• IT-Karriere:
  • Services:

IT-Sicherheit: Auch Medizintechnik lässt sich hacken

Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.

Artikel von Johannes Wendt/Zeit Online veröffentlicht am
Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

Bevor ein Skalpell in hiesigen Operationssälen Körper öffnet, muss sein Stahl dem Deutschen Industriestandard genügen. Das hat gute Gründe: Zur Fehlerquelle Mensch soll nicht auch noch die Fehlerquelle Material hinzukommen. Verglichen damit sind die Anforderungen an IT-Sicherheit in der Medizin eher lax.

Inhalt:
  1. IT-Sicherheit: Auch Medizintechnik lässt sich hacken
  2. Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben

Offenbart hat dies zuletzt Billy Rios aus den USA. Der Sicherheitsforscher hat eine Infusionspumpe gehackt, genauer gesagt die Life Care PCA des österreichischen Unternehmens Hospira. Die Pumpe gibt zum Beispiel bei Operationen regelmäßig ein Betäubungsmittel an den Patienten ab. Sie kann aber auch Antibiotika oder andere Medikamente verabreichen.

Rios kaufte sich kurzerhand eine Pumpe auf Ebay und testete sie. Das Ergebnis war ernüchternd: Der Sicherheitsforscher fand nicht nur eine, sondern gleich mehrere Schwachstellen. Angreifer können zwar nicht die aktuellen Dosen der Medikamente ändern. Sie können allerdings die Arzneibibliotheken austauschen. In diesen Bibliotheken wird festgelegt, für welchen Patienten, je nach Alter, Größe, Gewicht und Geschlecht, welche Medikamentendosis die richtige ist. Stellt ein Arzt oder eine Schwester etwa eine zu hohe Dosis ein, schlägt die Pumpe Alarm. Die Pumpe soll also eigentlich eine Überdosierung verhindern. Diese Sicherheitsvorkehrung konnte Rios aushebeln.

Infusionspumpe könnte falsche Dosen verabreichen

Laut Rios kann jeder innerhalb des Krankenhausnetzwerkes auf die Infusionspumpen zugreifen und die Bibliotheken austauschen. Einen gesonderten Schritt, bei dem sich der Nutzer authentifizieren müsste, gibt es im Grunde nicht. Dabei muss der Angreifer noch nicht einmal Zugang zu der Software der Pumpe haben. Es reicht ein Zugang zum Krankenhausnetzwerk.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Erzbistum Köln, Köln

Rios fand außerdem gravierende Fehler in der Steuerungssoftware für die Infusionspumpe. Das Programm namens Mednet liegt auf den Servern im Krankenhaus. Nicht nur fehlt die Authentifizierung, Mednet speichert auch auf den Krankenhausservern Nutzernamen und Passwörter des Personals im Klartext ab. Das könnten laut Rios wiederum Angreifer ausnutzen, um Zugang zum gesamten Krankenhausnetzwerk zu erlangen. Wie genau das gehen soll, sagt der Forscher jedoch nicht.

Die Ergebnisse von Rios gefährden nicht direkt zahllose Menschenleben. Es ist bisher weder ein Schaden bekannt noch haben Angreifer - wie in anderen Fällen - Datensätze von Patienten gestohlen. Immerhin benötigen Angreifer bereits den Zugang zum internen Krankenhausnetzwerk. Dennoch schafft eine derart designte Infusionspumpe Risiken für Patienten.

Die Gesundheitsbranche liegt in Sachen IT-Sicherheit etwa zehn Jahre hinter in der Zeit zurück. Das denkt zumindest Scott Erven. Der Sicherheitsforscher hatte die Ergebnisse seiner Studie im vergangenen Jahr auf der Defcon in Las Vegas veröffentlicht (PDF). Neben den Schwächen der Infusionspumpen fand er weitere Schwachpunkte digitaler Technik in Krankenhäusern, etwa in Herzschrittmachern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Asus TUF-RTX3080-10G-GAMING 10GB für 739€, MSI GeForce RTX™ 3080 GAMING X TRIO 10GB...
  2. (u. a. GIGABYTE GeForce RTX 3080 Eagle OC 10G für 699€, ASUS GeForce RTX 3080 TUF GAMING für...
  3. 499,99€ (Release 19.11.)
  4. (u. a. Thrustmaster T300 RS GT Edition für 259,29€ statt 331,42€ im Vergleich und ASUS TUF...

FreiGeistler 15. Apr 2015

Hat den M$ nicht patentiert?

SchokoMuesli 15. Apr 2015

Hier zumindest werkelt als KIS ein Siemens BS2000 Terminalsystem aus den 80er Jahren...

apriori 14. Apr 2015

Jo, stimmt. Dazu könnte ich jetzt direkt bezogen auf meinen damaligen Zivi erzählen...

tingelchen 14. Apr 2015

Die Industrie baut die Geräte und schreibt die Software. Du würdest dich wundern was für...

cry88 14. Apr 2015

Sondern das Netz für die kritische Infrastruktur und da ist es ziemlich schwer Zugriff zu...


Folgen Sie uns
       


    •  /