[Technik] Sicherheitscheck: Hacker erhält Zugriff auf Narkosegerät

Um Sicherheitslücken aufzudecken hat ein Krankenhaus aus Süddeutschland einen IT-Spezialisten engagiert, der nach Fehlern und Unsicherheiten in den technischen und vernetzten Systemen der Klinik suchen sollte.[img=right]https://www.picflash.org/viewer.php?img=doctor-79579_640GHG0PN.jpg[/img]

Dabei sei dem Heidelberger 'Hacker' gelungen, ein Narkosegerät von außen mit einem Laptop zu übernehmen und zu steuern und wichtige Funktionen wie die künstliche Beatmung zu blockieren. Im Ernstfall könnte das schwerwiegende Folgen für mögliche Patienten bedeuten. Da es sich in diesem Fall nur um einen Test handelte, sind keine Menschen verletzt worden.

Den Hersteller des Narkosegeräts wollte das Krankenhaus nicht nennen, da man diesem die Gelegenheit zur Nachbesserung gewähren wollte. Einzelheiten über die Art und Weise, wie der IT-Profi auf das Gerät hat zugreifen können, wurden ebenfalls nicht veröffentlicht.

Der Test der Klinik zeigt, dass vernetzte Gerätschaften bei unzureichenden Sicherungssystemen große Risiken darbieten und in dieser Richtung mitunter noch dringender Aufbesserungsbedarf besteht.
Erst in jüngerer Vergangenheit durchstreiften die Medienlandschaft Meldungen von vernetzten Elektroautos, bei denen sich unbefugte Personen Zugriff in die technischen Systeme verschafft haben und dadurch unter anderem dazu befähigt waren die Geschwindigkeit der Autos zu regulieren.

Quelle | Bildquelle

 

[thom53281]

Hatte nun gerade irgendwie ein Déjà-vu. Hier sollten bei sämtlichen Geräten der Krankenhäuser dringend Maßnahmen ergriffen und die Geräte konsequent auf Sicherheitsprobleme überprüft werden.

Sollte man in das afaik in .de rechtlich vorgeschriebenen physisch von der Außenwelt getrennten Netzwerk über das Internet zugreifen können, besteht hier noch erheblicher Nachbesserungsbedarf. Sollte man zumindest physischen Zugriff auf das Netzwerk brauchen, ist die Hemmschwelle zumindest etwas höher. Dennoch sollte auch hier dann dringend etwas unternommen werden.

 

[Mista]

Es wird langsam so unheimlich.

 

[accC]

Die organisierte Kriminalität wird sich sicher über solche News freuen.
Ich frage mich immer, ob die Entwickler dieser Systeme dämlich sind.
Als Anwendungsentwickler, egal ob es sich um embedded Systems handelt oder nicht, lernt man Sicherheitskonzepte zu beachten.
Wie also kann es sein, dass man so kritische Infrastruktur entwickelt, ohne sich Gedanken über die Sicherheit zu machen?

Übrigens ganz großes Kino den Hersteller nicht zu nennen. Solche Hersteller sollten an den öffentlichen Pranger gestellt werden, einerseits um ganz schnell für einen möglichst flächendeckenden Austausch anfälliger Systeme zu sorgen und andererseits damit die Hersteller auch unter Druck gestellt werden, gleich von Anfang an sichere Systeme zu liefern. Nur wenn auch eine Gefahr für die Hersteller besteht (Image-Schaden, möglicher Ruin), besteht auch der Druck Ansprüchen gerecht zu werden.

 

[The_Emperor]

Was haben lebenserhaltende Instrumente in einem Netzwerk verloren? Werden solche Geräte auch schon per App gesteuert? Erinnert mich an einen Bericht über Spam Attacken von Android Geräten wo in einem Bot-Netz neben tausenden Handys auch ein Kühlschrank (!) entdeckt wurde. Mann muss nicht alles in ein Netzwerk hängen nur weil es einen Netzwerkanschluss hat. Oder gelang der Angriff über eine physische Schnittstelle (COM, USB, ...)?

