Medizin: Sicherheitslücken in Beatmungsgeräten

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

Artikel veröffentlicht am ,
Ein humanmedizinisches Gerät
Ein humanmedizinisches Gerät (Bild: Jair Lázaro/Unsplash)

An die Anästhesie- und Beatmungsgeräte Aestiva und Aespire der Firma GE lassen sich unauthentifiziert Befehle schicken, sofern die Geräte an das Krankenhausnetzwerk angeschlossen wurden. Beispielsweise lassen sich Alarme aus der Ferne abschalten oder die Gaszusammensetzung bei der Beatmung ändern. Entdeckt wurde die Lücke von der Sicherheitsfirma Cybermdx. Das Department of Homeland Security (DHS) warnt vor der Sicherheitslücke, der Hersteller GE sieht hingegen keine Gefahr für die Patienten.

Stellenmarkt
  1. (Senior) System-Engineer IT-Systemadministration (m/w/d)
    MaRe IT Consulting GmbH, München
  2. IT-Mitarbeiter (all Genders) für den Bereich Technical Support/1st Level Support
    Watson Farley & Williams LLP, Düsseldorf, Frankfurt am Main, Hamburg, München
Detailsuche

Sind die betroffenen Versionen 7100 und 7900 von Aestiva und Aespire über einen Terminal-Server an das Krankenhaus-Netzwerk angeschlossen, können Angreifer Befehle an die Geräte senden. Zum Einsatz kommt laut Cybermdx ein proprietäres Protokoll, dessen Befehle sich leicht herausfinden lassen. Mit einem dieser Befehle lassen sich die Geräte dazu bringen, eine ältere Version des Protokolls zu verwenden, das aus Gründen der Kompatibilität immer noch vorhanden ist. Eine Authentifizierung, um die Befehle abzusetzen, gibt es nicht.

Narkosemedikament auf Befehl ändern

Über das ältere Protokoll können das verwendete Narkosemittel und der Luftdruck des Beatmungsgerätes geändert werden. Auch die Gaszusammensetzung aus Sauerstoff, CO2, N2O und Narkosemittel kann aus der Ferne eingestellt werden. Diese Funktion sei bei Geräten die nach 2009 verkauft wurden entfernt worden, erklärt GE. Datum und Uhrzeit lassen sich jedoch weiterhin ändern.

In einem Notfall geben die Geräte kontinuierlich einen lauten Piepston aus, der das Krankenhauspersonal auf einen kritischen Zustand des Patienten aufmerksam machen soll. Dieser Alarmton lässt sich mit einem Befehl aus der Ferne deaktivieren, so dass er nur kurz zu hören ist.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Das Department of Homeland Security warnt, dass bereits ein niedriges Skill-Level beim Angreifer ausreichen würde, um Befehle aus der Ferne abzusetzen. Nach Einschätzung des Herstellers GE besteht jedoch keine Gefahr: Nach einer formalen Untersuchung komme GE zu dem Schluss, dass durch dieses Szenario "keine klinische Gefahr oder ein direktes Risiko für die Patienten" bestehe. "Das Anästhesiegerät selbst enthält keine Sicherheitslücke", sagte die GE-Sprecherin Amy Sarosiek dem Onlinemagazin Techcrunch. Cybermdx hatte die Sicherheitslücke bereits im Oktober 2018 an GE gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

mtr (golem.de) 16. Jul 2019

Hallo 1stPanic, wie im Artikel beschrieben müssen die Geräte für die beschriebenen Remote...

1stPanic 11. Jul 2019

Murks ist der Artikel hier. Lies mal den Original Artikel beim US-CERT. Da steht was ganz...

1stPanic 11. Jul 2019

Diese Anästhesie Geräte haben ja auch noch nicht mal einen Netzwerkanschluss. Lies mal...

Urbautz 11. Jul 2019

Ich denke überarbeitete Krankenschwestern (oder einfach eine die grade nur...

Sams 10. Jul 2019

Das ist Mal eine super Nachricht die mich sehr amüsiert hat. Die Aespire oder auch S/5...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /