Abo
  • Services:
Anzeige
Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

IT-Sicherheit: Auch Medizintechnik lässt sich hacken

Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.
Von Johannes Wendt

Bevor ein Skalpell in hiesigen Operationssälen Körper öffnet, muss sein Stahl dem Deutschen Industriestandard genügen. Das hat gute Gründe: Zur Fehlerquelle Mensch soll nicht auch noch die Fehlerquelle Material hinzukommen. Verglichen damit sind die Anforderungen an IT-Sicherheit in der Medizin eher lax.

Offenbart hat dies zuletzt Billy Rios aus den USA. Der Sicherheitsforscher hat eine Infusionspumpe gehackt, genauer gesagt die Life Care PCA des österreichischen Unternehmens Hospira. Die Pumpe gibt zum Beispiel bei Operationen regelmäßig ein Betäubungsmittel an den Patienten ab. Sie kann aber auch Antibiotika oder andere Medikamente verabreichen.

Anzeige

Rios kaufte sich kurzerhand eine Pumpe auf Ebay und testete sie. Das Ergebnis war ernüchternd: Der Sicherheitsforscher fand nicht nur eine, sondern gleich mehrere Schwachstellen. Angreifer können zwar nicht die aktuellen Dosen der Medikamente ändern. Sie können allerdings die Arzneibibliotheken austauschen. In diesen Bibliotheken wird festgelegt, für welchen Patienten, je nach Alter, Größe, Gewicht und Geschlecht, welche Medikamentendosis die richtige ist. Stellt ein Arzt oder eine Schwester etwa eine zu hohe Dosis ein, schlägt die Pumpe Alarm. Die Pumpe soll also eigentlich eine Überdosierung verhindern. Diese Sicherheitsvorkehrung konnte Rios aushebeln.

Infusionspumpe könnte falsche Dosen verabreichen

Laut Rios kann jeder innerhalb des Krankenhausnetzwerkes auf die Infusionspumpen zugreifen und die Bibliotheken austauschen. Einen gesonderten Schritt, bei dem sich der Nutzer authentifizieren müsste, gibt es im Grunde nicht. Dabei muss der Angreifer noch nicht einmal Zugang zu der Software der Pumpe haben. Es reicht ein Zugang zum Krankenhausnetzwerk.

Rios fand außerdem gravierende Fehler in der Steuerungssoftware für die Infusionspumpe. Das Programm namens Mednet liegt auf den Servern im Krankenhaus. Nicht nur fehlt die Authentifizierung, Mednet speichert auch auf den Krankenhausservern Nutzernamen und Passwörter des Personals im Klartext ab. Das könnten laut Rios wiederum Angreifer ausnutzen, um Zugang zum gesamten Krankenhausnetzwerk zu erlangen. Wie genau das gehen soll, sagt der Forscher jedoch nicht.

Die Ergebnisse von Rios gefährden nicht direkt zahllose Menschenleben. Es ist bisher weder ein Schaden bekannt noch haben Angreifer - wie in anderen Fällen - Datensätze von Patienten gestohlen. Immerhin benötigen Angreifer bereits den Zugang zum internen Krankenhausnetzwerk. Dennoch schafft eine derart designte Infusionspumpe Risiken für Patienten.

Die Gesundheitsbranche liegt in Sachen IT-Sicherheit etwa zehn Jahre hinter in der Zeit zurück. Das denkt zumindest Scott Erven. Der Sicherheitsforscher hatte die Ergebnisse seiner Studie im vergangenen Jahr auf der Defcon in Las Vegas veröffentlicht (PDF). Neben den Schwächen der Infusionspumpen fand er weitere Schwachpunkte digitaler Technik in Krankenhäusern, etwa in Herzschrittmachern.

Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben 

eye home zur Startseite
FreiGeistler 15. Apr 2015

Hat den M$ nicht patentiert?

SchokoMuesli 15. Apr 2015

Hier zumindest werkelt als KIS ein Siemens BS2000 Terminalsystem aus den 80er Jahren...

apriori 14. Apr 2015

Jo, stimmt. Dazu könnte ich jetzt direkt bezogen auf meinen damaligen Zivi erzählen...

tingelchen 14. Apr 2015

Die Industrie baut die Geräte und schreibt die Software. Du würdest dich wundern was für...

cry88 14. Apr 2015

Sondern das Netz für die kritische Infrastruktur und da ist es ziemlich schwer Zugriff zu...



Anzeige

Stellenmarkt
  1. BODYCOTE Deutschland GmbH, Düsseldorf
  2. Power Service GmbH, Köln
  3. European XFEL GmbH, Schenefeld
  4. Fresenius Netcare GmbH, Bad Homburg


Anzeige
Hardware-Angebote
  1. 286,99€ (Bestpreis!)
  2. 77,00€ (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One im Hands on

    Android-Smartphone mit toller Hardware-Tastatur

  2. Deutschland

    Smartphone-Aufnahmen in Wahlkabinen werden verboten

  3. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  4. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  5. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  6. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  7. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  8. Autonomes Fahren

    Der Truck lernt beim Fahren

  9. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  10. Kursanstieg

    Bitcoin auf neuem Rekordhoch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

  1. Re: An alle die den Grund für das Verbot nicht...

    lumks | 13:20

  2. Re: Wie löst man das Problem?

    JouMxyzptlk | 13:20

  3. Re: Format?!

    Wahrheitssager | 13:19

  4. Re: Der Preis...

    Wahrheitssager | 13:17

  5. Re: Ist es nicht meine Entscheidung...?

    m_jazz | 13:16


  1. 12:37

  2. 12:17

  3. 10:41

  4. 20:21

  5. 11:57

  6. 09:02

  7. 18:02

  8. 17:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel