Abo
  • Services:

IT-Sicherheit: Auch Medizintechnik lässt sich hacken

Überdosis nicht mehr ausgeschlossen: Der Sicherheitsforscher Billy Rios kann eine in Krankenhäusern verwendete Infusionspumpe über das Intranet manipulieren.

Artikel von Johannes Wendt/Zeit Online veröffentlicht am
Technik in Operationssälen sollte sicher sein.
Technik in Operationssälen sollte sicher sein. (Bild: Boris Horvat/AFP/Getty Images)

Bevor ein Skalpell in hiesigen Operationssälen Körper öffnet, muss sein Stahl dem Deutschen Industriestandard genügen. Das hat gute Gründe: Zur Fehlerquelle Mensch soll nicht auch noch die Fehlerquelle Material hinzukommen. Verglichen damit sind die Anforderungen an IT-Sicherheit in der Medizin eher lax.

Inhalt:
  1. IT-Sicherheit: Auch Medizintechnik lässt sich hacken
  2. Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben

Offenbart hat dies zuletzt Billy Rios aus den USA. Der Sicherheitsforscher hat eine Infusionspumpe gehackt, genauer gesagt die Life Care PCA des österreichischen Unternehmens Hospira. Die Pumpe gibt zum Beispiel bei Operationen regelmäßig ein Betäubungsmittel an den Patienten ab. Sie kann aber auch Antibiotika oder andere Medikamente verabreichen.

Rios kaufte sich kurzerhand eine Pumpe auf Ebay und testete sie. Das Ergebnis war ernüchternd: Der Sicherheitsforscher fand nicht nur eine, sondern gleich mehrere Schwachstellen. Angreifer können zwar nicht die aktuellen Dosen der Medikamente ändern. Sie können allerdings die Arzneibibliotheken austauschen. In diesen Bibliotheken wird festgelegt, für welchen Patienten, je nach Alter, Größe, Gewicht und Geschlecht, welche Medikamentendosis die richtige ist. Stellt ein Arzt oder eine Schwester etwa eine zu hohe Dosis ein, schlägt die Pumpe Alarm. Die Pumpe soll also eigentlich eine Überdosierung verhindern. Diese Sicherheitsvorkehrung konnte Rios aushebeln.

Infusionspumpe könnte falsche Dosen verabreichen

Laut Rios kann jeder innerhalb des Krankenhausnetzwerkes auf die Infusionspumpen zugreifen und die Bibliotheken austauschen. Einen gesonderten Schritt, bei dem sich der Nutzer authentifizieren müsste, gibt es im Grunde nicht. Dabei muss der Angreifer noch nicht einmal Zugang zu der Software der Pumpe haben. Es reicht ein Zugang zum Krankenhausnetzwerk.

Stellenmarkt
  1. GSI Helmholtzzentrum für Schwerionenforschung GmbH, Darmstadt
  2. NÜRNBERGER Lebensversicherung AG, Nürnberg

Rios fand außerdem gravierende Fehler in der Steuerungssoftware für die Infusionspumpe. Das Programm namens Mednet liegt auf den Servern im Krankenhaus. Nicht nur fehlt die Authentifizierung, Mednet speichert auch auf den Krankenhausservern Nutzernamen und Passwörter des Personals im Klartext ab. Das könnten laut Rios wiederum Angreifer ausnutzen, um Zugang zum gesamten Krankenhausnetzwerk zu erlangen. Wie genau das gehen soll, sagt der Forscher jedoch nicht.

Die Ergebnisse von Rios gefährden nicht direkt zahllose Menschenleben. Es ist bisher weder ein Schaden bekannt noch haben Angreifer - wie in anderen Fällen - Datensätze von Patienten gestohlen. Immerhin benötigen Angreifer bereits den Zugang zum internen Krankenhausnetzwerk. Dennoch schafft eine derart designte Infusionspumpe Risiken für Patienten.

Die Gesundheitsbranche liegt in Sachen IT-Sicherheit etwa zehn Jahre hinter in der Zeit zurück. Das denkt zumindest Scott Erven. Der Sicherheitsforscher hatte die Ergebnisse seiner Studie im vergangenen Jahr auf der Defcon in Las Vegas veröffentlicht (PDF). Neben den Schwächen der Infusionspumpen fand er weitere Schwachpunkte digitaler Technik in Krankenhäusern, etwa in Herzschrittmachern.

Verschlüsselung ist in Krankenhäusern nicht vorgeschrieben 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (Prime Video)

FreiGeistler 15. Apr 2015

Hat den M$ nicht patentiert?

SchokoMuesli 15. Apr 2015

Hier zumindest werkelt als KIS ein Siemens BS2000 Terminalsystem aus den 80er Jahren...

apriori 14. Apr 2015

Jo, stimmt. Dazu könnte ich jetzt direkt bezogen auf meinen damaligen Zivi erzählen...

tingelchen 14. Apr 2015

Die Industrie baut die Geräte und schreibt die Software. Du würdest dich wundern was für...

cry88 14. Apr 2015

Sondern das Netz für die kritische Infrastruktur und da ist es ziemlich schwer Zugriff zu...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

    •  /