Abo
  • IT-Karriere:

Gebäudesteuerung: Luxusklinik vergaß IT im Netz

Eine Luxusklinik im idyllischen Schweizer Bergpanorama, die Ausstattung ist nur vom Feinsten. Doch ein wichtiger Punkt hatte beim Neubau offenbar keine Priorität: die Absicherung der eigenen Gebäudesteuerung.

Ein Bericht von veröffentlicht am
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Das Krankenhaus Klinik Gut liegt inmitten idyllischer Berglandschaft im kleinen Ort Fläsch in der Schweiz, nahe der Grenze zu Liechtenstein. Die durchgestylte Klinik hat, vertraut man einem Video des Betreibers, wenig mit dem üblichen sterilen Charme eines Krankenhauses zu tun. Selbst die Kantine gleicht eher einem Sternerestaurant mit polierten Weingläsern und hellen Holzpanelen. Nur in einem Punkt war das Design nicht komplett durchdacht: bei der IT des Hauses.

Inhalt:
  1. Gebäudesteuerung: Luxusklinik vergaß IT im Netz
  2. Schaltpläne für Spione
  3. Testlauf ist keine Entschuldigung

Bei ihrer regelmäßigen Suche nach Schwachstellen im Internet fanden die Sicherheitsforscher Tim Philipp Schäfers und Sebastian Neef heraus, dass die IT des modernen Neubaus aus dem Internet zu erreichen war. Dabei konnten die beiden Betreiber des Projekts Internetwache.org ohne jede Zugangssicherung auf die gesamte Gebäudesteuerung zugreifen - vom Licht über die Lüftungsanlage bis hin zum Medizingas im Operationssaal. Zuvor war es ihnen bereits gelungen, Schwachstellen in Ampelanlagen, Wasserwerken und in anderer kritischer Infrastruktur zu finden.

Probleme mit der IT-Sicherheit in Krankenhäusern sind grundsätzlich nichts Neues. Viele teure Geräte laufen über viele Jahre hinweg, Anlagen wie Magnetresonanztomographen (MRT) sind häufig noch mit Windows XP und anderen veralteten Betriebssystemen ausgestattet. Auch Patches für Sicherheitslücken gibt es meist nicht. Im vergangenen Jahr gab es erfolgreiche Ransomware-Angriffe auf mehrere Krankenhäuser. Im aktuellen Fall aber handelt es sich um ein ganz neues Haus, das eigentlich alle verfügbaren Absicherungen einsetzen sollte.

Zugriff über die IP-Adresse

"Wir waren wirklich überrascht", sagte Tim Philipp Schäfers Golem.de. "Nachdem wir die verwundbaren Geräte im Netz gefunden hatten, brauchten wir nur die IP-Adresse in den Browser kopieren und hätten vollen Zugriff auf die Anlagen bekommen können." Zahlreiche Screenshots dokumentieren, wie umfangreich der Zugriff auf die smarte Klinik theoretisch hätte sein können.

  • Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
  • Auch der Zugriff auf kritische medizinische Anlagen war möglich. (Screenshot: Internetwache.org/Golem.de)
  • Ein Grundrissplan des Krankenhauses (Screenshot: Internetwache.org/Golem.de)
  • Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)
  • Auch das Garagentor kann mit der Steuerung manipuliert werden. (Screenshot: Internetwache.org/Golem.de)
  • Alarmmeldungen werden gebündelt angezeigt und können über die Weboberfläche quittiert werden. (Screenshot: Internetwache.org/Golem.de)
  • Eine Übersicht über die Heizungsanlagen (Screenshot: Internetwache.org/Golem.de)
  • Die Weboberfläche gab detaillierte Aufschlüsse über das Design der Anlage. (Screenshot: Internetwache.org/Golem.de)
Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg

Dokumentiert ist neben der Regelung der Luftzufuhr von Küche, Korridor und den Operationssälen die "Notlüftung Dachzentrale (SS2)". Auch Alarmmeldungen für Batterie, Netzausfall oder Wechselrichter konnten über das System angesteuert werden. Deutlich problematischer aber ist, dass die Steuerung den Zugriff auf verschiedene medizinische Gase ermöglicht, etwa für Sauerstoff oder Druckluftgeräte. Wenig überraschend: Sogar die Beleuchtung war aus der Ferne zugänglich.

Schaltpläne für Spione 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 29,99€
  3. 32,99€
  4. 33,49€

plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Medienkompetenz: Was, Ihr Kind kann nicht programmieren?
Medienkompetenz
Was, Ihr Kind kann nicht programmieren?

Lesen, schreiben, rechnen und coden: Müssen Kinder programmieren lernen? Vielleicht nicht. Aber sie sollen verstehen, wie Computer funktionieren. Wie das am besten geht.
Von Jakob von Lindern

  1. 5G Milliardenlücke beim Digitalpakt Schule droht
  2. Digitalpakt Schuldigitalisierung kann starten
  3. Whatsapp bei Lehrern Kultusministerkonferenz pocht auf Datenschutz

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

    •  /