Abo
  • Services:
Anzeige
Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

IT-Sicherheit: Auch Medizintechnik lässt sich hacken

Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.
Von Johannes Wendt

Bevor ein Skalpell in hiesigen Operationssälen Körper öffnet, muss sein Stahl dem Deutschen Industriestandard genügen. Das hat gute Gründe: Zur Fehlerquelle Mensch soll nicht auch noch die Fehlerquelle Material hinzukommen. Verglichen damit sind die Anforderungen an IT-Sicherheit in der Medizin eher lax.

Offenbart hat dies zuletzt Billy Rios aus den USA. Der Sicherheitsforscher hat eine Infusionspumpe gehackt, genauer gesagt die Life Care PCA des österreichischen Unternehmens Hospira. Die Pumpe gibt zum Beispiel bei Operationen regelmäßig ein Betäubungsmittel an den Patienten ab. Sie kann aber auch Antibiotika oder andere Medikamente verabreichen.

Anzeige

Rios kaufte sich kurzerhand eine Pumpe auf Ebay und testete sie. Das Ergebnis war ernüchternd: Der Sicherheitsforscher fand nicht nur eine, sondern gleich mehrere Schwachstellen. Angreifer können zwar nicht die aktuellen Dosen der Medikamente ändern. Sie können allerdings die Arzneibibliotheken austauschen. In diesen Bibliotheken wird festgelegt, für welchen Patienten, je nach Alter, Größe, Gewicht und Geschlecht, welche Medikamentendosis die richtige ist. Stellt ein Arzt oder eine Schwester etwa eine zu hohe Dosis ein, schlägt die Pumpe Alarm. Die Pumpe soll also eigentlich eine Überdosierung verhindern. Diese Sicherheitsvorkehrung konnte Rios aushebeln.

Infusionspumpe könnte falsche Dosen verabreichen

Laut Rios kann jeder innerhalb des Krankenhausnetzwerkes auf die Infusionspumpen zugreifen und die Bibliotheken austauschen. Einen gesonderten Schritt, bei dem sich der Nutzer authentifizieren müsste, gibt es im Grunde nicht. Dabei muss der Angreifer noch nicht einmal Zugang zu der Software der Pumpe haben. Es reicht ein Zugang zum Krankenhausnetzwerk.

Rios fand außerdem gravierende Fehler in der Steuerungssoftware für die Infusionspumpe. Das Programm namens Mednet liegt auf den Servern im Krankenhaus. Nicht nur fehlt die Authentifizierung, Mednet speichert auch auf den Krankenhausservern Nutzernamen und Passwörter des Personals im Klartext ab. Das könnten laut Rios wiederum Angreifer ausnutzen, um Zugang zum gesamten Krankenhausnetzwerk zu erlangen. Wie genau das gehen soll, sagt der Forscher jedoch nicht.

Die Ergebnisse von Rios gefährden nicht direkt zahllose Menschenleben. Es ist bisher weder ein Schaden bekannt noch haben Angreifer - wie in anderen Fällen - Datensätze von Patienten gestohlen. Immerhin benötigen Angreifer bereits den Zugang zum internen Krankenhausnetzwerk. Dennoch schafft eine derart designte Infusionspumpe Risiken für Patienten.

Die Gesundheitsbranche liegt in Sachen IT-Sicherheit etwa zehn Jahre hinter in der Zeit zurück. Das denkt zumindest Scott Erven. Der Sicherheitsforscher hatte die Ergebnisse seiner Studie im vergangenen Jahr auf der Defcon in Las Vegas veröffentlicht (PDF). Neben den Schwächen der Infusionspumpen fand er weitere Schwachpunkte digitaler Technik in Krankenhäusern, etwa in Herzschrittmachern.

Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben 

eye home zur Startseite
FreiGeistler 15. Apr 2015

Hat den M$ nicht patentiert?

SchokoMuesli 15. Apr 2015

Hier zumindest werkelt als KIS ein Siemens BS2000 Terminalsystem aus den 80er Jahren...

apriori 14. Apr 2015

Jo, stimmt. Dazu könnte ich jetzt direkt bezogen auf meinen damaligen Zivi erzählen...

tingelchen 14. Apr 2015

Die Industrie baut die Geräte und schreibt die Software. Du würdest dich wundern was für...

cry88 14. Apr 2015

Sondern das Netz für die kritische Infrastruktur und da ist es ziemlich schwer Zugriff zu...



Anzeige

Stellenmarkt
  1. EWE WASSER GmbH, Cuxhaven
  2. Robert Bosch GmbH, Reutlingen
  3. Giesecke+Devrient GmbH, München
  4. Landratsamt Schweinfurt, Schweinfurt


Anzeige
Top-Angebote
  1. 15,99€
  2. 14,99€

Folgen Sie uns
       


  1. Smarter

    Katastrophen-App kann ohne Mobilfunknetz kommunizieren

  2. Statt Docker und Kubernetes

    Facebook braucht Tupperware für seine Container

  3. Windows 10 Version 1709 im Kurztest

    Ein bisschen Kontaktpflege

  4. Powerline Advanced

    Devolo bringt DLAN-Adapter mit zwei Ports und Steckdose

  5. CSE

    Kanadas Geheimdienst verschlüsselt Malware mit RC4

  6. DUHK-Angriff

    Vermurkster Zufallszahlengenerator mit Zertifizierung

  7. Coda

    Office-365-Alternative kommt ohne "Schiffe versenken" aus

  8. Bethesda

    Wolfenstein 2 benötigt leistungsstarke PC-Hardware

  9. Radeon Software 17.10.2

    AMD-Treiber beschleunigt Destiny 2 um 50 Prozent

  10. Cray und Microsoft

    Supercomputer in der Azure-Cloud mieten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. Mirai-Nachfolger Experten warnen vor "Cyber-Hurrican" durch neues Botnetz
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Lässt sich nicht installieren.

    megaseppl | 13:25

  2. Re: Keepass erste Wahl

    soluga | 13:23

  3. Re: Warum arbeiten die Dinger nicht mit...

    thecrew | 13:23

  4. Re: CYA Security

    My1 | 13:23

  5. Re: Die id Tech-Engine ist super performant

    manudrescher | 13:23


  1. 13:13

  2. 13:12

  3. 12:01

  4. 11:36

  5. 11:13

  6. 10:48

  7. 10:45

  8. 10:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel