Abo
  • Services:
Anzeige
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Gebäudesteuerung: Luxusklinik vergaß IT im Netz

Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar.
Die Gebäudesteuerung eines Schweizer Krankenhauses war frei im Netz verfügbar. (Bild: Martin Wolf/Golem.de)

Eine Luxusklinik im idyllischen Schweizer Bergpanorama, die Ausstattung ist nur vom Feinsten. Doch ein wichtiger Punkt hatte beim Neubau offenbar keine Priorität: die Absicherung der eigenen Gebäudesteuerung.
Ein Bericht von Hauke Gierow

Das Krankenhaus Klinik Gut liegt inmitten idyllischer Berglandschaft im kleinen Ort Fläsch in der Schweiz, nahe der Grenze zu Liechtenstein. Die durchgestylte Klinik hat, vertraut man einem Video des Betreibers, wenig mit dem üblichen sterilen Charme eines Krankenhauses zu tun. Selbst die Kantine gleicht eher einem Sternerestaurant mit polierten Weingläsern und hellen Holzpanelen. Nur in einem Punkt war das Design nicht komplett durchdacht: bei der IT des Hauses.

Anzeige

Bei ihrer regelmäßigen Suche nach Schwachstellen im Internet fanden die Sicherheitsforscher Tim Philipp Schäfers und Sebastian Neef heraus, dass die IT des modernen Neubaus aus dem Internet zu erreichen war. Dabei konnten die beiden Betreiber des Projekts Internetwache.org ohne jede Zugangssicherung auf die gesamte Gebäudesteuerung zugreifen - vom Licht über die Lüftungsanlage bis hin zum Medizingas im Operationssaal. Zuvor war es ihnen bereits gelungen, Schwachstellen in Ampelanlagen, Wasserwerken und in anderer kritischer Infrastruktur zu finden.

Probleme mit der IT-Sicherheit in Krankenhäusern sind grundsätzlich nichts Neues. Viele teure Geräte laufen über viele Jahre hinweg, Anlagen wie Magnetresonanztomographen (MRT) sind häufig noch mit Windows XP und anderen veralteten Betriebssystemen ausgestattet. Auch Patches für Sicherheitslücken gibt es meist nicht. Im vergangenen Jahr gab es erfolgreiche Ransomware-Angriffe auf mehrere Krankenhäuser. Im aktuellen Fall aber handelt es sich um ein ganz neues Haus, das eigentlich alle verfügbaren Absicherungen einsetzen sollte.

Zugriff über die IP-Adresse

"Wir waren wirklich überrascht", sagte Tim Philipp Schäfers Golem.de. "Nachdem wir die verwundbaren Geräte im Netz gefunden hatten, brauchten wir nur die IP-Adresse in den Browser kopieren und hätten vollen Zugriff auf die Anlagen bekommen können." Zahlreiche Screenshots dokumentieren, wie umfangreich der Zugriff auf die smarte Klinik theoretisch hätte sein können.

  • Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)
  • Auch der Zugriff auf kritische medizinische Anlagen war möglich. (Screenshot: Internetwache.org/Golem.de)
  • Ein Grundrissplan des Krankenhauses (Screenshot: Internetwache.org/Golem.de)
  • Die Lüftungssteuerung (Screenshot: Internetwache.org/Golem.de)
  • Auch das Garagentor kann mit der Steuerung manipuliert werden. (Screenshot: Internetwache.org/Golem.de)
  • Alarmmeldungen werden gebündelt angezeigt und können über die Weboberfläche quittiert werden. (Screenshot: Internetwache.org/Golem.de)
  • Eine Übersicht über die Heizungsanlagen (Screenshot: Internetwache.org/Golem.de)
  • Die Weboberfläche gab detaillierte Aufschlüsse über das Design der Anlage. (Screenshot: Internetwache.org/Golem.de)
Das Krankenhaus in der Übersicht (Screenshot: Internetwache.org/Golem.de)

Dokumentiert ist neben der Regelung der Luftzufuhr von Küche, Korridor und den Operationssälen die "Notlüftung Dachzentrale (SS2)". Auch Alarmmeldungen für Batterie, Netzausfall oder Wechselrichter konnten über das System angesteuert werden. Deutlich problematischer aber ist, dass die Steuerung den Zugriff auf verschiedene medizinische Gase ermöglicht, etwa für Sauerstoff oder Druckluftgeräte. Wenig überraschend: Sogar die Beleuchtung war aus der Ferne zugänglich.

Schaltpläne für Spione 

eye home zur Startseite
plutoniumsulfat 01. Mär 2017

Naja, ob da der patient viel von hat, wenn da jetzt statt ISO hastenichtgesehen ISO...

tingelchen 01. Mär 2017

Mich würde es nicht wundern, wenn die einfach ein paar Firewall Regeln gesetzt haben...

ahoihoi 01. Mär 2017

IT-News vergaß Qualität in Überschrift

magheinz 28. Feb 2017

kennst du dieses Kinderlied wo die Sänger abwechselnd aus der Mülltonne schauen oder...

emuuu 28. Feb 2017

Ist ein deduktiver Schluss, daher falsch. Die Aussage im Artikel ist simple Mengenlehre...



Anzeige

Stellenmarkt
  1. über Nash Direct GmbH, Stuttgart
  2. Dataport, Altenholz bei Kiel, Hamburg
  3. LexCom Informationssysteme GmbH, München
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Spiele-Angebote
  1. (-46%) 26,99€
  2. (-73%) 10,99€
  3. (u. a. Cities: Skylines für 6,66€)

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

  1. Re: "Die FRITZ!Box am Breitbandanschluss"

    decaflon | 21:21

  2. Kompromittiertes System und Beweisverwertung!?

    Sandeeh | 21:14

  3. Re: endlich diese Farce beenden - alle...

    thorben | 21:13

  4. Re: Wo liegt mein Fehler?

    quineloe | 21:11

  5. Re: In der Praxis: Alles über die Server von Skype

    thorben | 21:11


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel