Abo
  • Services:
Anzeige
Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

IT-Sicherheit: Auch Medizintechnik lässt sich hacken

Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.
Von Johannes Wendt

Bevor ein Skalpell in hiesigen Operationssälen Körper öffnet, muss sein Stahl dem Deutschen Industriestandard genügen. Das hat gute Gründe: Zur Fehlerquelle Mensch soll nicht auch noch die Fehlerquelle Material hinzukommen. Verglichen damit sind die Anforderungen an IT-Sicherheit in der Medizin eher lax.

Offenbart hat dies zuletzt Billy Rios aus den USA. Der Sicherheitsforscher hat eine Infusionspumpe gehackt, genauer gesagt die Life Care PCA des österreichischen Unternehmens Hospira. Die Pumpe gibt zum Beispiel bei Operationen regelmäßig ein Betäubungsmittel an den Patienten ab. Sie kann aber auch Antibiotika oder andere Medikamente verabreichen.

Anzeige

Rios kaufte sich kurzerhand eine Pumpe auf Ebay und testete sie. Das Ergebnis war ernüchternd: Der Sicherheitsforscher fand nicht nur eine, sondern gleich mehrere Schwachstellen. Angreifer können zwar nicht die aktuellen Dosen der Medikamente ändern. Sie können allerdings die Arzneibibliotheken austauschen. In diesen Bibliotheken wird festgelegt, für welchen Patienten, je nach Alter, Größe, Gewicht und Geschlecht, welche Medikamentendosis die richtige ist. Stellt ein Arzt oder eine Schwester etwa eine zu hohe Dosis ein, schlägt die Pumpe Alarm. Die Pumpe soll also eigentlich eine Überdosierung verhindern. Diese Sicherheitsvorkehrung konnte Rios aushebeln.

Infusionspumpe könnte falsche Dosen verabreichen

Laut Rios kann jeder innerhalb des Krankenhausnetzwerkes auf die Infusionspumpen zugreifen und die Bibliotheken austauschen. Einen gesonderten Schritt, bei dem sich der Nutzer authentifizieren müsste, gibt es im Grunde nicht. Dabei muss der Angreifer noch nicht einmal Zugang zu der Software der Pumpe haben. Es reicht ein Zugang zum Krankenhausnetzwerk.

Rios fand außerdem gravierende Fehler in der Steuerungssoftware für die Infusionspumpe. Das Programm namens Mednet liegt auf den Servern im Krankenhaus. Nicht nur fehlt die Authentifizierung, Mednet speichert auch auf den Krankenhausservern Nutzernamen und Passwörter des Personals im Klartext ab. Das könnten laut Rios wiederum Angreifer ausnutzen, um Zugang zum gesamten Krankenhausnetzwerk zu erlangen. Wie genau das gehen soll, sagt der Forscher jedoch nicht.

Die Ergebnisse von Rios gefährden nicht direkt zahllose Menschenleben. Es ist bisher weder ein Schaden bekannt noch haben Angreifer - wie in anderen Fällen - Datensätze von Patienten gestohlen. Immerhin benötigen Angreifer bereits den Zugang zum internen Krankenhausnetzwerk. Dennoch schafft eine derart designte Infusionspumpe Risiken für Patienten.

Die Gesundheitsbranche liegt in Sachen IT-Sicherheit etwa zehn Jahre hinter in der Zeit zurück. Das denkt zumindest Scott Erven. Der Sicherheitsforscher hatte die Ergebnisse seiner Studie im vergangenen Jahr auf der Defcon in Las Vegas veröffentlicht (PDF). Neben den Schwächen der Infusionspumpen fand er weitere Schwachpunkte digitaler Technik in Krankenhäusern, etwa in Herzschrittmachern.

Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben 

eye home zur Startseite
FreiGeistler 15. Apr 2015

Hat den M$ nicht patentiert?

SchokoMuesli 15. Apr 2015

Hier zumindest werkelt als KIS ein Siemens BS2000 Terminalsystem aus den 80er Jahren...

apriori 14. Apr 2015

Jo, stimmt. Dazu könnte ich jetzt direkt bezogen auf meinen damaligen Zivi erzählen...

tingelchen 14. Apr 2015

Die Industrie baut die Geräte und schreibt die Software. Du würdest dich wundern was für...

cry88 14. Apr 2015

Sondern das Netz für die kritische Infrastruktur und da ist es ziemlich schwer Zugriff zu...



Anzeige

Stellenmarkt
  1. twocream, Wuppertal
  2. DATAGROUP Köln GmbH, Starnberg bei München
  3. OSRAM GmbH, Garching bei München
  4. Bundesanstalt für Materialforschung und -prüfung (BAM), Berlin-Steglitz


Anzeige
Blu-ray-Angebote
  1. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  2. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  3. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops

  4. O2 und E-Plus

    Telefónica hat weiter Probleme außerhalb von Städten

  5. Project Zero

    Google-Entwickler baut Windows-Loader für Linux

  6. Dan Cases A4-SFX v2

    Minigehäuse erhält Fenster und wird Wakü-kompatibel

  7. Razer Core im Test

    Grafikbox + Ultrabook = Gaming-System

  8. iPhone-Hersteller

    Apple testet 5G-Technologie

  9. Cern

    Der LHC ist zurück aus der Winterpause

  10. Jamboard

    Googles Smartboard kommt in den USA auf den Markt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Verfügbarkeit Razer Blade Stealth

    felyyy | 16:02

  2. Re: Unterschied OLED zu QLED

    furam | 16:01

  3. Re: Demnächst geplant: 30%-Quote für asiatische...

    Lixht | 16:01

  4. Re: Pay to Win?

    david_rieger | 15:55

  5. Re: Far Cry 5 wird wohl der Grund sein

    RickRickdiculou... | 15:55


  1. 15:40

  2. 15:32

  3. 15:20

  4. 14:59

  5. 13:22

  6. 12:41

  7. 12:01

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel