeme abzusichern, oder sich selbst dafür in die Verantwortung nimmt. Leider reagierte aber auch der Hersteller des Equipments nicht auf unsere Anfrage.

Schäfers und Neef hatten in früheren Untersuchungen nicht nur Schwachstellen bei der konkreten Absicherung gefunden, sondern auch konkrete Verwundbarkeiten in der Software, die ein Angreifer ausnutzen könnte. Mittels Cross-Site-Scripting und Header Injection hätten Angreifer unter Umständen Code ausführen können. Die Schwachstellen sind gemeldet, aber noch nicht behoben.

Immerhin: Krankenakten oder andere persönliche Daten von Patienten des Krankenhauses sind über das System nicht zu erreichen.

 Schaltpläne für Spione

eye home zur Startseite
plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...



Anzeige

Stellenmarkt
  1. GK Software AG, Schöneck, Pilsen (Tschechische Republik)
  2. Continental AG, Frankfurt, Regensburg
  3. via Harvey Nash GmbH, Berlin
  4. Joblocal GmbH, Kolbermoor


Anzeige
Top-Angebote
  1. (u. a. ASUS VivoBook 15,6" FHD i3/8 GB/256 GB SSD für 333,00€)
  2. (u. a. Iiyama ProLite 25" FHD mit IPS-Panel für 149€ statt 171€ im Vergleich)
  3. (u. a. Das Boot, Memento, Ohne Limit und No Escape)

Folgen Sie uns
       


  1. Wahlprogramm

    SPD will 90 Prozent der Gebäude mit Gigabit-Netzen versorgen

  2. Erziehung

    Erst schriftliche Einwilligung, dann Whatsapp für Kinder

  3. Grafikkarte

    Sapphire bringt Radeon RX 470 für Mining

  4. Betrug

    FTTH-Betreiber wehren sich gegen Glasfaser-Werbelügen

  5. Gamescom

    Mehr Fläche, mehr Merkel und mehr Andrang

  6. Anki Cozmo ausprobiert

    Niedlicher Programmieren lernen und spielen

  7. Hyperkonvergenz

    Red Hat präsentiert freie hyperkonvergente Infrastruktur

  8. Deutsche Telekom

    Narrowband-IoT-Servicepakete ab 200 Euro

  9. Malware

    Der unvollständige Ransomware-Schutz von Windows 10 S

  10. Skylake und Kaby Lake

    Debian warnt vor "Alptraum-Bug" in Intel-CPUs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

Monster Hunter World angespielt: Dicke Dinosauriertränen in 4K
Monster Hunter World angespielt
Dicke Dinosauriertränen in 4K
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Wayne?

    NilsP | 18:53

  2. Ob das Bestand hat?

    jude | 18:51

  3. luft ist shared medium

    le_watchdoge | 18:50

  4. Re: Alptraum? Naja.

    Koto | 18:50

  5. Re: BDSG

    ChMu | 18:47


  1. 18:32

  2. 18:15

  3. 18:03

  4. 17:47

  5. 17:29

  6. 17:00

  7. 16:23

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel