Original-URL des Artikels: https://www.golem.de/news/medizin-sicherheitsluecken-in-beatmungsgeraeten-1907-142459.html    Veröffentlicht: 10.07.2019 11:20    Kurz-URL: https://glm.io/142459

Medizin

Sicherheitslücken in Beatmungsgeräten

Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern.

An die Anästhesie- und Beatmungsgeräte Aestiva und Aespire der Firma GE lassen sich unauthentifiziert Befehle schicken, sofern die Geräte an das Krankenhausnetzwerk angeschlossen wurden. Beispielsweise lassen sich Alarme aus der Ferne abschalten oder die Gaszusammensetzung bei der Beatmung ändern. Entdeckt wurde die Lücke von der Sicherheitsfirma Cybermdx. Das Department of Homeland Security (DHS) warnt vor der Sicherheitslücke, der Hersteller GE sieht hingegen keine Gefahr für die Patienten.

Sind die betroffenen Versionen 7100 und 7900 von Aestiva und Aespire über einen Terminal-Server an das Krankenhaus-Netzwerk angeschlossen, können Angreifer Befehle an die Geräte senden. Zum Einsatz kommt laut Cybermdx ein proprietäres Protokoll, dessen Befehle sich leicht herausfinden lassen. Mit einem dieser Befehle lassen sich die Geräte dazu bringen, eine ältere Version des Protokolls zu verwenden, das aus Gründen der Kompatibilität immer noch vorhanden ist. Eine Authentifizierung, um die Befehle abzusetzen, gibt es nicht.

Narkosemedikament auf Befehl ändern

Über das ältere Protokoll können das verwendete Narkosemittel und der Luftdruck des Beatmungsgerätes geändert werden. Auch die Gaszusammensetzung aus Sauerstoff, CO2, N2O und Narkosemittel kann aus der Ferne eingestellt werden. Diese Funktion sei bei Geräten die nach 2009 verkauft wurden entfernt worden, erklärt GE. Datum und Uhrzeit lassen sich jedoch weiterhin ändern.

In einem Notfall geben die Geräte kontinuierlich einen lauten Piepston aus, der das Krankenhauspersonal auf einen kritischen Zustand des Patienten aufmerksam machen soll. Dieser Alarmton lässt sich mit einem Befehl aus der Ferne deaktivieren, so dass er nur kurz zu hören ist.

Das Department of Homeland Security warnt, dass bereits ein niedriges Skill-Level beim Angreifer ausreichen würde, um Befehle aus der Ferne abzusetzen. Nach Einschätzung des Herstellers GE besteht jedoch keine Gefahr: Nach einer formalen Untersuchung komme GE zu dem Schluss, dass durch dieses Szenario "keine klinische Gefahr oder ein direktes Risiko für die Patienten" bestehe. "Das Anästhesiegerät selbst enthält keine Sicherheitslücke", sagte die GE-Sprecherin Amy Sarosiek dem Onlinemagazin Techcrunch. Cybermdx hatte die Sicherheitslücke bereits im Oktober 2018 an GE gemeldet.

 (mtr)


Verwandte Artikel:
Gesundheitsdaten: Gesundheitsapps werden beliebter, trotz Datenschutzbedenken   
(05.07.2019, https://glm.io/142356 )
Natus Neuroworks: Sicherheitslücken in Gehirnscan-Software entdeckt   
(05.04.2018, https://glm.io/133687 )
Datenschutz bei Internet-Gesundheitsakten fraglich   
(22.07.2008, https://glm.io/61211 )
Sicherheitsprobleme: Schlechte Passwörter bei Ärzten   
(08.04.2019, https://glm.io/140542 )
Vivy & Co.: Gesundheitsapps kranken an der Sicherheit   
(11.01.2019, https://glm.io/138622 )

© 1997–2019 Golem.de, https://www.golem.de/