 

[Bruder Mad]

Netzwerke in Krankenhäusern müssen zumindest in D-Land physisch getrennt sein! Hatten wir damals schon festgestellt...

Im Artikel wird nicht erwähnt, wie der Zugriff überhaupt erfolgte, von daher ist erst mal alles reine Spekulation und ein
Aufgebausche sondergleichen. Schon der Fall mit den Infusionspumpen hat gezeigt, dass es mit "normalem" haxx0rn
nicht getan ist, da dort erst mal eine nicht frei verfügbare Firmware verändert und dann lokal auf das Gerät gebracht
werden musste. Erst danach konnte man vom internen Netz aus auf das Gerät zugreifen. Einfacher wäre es wohl
gewesen, gezielt in ein Patientenzimmer zu gehen und die Werte am Gerät zu verstellen...

Auch der Fall mit dem von Hackern übernommenen Fiat-Chrysler Jeeps ist ähnlich gelagert. Ohne eine im Vorfeld
manipulierte Firmware, die erst einmal lokal in das Fahrzeug eingespielt werden musste, konnte man gar nichts
ausrichten. Da hätte man auch gleich die Bremsschläuche anschneiden können...

Mein Fazit: Erst mal alles Panikmache. Zumindest so lange, bis da Näheres bekannt wird. Ich würde jetzt schon
darauf wetten, dass auch in diesem Fall nicht wirklich vom Internet aus Zugriff erlangt wurde und dass auch hier
gewisse "Vorarbeiten" nötig waren...

 

[FrostAgent]

Ob der Zugriff über das Internet erfolgte ist letztendlich doch irrelevant, wichtig ist, dass überhaupt ein fremder Zugriff von außen erfolgen konnte und das ist insbesondere in der Medizin eine eklatante Sicherheitslücke, die es schnellstmöglich auszumerzen gilt.

Ausführlichere Hintergründe und Informationen wären natürlich dennoch sehr interessant.

 

[The_Emperor]

Aus der News geht nichtmal hervor ob es ein Angriff von Außen war oder nicht. Lokale Schnittstellen sind selten geschützt. Beispiel alter Drucker mit LPT-Port: Am PC Anstecken, Firmware flashen, fertig. Keine Passwort Abfrage oder sonst was. Selbst teure Netzwerkkomponenten sind manchmal nur durch spezielle Steckerdesigns "geschützt", dahinter befindet sich in der Regel ein klassischer serieller Anschluss.

 

[Bruder Mad]

Warst du mal auf einer Intensivstation? Da gibt es ganz viele Geräte mit vielen bunten Knöpfen und Anzeigen...
Da kann man - sofern man es drauf anlegt - einfach so dran rumspielen. Wird zwar über kurz oder lang vom
Pflegepersonal bemerkt werden, aber dann kann es auch schon zu spät sein.

Versteh mich nicht falsch: Natürlich ist das auf irgend eine Art und Weise schon bedenklich! Aber so lange man
das auch "durch simples Stecker ziehen" z.B. eines Infusionsgerätes hin bekommt, ist das alles nur ein Aufgebausche
und Bashing neuer Technologien...

 

[FrostAgent]

Es ist die Rede von "außen mit einem Laptop", ich habe das zugegebenermaßen nicht direkt wiedergegeben und nun ergänzt.

 

[alter_Bekannter]

@accC:

Sind sie.

Aber in Deutschland ginge so etas auch nach meinem Infostand nicht, hier entwickelte Medizintechnik ist kein Elektroschrott, dafür allerdings abartig teuer. Geht leider nicht anders, allein die Zertifikate machen die Sachen schweineteuer.

Europäische Modelle sind laut Fiat-Chrysler nicht betroffen.

 

[FrostAgent]

@Bruder Mad:

Das stimmt, allerdings werden durch die Vernetzungen, die sehr wahrscheinlich positive Errungenschaften für die Patienten mit sich bringen, weitere Türen geöffnet, die man nach Möglichkeit vernünftig verriegeln sollte. Diese Systeme sollten doch in allen Belangen bestmöglich abgesichert werden, damit sich die neue Technik besmöglich integrieren kann.

 

[Bruder Mad]

Es ist die Rede von "außen mit einem Laptop", ich habe das zugegebenermaßen nicht direkt wiedergegeben und nun ergänzt.

Wie schon gesagt: In Deutschland müssen Netzwerke in Krankenhäusern physikalisch getrennt sein. Wenn nun natürlich jemand ein medizinisches Gerät
statt an ein internes an ein "öffentliches" Netz anschließt, wo ist denn dann nun die Sicherheitslücke?

 

[FrostAgent]

Wir wissen gar nicht, ob das Narkosegerät am internen oder öffentlichen Netz angeschlossen war. Vorschrift hin oder her.

 

[Bruder Mad]

Wenn es am internen Netz angeschlossen war, dann kann das nicht so wie beschrieben funktioniert haben!
Es sei denn, es haben eine Menge Leute heftig geschlampt! Und in diesem Fall wäre der "Skandal" ein anderer...

 

[Pleitgengeier]

Netzwerke in Krankenhäusern müssen zumindest in D-Land physisch getrennt sein! Hatten wir damals schon festgestellt...

Im Artikel wird nicht erwähnt, wie der Zugriff überhaupt erfolgte, von daher ist erst mal alles reine Spekulation und ein
Aufgebausche sondergleichen.

Wenn sich Chefarzt "ich halte mich für Gott" einen veralteten AP ins Büro stellt und per WEP mit PW "123" sichert, dann ist die beste Firewall umsonst...
Es wurde ja hier schon mehrmals erwähnt dass die größte Sicherheitslücke meist unachtsame Mitarbeiter sind.

Gefundene, infizierte USB-Sticks, schlecht gesicherte Netzwerke,...

 

[Bruder Mad]

Der Chefarzt hat in seinem Büro aber keinen Anschluss an das "Geräte-Netzwerk"...

Glaub mir, ich habe in so einigen Krankenhäusern die Netzwerk-Infrastruktur aufgebaut...

 

[FrostAgent]

@Bruder Mad:

Laut diesem Artikel hat er sich über das Krankenhaus-Netzwerk in das Gerät gehackt. Bei Winfuture wird die direkte Kabelverbindung explizit verneint. Weiter wird bei T-Online indirekt bestätigt, dass das Netzwerk nicht am Internet angeschlossen war und das Krankenhaus-Netzwerk allgemein schlecht geschützt gewesen sei.

Das wäre dann wohl unter anderem die erwähnte Schlampigkeit.

 

[Bruder Mad]

Ah, es war also nur ein Test... Vermutlich hat der seinen Laptop dann direkt an das interne Netz angeschlossen und losgelegt.
Warum da allerdings kein MAC-Filter aktiv war, weiß der Geier...
Entweder Schlamperei oder er wurde vorher deaktiviert. Ich kenne kein KH, wo es so etwas nicht gibt.
Mir stellt sich auch gerade die Frage, warum ein KH so einen Auftrag vergibt. Wollten die die Geräte billiger haben?

 

[glühwürmchen]

Aber so lange man
das auch "durch simples Stecker ziehen" z.B. eines Infusionsgerätes hin bekommt, ist das alles nur ein Aufgebausche
und Bashing neuer Technologien...

Das ist nicht tragisch, Infusionsgeräte laufen über Batterie weiter. Das phöse Netzwerk allerdings bringt eine Alarmmeldung wegen Netzausfall am Schwesterndienstplatz und in allen Zimmern wo sich eine Pflegekraft aufhält.