Medizin: Sicherheitslücken in Beatmungsgeräten

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Artikel veröffentlicht am ,
Ein humanmedizinisches Gerät
Ein humanmedizinisches Gerät (Bild: Jair Lázaro/Unsplash)

An die Anästhesie- und Beatmungsgeräte Aestiva und Aespire der Firma GE lassen sich unauthentifiziert Befehle schicken, sofern die Geräte an das Krankenhausnetzwerk angeschlossen wurden. Beispielsweise lassen sich Alarme aus der Ferne abschalten oder die Gaszusammensetzung bei der Beatmung ändern. Entdeckt wurde die Lücke von der Sicherheitsfirma Cybermdx. Das Department of Homeland Security (DHS) warnt vor der Sicherheitslücke, der Hersteller GE sieht hingegen keine Gefahr für die Patienten.

Stellenmarkt
  1. PHP Symfony Entwickler (w/m/d)
    DMK E-BUSINESS GmbH, Berlin-Potsdam, Köln, Chemnitz
  2. Anwendungsberaterin / Anwendungsberater (w/m/d) SAP-Lösungsplanung und Projektkoordination
    Berliner Stadtreinigungsbetriebe (BSR), Berlin
Detailsuche

Sind die betroffenen Versionen 7100 und 7900 von Aestiva und Aespire über einen Terminal-Server an das Krankenhaus-Netzwerk angeschlossen, können Angreifer Befehle an die Geräte senden. Zum Einsatz kommt laut Cybermdx ein proprietäres Protokoll, dessen Befehle sich leicht herausfinden lassen. Mit einem dieser Befehle lassen sich die Geräte dazu bringen, eine ältere Version des Protokolls zu verwenden, das aus Gründen der Kompatibilität immer noch vorhanden ist. Eine Authentifizierung, um die Befehle abzusetzen, gibt es nicht.

Narkosemedikament auf Befehl ändern

Über das ältere Protokoll können das verwendete Narkosemittel und der Luftdruck des Beatmungsgerätes geändert werden. Auch die Gaszusammensetzung aus Sauerstoff, CO2, N2O und Narkosemittel kann aus der Ferne eingestellt werden. Diese Funktion sei bei Geräten die nach 2009 verkauft wurden entfernt worden, erklärt GE. Datum und Uhrzeit lassen sich jedoch weiterhin ändern.

In einem Notfall geben die Geräte kontinuierlich einen lauten Piepston aus, der das Krankenhauspersonal auf einen kritischen Zustand des Patienten aufmerksam machen soll. Dieser Alarmton lässt sich mit einem Befehl aus der Ferne deaktivieren, so dass er nur kurz zu hören ist.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Das Department of Homeland Security warnt, dass bereits ein niedriges Skill-Level beim Angreifer ausreichen würde, um Befehle aus der Ferne abzusetzen. Nach Einschätzung des Herstellers GE besteht jedoch keine Gefahr: Nach einer formalen Untersuchung komme GE zu dem Schluss, dass durch dieses Szenario "keine klinische Gefahr oder ein direktes Risiko für die Patienten" bestehe. "Das Anästhesiegerät selbst enthält keine Sicherheitslücke", sagte die GE-Sprecherin Amy Sarosiek dem Onlinemagazin Techcrunch. Cybermdx hatte die Sicherheitslücke bereits im Oktober 2018 an GE gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mtr (golem.de) 16. Jul 2019

Hallo 1stPanic, wie im Artikel beschrieben müssen die Geräte für die beschriebenen Remote...

1stPanic 11. Jul 2019

Murks ist der Artikel hier. Lies mal den Original Artikel beim US-CERT. Da steht was ganz...

1stPanic 11. Jul 2019

Diese Anästhesie Geräte haben ja auch noch nicht mal einen Netzwerkanschluss. Lies mal...

Urbautz 11. Jul 2019

Ich denke überarbeitete Krankenschwestern (oder einfach eine die grade nur...

Sams 10. Jul 2019

Das ist Mal eine super Nachricht die mich sehr amüsiert hat. Die Aespire oder auch S/5...



Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

  2. NDR und Media Broadcast: Fernsehen über 5G wird breit ausgestrahlt
    NDR und Media Broadcast
    Fernsehen über 5G wird breit ausgestrahlt

    Fernsehen kann auch über 5G laufen. Auf 578 MHz kann das jetzt ausprobiert werden. NDR und Media Broadcast machen es möglich.

  3. Smartphone-Tarife: Tchibo bietet Jahres-Tarif mit 72 GByte
    Smartphone-Tarife
    Tchibo bietet Jahres-Tarif mit 72 GByte

    In diesem Jahr stehen drei unterschiedliche Jahres-Tarife für Tchibo-Kunden zur Wahl.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /