Medizin: Sicherheitslücken in Infusionspumpen entdeckt

Medizinische Infusionspumpen versorgen Patienten mit Medikamenten. Können Angreifer unbemerkt die Dosis manipulieren, kann das schwere Folgen haben.

Artikel veröffentlicht am , Anna Biselli
Die richtige Menge bei Infusionen ist wichtig.
Die richtige Menge bei Infusionen ist wichtig. (Bild: Olga Kononenko/unsplash.com)

Sicherheitsforscher von McAfee haben gemeinsam mit der IT-Sicherheitsfirma Culinda Schwachstellen bei Pumpen des Medizintechnikherstellers B. Braun entdeckt. Durch die Sicherheitsprobleme seien Pumpen manipulierbar gewesen, die nicht in Benutzung waren. Ein Patient könnte so etwa eine andere Dosis erhalten als vorgesehen, während das Display die vorgesehene Menge anzeigt. Das demonstrieren die Forscher in einem Video.

Stellenmarkt
  1. Embedded Linux-Programmierer (m/w/d) Entwicklung
    wenglor MEL GmbH, Eching
  2. Projektleiterin / Projektleiter für die Bauwerkserneuerung der Ingenieurbauwerke U-Bahn (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
Detailsuche

McAfee fand fünf verschiedene Sicherheitslücken und teilte diese im Januar B. Braun mit. Die Sicherheitsprobleme ermöglichten es beispielsweise, unverschlüsselt übertragene Konfigurationsinformationen mitzuschneiden. Die Pumpe authentifizierte zudem Datenübertragungen nicht immer ausreichend. Um die Pumpen zu erreichen, müssten sich Angreifer vorher Zugriff auf das lokale Krankenhausnetzwerk verschaffen.

B. Braun sagte dem IT-Magazin Wired, das Unternehmen teile nicht die Ansicht von McAfee, dass es sich bei dem beschriebenen Angriff um ein realistisches Szenario handele. Die Probleme beträfen wenige Geräte mit älteren Software-Versionen. Es gebe außerdem keine Hinweise darauf, dass die Schwachstellen in einem realen Szenario ausgenutzt wurden.

Regelmäßige Sicherheitsaudits für Medizintechnik

In einem Sicherheitshinweis aus dem Mai wies B. Braun auf die Schwachstellen hin und erklärte dazu, diese würden auf Schwachstellen aus früheren Software-Versionen beruhen, die im Oktober 2020 bekannt wurden. B. Braun forderte die Anwender auf, die neueste Software-Version aus dem letzten Oktober zu nutzen und empfahl Maßnahmen zur Netzwerksicherung.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    13.10.2022, Virtuell
Weitere IT-Trainings

McAfee bestätigt, dass die Entwicklung eines Exploits zeitaufwändig und komplex war. Der erste Netzwerk-Angriffsvektor sei in der neuesten Pumpenversion entfernt worden, "trotzdem bräuchte ein Angreifer lediglich eine weitere netzwerkbasierte Schwachstelle, und alle übrigen festgestellten Techniken und Schwachstellen könnten genutzt werden, um die Pumpen zu kompromittieren", heißt es in McAfees Zusammenfassung. Steve Povolny von McAfees Advanced Threat Research Group sagte Wired, dass sich bereits mit dem ersten Schritt aus der Angriffskette Schaden anrichten und beispielweise Ransomware verteilen lassen würde.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

McAfee ruft zu regelmäßigen, unabhängigen Sicherheitsaudits für medizinische Geräte auf. "Ransomware mag im Moment wahrscheinlicher sein, aber wir können nicht ignorieren, dass es so etwas gibt. Alles, was es braucht, ist buchstäblich ein einziges Mal - eine politische Person, ein Attentatsversuch - und wir werden denken, dass wir das verhindern hätten können", so Povolny.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
    Neue Grafikkarten
    Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

    Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

  3. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /