Medizin: Sicherheitslücken in Infusionspumpen entdeckt

Medizinische Infusionspumpen versorgen Patienten mit Medikamenten. Können Angreifer unbemerkt die Dosis manipulieren, kann das schwere Folgen haben.

Artikel veröffentlicht am , Anna Biselli
Die richtige Menge bei Infusionen ist wichtig.
Die richtige Menge bei Infusionen ist wichtig. (Bild: Olga Kononenko/unsplash.com)

Sicherheitsforscher von McAfee haben gemeinsam mit der IT-Sicherheitsfirma Culinda Schwachstellen bei Pumpen des Medizintechnikherstellers B. Braun entdeckt. Durch die Sicherheitsprobleme seien Pumpen manipulierbar gewesen, die nicht in Benutzung waren. Ein Patient könnte so etwa eine andere Dosis erhalten als vorgesehen, während das Display die vorgesehene Menge anzeigt. Das demonstrieren die Forscher in einem Video.

Stellenmarkt
  1. Space Application Test-System Entwickler (m/f/d)
    Astos Solutions GmbH, Stuttgart
  2. Projektleiter (w/m/d) für IT Systeme in der Energieversorgung
    PSI Software AG Geschäftsbereich PSI Energie EE, Aschaffenburg, Berlin, Oldenburg
Detailsuche

McAfee fand fünf verschiedene Sicherheitslücken und teilte diese im Januar B. Braun mit. Die Sicherheitsprobleme ermöglichten es beispielsweise, unverschlüsselt übertragene Konfigurationsinformationen mitzuschneiden. Die Pumpe authentifizierte zudem Datenübertragungen nicht immer ausreichend. Um die Pumpen zu erreichen, müssten sich Angreifer vorher Zugriff auf das lokale Krankenhausnetzwerk verschaffen.

B. Braun sagte dem IT-Magazin Wired, das Unternehmen teile nicht die Ansicht von McAfee, dass es sich bei dem beschriebenen Angriff um ein realistisches Szenario handele. Die Probleme beträfen wenige Geräte mit älteren Software-Versionen. Es gebe außerdem keine Hinweise darauf, dass die Schwachstellen in einem realen Szenario ausgenutzt wurden.

Regelmäßige Sicherheitsaudits für Medizintechnik

In einem Sicherheitshinweis aus dem Mai wies B. Braun auf die Schwachstellen hin und erklärte dazu, diese würden auf Schwachstellen aus früheren Software-Versionen beruhen, die im Oktober 2020 bekannt wurden. B. Braun forderte die Anwender auf, die neueste Software-Version aus dem letzten Oktober zu nutzen und empfahl Maßnahmen zur Netzwerksicherung.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

McAfee bestätigt, dass die Entwicklung eines Exploits zeitaufwändig und komplex war. Der erste Netzwerk-Angriffsvektor sei in der neuesten Pumpenversion entfernt worden, "trotzdem bräuchte ein Angreifer lediglich eine weitere netzwerkbasierte Schwachstelle, und alle übrigen festgestellten Techniken und Schwachstellen könnten genutzt werden, um die Pumpen zu kompromittieren", heißt es in McAfees Zusammenfassung. Steve Povolny von McAfees Advanced Threat Research Group sagte Wired, dass sich bereits mit dem ersten Schritt aus der Angriffskette Schaden anrichten und beispielweise Ransomware verteilen lassen würde.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

McAfee ruft zu regelmäßigen, unabhängigen Sicherheitsaudits für medizinische Geräte auf. "Ransomware mag im Moment wahrscheinlicher sein, aber wir können nicht ignorieren, dass es so etwas gibt. Alles, was es braucht, ist buchstäblich ein einziges Mal - eine politische Person, ein Attentatsversuch - und wir werden denken, dass wir das verhindern hätten können", so Povolny.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  2. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /