Abo
  • Services:
Anzeige
Herzschrittmacher mit unsicheren Schnittstellen können für Patienten tödlich sein.
Herzschrittmacher mit unsicheren Schnittstellen können für Patienten tödlich sein. (Bild: Thomas Zimmermann)

Veraltete Software und gefährliche Funktionen

Anzeige

Grunow sagte, er habe medizinische Geräte gesehen, deren Software nur auf einem Server mit Windows NT 4.0 funktioniere. Die Software, die die Daten solcher Geräte verarbeite, sei nicht mehr für neue Windows-Versionen aktualisiert worden. Die damals teuren Geräte müssten durch noch teurere, aktuelle ersetzt werden, um solche Angriffsflächen zu vermeiden. Mit Geld, das den Krankenhäusern heute jedoch fehle.

Deshalb würden oftmals kostengünstige Geräte angeschafft. Deren Hardware bestehe meist aus billigen Platinen asiatischer Hersteller, in Serien hergestellt und in leicht variierenden Gehäusen verbaut. Es gebe bereits Patientenmonitore, die einen eingebetteten Webbrowser enthielten - mit Internetzugriff. Die Geräte haben dann zwei Netzwerkschnittstellen, eine für ein Trusted-Netzwerk, über das Patientendaten an eine zentrale Überwachungsstation laufen, und eine für ein Untrusted-Network für den Zugriff auf das Internet.

Viel, zu viel Netzwerk

Grunow ist aber davon überzeugt, dass es ein Leichtes sei, durch Hacking Daten von einem Netz zum anderen zu übertragen. Im Streit mit den Administratoren spannten Ärzte sogar ihr eigenes unsicheres WLAN auf, erzählt er, trotz oder gerade wegen des Einspruchs durch die Administratoren. Er habe von Fällen erfahren, bei denen Ärzte neue Maschinen angeschafft und ans Netzwerk angeschlossen hätten, ohne die IT-Abteilung zu informieren. Geräte, die von sich aus ein /8-Netzwerk eingerichtet hätten, fluteten das Netzwerk. Bei manchen Geräten wundert sich Grunow allerdings, warum sie überhaupt netzwerkfähig sind. Etwa bei den Narkosegeräten, die den Patienten während einer Operation ja auch am Leben halten. Welche Geräte das sind, will Grunow nicht verraten. Besonders im Bereich der medizinischen Technik hält Grunow den Grundsatz des "responsible disclosure" für unerlässlich, also eine verantwortungsvolle Veröffentlichung von Sicherheitslücken, um Patienten nicht zu gefährden.

Vor allem die Hersteller hätten kaum eine Ahnung, wie viele Angriffsmöglichkeiten solche Geräte böten. Sie seien tatsächlich "Rocket Science", sagte Grunow, hochkomplexe Geräte voller proprietärer Protokolle und Software, die nur sehr schwer zu debuggen sei. Auch für den Patienten fatale Softwarefehler seien möglich. Die fälschliche Anzeige einer Asystolie, die den Tod eines Patienten bedeute, sei noch einer der harmlosen Fehler.

Warnungen vom FDA

Die beschriebenen Beispiele klingen zwar nach Horrorgeschichten aus Kinofilmen, aber selbst die US-Behörde FDA warnt inzwischen vor Cyberangriffen auf medizinische Geräte. Mitte des Jahres entdeckten Sicherheitsforscher hart-kodierte - also unveränderbare - Passwörter in netzwerkfähigen Infusionspumpen, die bei Operationen eingesetzt werden.

Das Problem sei ein grundlegendes, sagte Grunow: Wir als Patienten vertrauten diesen Geräten ebenso wie die Ärzte. Und die Hersteller stünden unter dem Konkurrenzdruck, immer bessere Geräte mit immer mehr Funktionen herzustellen. Mit der zunehmenden Vernetzung werde auch die Fernüberwachung bei Patienten zu Hause zunehmen. Sofern die Hersteller nicht von den Kunden - den fachkundigen Ärzten - unter Druck gesetzt würden, werde sich kaum was ändern, befürchtet Grunow.

Die Hersteller zeigten sich aber weitgehend wenig kooperativ. Erst wenn etwas furchtbar schieflaufe, seien sie bereit, mit den Sicherheitsexperten zu reden. Grunow sei aber auf die Zusammenarbeit angewiesen. Die Geräte, die er untersuchen wolle, kosteten meist mehrere zehntausend Euro - und seien zudem schwer zu beschaffen.

 Medizinische Geräte: Der hackbare Patient

eye home zur Startseite
enteKross 18. Dez 2013

Das Problem ist ja nicht die Netzwerkfähigkeit sondern zum einen dass sie über WLAN am...

Anonymer Nutzer 17. Dez 2013

An "Pech" glaube ich genausowenig wie an "Schicksal". Warum wurde die Angabe der...

janitor 17. Dez 2013

Einfach deswegen, weil man in den Krankenhäusern auch handelsübliche PCs/Laptops...

TTX 17. Dez 2013

Das ist eben oft das Hautproblem, viele Firmen stellen irgendwelche Quereinsteiger ein...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Harting Electric GmbH & Co. KG, Espelkamp
  3. BG-Phoenics GmbH, München
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. 219,90€ + 7,98€ Versand (Vergleichspreis 269€)
  2. ab 179,99€
  3. 499€ + 4,99€ Versand oder Abholung im Markt

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Nicht mal auf Macs..

    mfreier | 00:58

  2. Geht's nur mir so oder is dieses mal das Klima...

    ManMashine | 00:45

  3. Und 12% wollen einen unbezahlbaren?

    arthurdont | 00:43

  4. Re: Speedtest Geschummel - Nicht repräsentativ

    ML82 | 00:37

  5. Re: Bandbreite allein ist ein schlechter...

    ML82 | 00:30


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel