Medizin: Sicherheitslücken in Infusionspumpen entdeckt

Medizinische Infusionspumpen versorgen Patienten mit Medikamenten. Können Angreifer unbemerkt die Dosis manipulieren, kann das schwere Folgen haben.

Artikel veröffentlicht am , Anna Biselli
Die richtige Menge bei Infusionen ist wichtig.
Die richtige Menge bei Infusionen ist wichtig. (Bild: Olga Kononenko/unsplash.com)

Sicherheitsforscher von McAfee haben gemeinsam mit der IT-Sicherheitsfirma Culinda Schwachstellen bei Pumpen des Medizintechnikherstellers B. Braun entdeckt. Durch die Sicherheitsprobleme seien Pumpen manipulierbar gewesen, die nicht in Benutzung waren. Ein Patient könnte so etwa eine andere Dosis erhalten als vorgesehen, während das Display die vorgesehene Menge anzeigt. Das demonstrieren die Forscher in einem Video.

Stellenmarkt
  1. SAP ABAP/UI5 Entwickler (m/w/x)
    über duerenhoff GmbH, Osnabrück
  2. Sachbearbeiter*in für die Fachverfahrensbetreuung (Key-User)
    Landeshauptstadt Kiel, Kiel
Detailsuche

McAfee fand fünf verschiedene Sicherheitslücken und teilte diese im Januar B. Braun mit. Die Sicherheitsprobleme ermöglichten es beispielsweise, unverschlüsselt übertragene Konfigurationsinformationen mitzuschneiden. Die Pumpe authentifizierte zudem Datenübertragungen nicht immer ausreichend. Um die Pumpen zu erreichen, müssten sich Angreifer vorher Zugriff auf das lokale Krankenhausnetzwerk verschaffen.

B. Braun sagte dem IT-Magazin Wired, das Unternehmen teile nicht die Ansicht von McAfee, dass es sich bei dem beschriebenen Angriff um ein realistisches Szenario handele. Die Probleme beträfen wenige Geräte mit älteren Software-Versionen. Es gebe außerdem keine Hinweise darauf, dass die Schwachstellen in einem realen Szenario ausgenutzt wurden.

Regelmäßige Sicherheitsaudits für Medizintechnik

In einem Sicherheitshinweis aus dem Mai wies B. Braun auf die Schwachstellen hin und erklärte dazu, diese würden auf Schwachstellen aus früheren Software-Versionen beruhen, die im Oktober 2020 bekannt wurden. B. Braun forderte die Anwender auf, die neueste Software-Version aus dem letzten Oktober zu nutzen und empfahl Maßnahmen zur Netzwerksicherung.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

McAfee bestätigt, dass die Entwicklung eines Exploits zeitaufwändig und komplex war. Der erste Netzwerk-Angriffsvektor sei in der neuesten Pumpenversion entfernt worden, "trotzdem bräuchte ein Angreifer lediglich eine weitere netzwerkbasierte Schwachstelle, und alle übrigen festgestellten Techniken und Schwachstellen könnten genutzt werden, um die Pumpen zu kompromittieren", heißt es in McAfees Zusammenfassung. Steve Povolny von McAfees Advanced Threat Research Group sagte Wired, dass sich bereits mit dem ersten Schritt aus der Angriffskette Schaden anrichten und beispielweise Ransomware verteilen lassen würde.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

McAfee ruft zu regelmäßigen, unabhängigen Sicherheitsaudits für medizinische Geräte auf. "Ransomware mag im Moment wahrscheinlicher sein, aber wir können nicht ignorieren, dass es so etwas gibt. Alles, was es braucht, ist buchstäblich ein einziges Mal - eine politische Person, ein Attentatsversuch - und wir werden denken, dass wir das verhindern hätten können", so Povolny.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Weihnachtsgeschäft: Amazon benötigt wieder 10.000 Saisonkräfte
    Weihnachtsgeschäft
    Amazon benötigt wieder 10.000 Saisonkräfte

    Amazon stellt im Weihnachtsgeschäft wieder viele Befristete ein und zahlt angeblich 12 Euro brutto.

  2. Betriebssystem: Einige Windows-11-Apps funktionieren nicht ohne Internet
    Betriebssystem
    Einige Windows-11-Apps funktionieren nicht ohne Internet

    Um Platz zu sparen, müssen sich einige vorinstallierte Windows-11-Apps mit dem Internet verbinden. Auch ein Microsoft-Konto ist dafür nötig.

  3. Zynga: Zynga Farmville 3 setzt auf Schweinchen
    Zynga
    Zynga Farmville 3 setzt auf Schweinchen

    Echte Gamer hassen Farmville - wenn sie nicht selbst heimlich spielen. Jetzt hat Zynga den dritten Teil vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • PCGH-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /