Abo
  • IT-Karriere:

Medizin: Sicherheitslücken in Beatmungsgeräten

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Artikel veröffentlicht am ,
Ein humanmedizinisches Gerät
Ein humanmedizinisches Gerät (Bild: Jair Lázaro/Unsplash)

An die Anästhesie- und Beatmungsgeräte Aestiva und Aespire der Firma GE lassen sich unauthentifiziert Befehle schicken, sofern die Geräte an das Krankenhausnetzwerk angeschlossen wurden. Beispielsweise lassen sich Alarme aus der Ferne abschalten oder die Gaszusammensetzung bei der Beatmung ändern. Entdeckt wurde die Lücke von der Sicherheitsfirma Cybermdx. Das Department of Homeland Security (DHS) warnt vor der Sicherheitslücke, der Hersteller GE sieht hingegen keine Gefahr für die Patienten.

Stellenmarkt
  1. operational services GmbH & Co. KG, München
  2. HITS gGmbH, Heidelberg

Sind die betroffenen Versionen 7100 und 7900 von Aestiva und Aespire über einen Terminal-Server an das Krankenhaus-Netzwerk angeschlossen, können Angreifer Befehle an die Geräte senden. Zum Einsatz kommt laut Cybermdx ein proprietäres Protokoll, dessen Befehle sich leicht herausfinden lassen. Mit einem dieser Befehle lassen sich die Geräte dazu bringen, eine ältere Version des Protokolls zu verwenden, das aus Gründen der Kompatibilität immer noch vorhanden ist. Eine Authentifizierung, um die Befehle abzusetzen, gibt es nicht.

Narkosemedikament auf Befehl ändern

Über das ältere Protokoll können das verwendete Narkosemittel und der Luftdruck des Beatmungsgerätes geändert werden. Auch die Gaszusammensetzung aus Sauerstoff, CO2, N2O und Narkosemittel kann aus der Ferne eingestellt werden. Diese Funktion sei bei Geräten die nach 2009 verkauft wurden entfernt worden, erklärt GE. Datum und Uhrzeit lassen sich jedoch weiterhin ändern.

In einem Notfall geben die Geräte kontinuierlich einen lauten Piepston aus, der das Krankenhauspersonal auf einen kritischen Zustand des Patienten aufmerksam machen soll. Dieser Alarmton lässt sich mit einem Befehl aus der Ferne deaktivieren, so dass er nur kurz zu hören ist.

Das Department of Homeland Security warnt, dass bereits ein niedriges Skill-Level beim Angreifer ausreichen würde, um Befehle aus der Ferne abzusetzen. Nach Einschätzung des Herstellers GE besteht jedoch keine Gefahr: Nach einer formalen Untersuchung komme GE zu dem Schluss, dass durch dieses Szenario "keine klinische Gefahr oder ein direktes Risiko für die Patienten" bestehe. "Das Anästhesiegerät selbst enthält keine Sicherheitslücke", sagte die GE-Sprecherin Amy Sarosiek dem Onlinemagazin Techcrunch. Cybermdx hatte die Sicherheitslücke bereits im Oktober 2018 an GE gemeldet.



Anzeige
Top-Angebote
  1. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  2. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  3. 43,99€ (Bestpreis!)
  4. (aktuell u. a. Asus Zenfone 5 Handy für 199,90€, Digitus DN-95330 Switch für 40,99€)

mtr (golem.de) 16. Jul 2019

Hallo 1stPanic, wie im Artikel beschrieben müssen die Geräte für die beschriebenen Remote...

1stPanic 11. Jul 2019

Murks ist der Artikel hier. Lies mal den Original Artikel beim US-CERT. Da steht was ganz...

1stPanic 11. Jul 2019

Diese Anästhesie Geräte haben ja auch noch nicht mal einen Netzwerkanschluss. Lies mal...

Urbautz 11. Jul 2019

Ich denke überarbeitete Krankenschwestern (oder einfach eine die grade nur...

Sams 10. Jul 2019

Das ist Mal eine super Nachricht die mich sehr amüsiert hat. Die Aespire oder auch S/5...


Folgen Sie uns
       


HP Pavilion Gaming 15 - Fazit

Das Pavilion Gaming 15 ist für 1.000 Euro ein gut ausgestattetes und durchaus flottes Spiele-Notebook.

HP Pavilion Gaming 15 - Fazit Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /