Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Medizintechnik: Sicherheitslücken in mehreren Infusionspumpen entdeckt

Infusionspumpe von Hospira: Ein Forscher warnt vor Sicherheitslücken Zur Großansicht
Hospira

Infusionspumpe von Hospira: Ein Forscher warnt vor Sicherheitslücken

Ein Experte hat zum wiederholten Mal Sicherheitsmängel bei Infusionspumpen entdeckt: Er warnt, Hacker könnten Geräte des Herstellers Hospira manipulieren und so Medikamentendosierungen erhöhen.

Vernetzte Medizintechnik kann ein Segen sein - solange alles funktioniert, wie es soll. Dass es aber auch in diesem Bereich Sicherheitsmängel gibt, die gefährliche Folgen haben können, zeigt eine Entdeckung des US-Sicherheitsforscher Billy Rios.

Er behauptet, dass sich einige Modelle der weltweit in Krankenhäusern eingesetzten Hospira-Infusionspumpen von außen umprogrammieren ließen. Theoretisch soll es so möglich sein, Patienten tödliche Medikamentendosen zu verabreichen, fasst das Magazin "Wired" Rios' Entdeckung zusammen.

Bereits im April hatte der Forscher von Sicherheitslücken in Hospira-Produkten berichtet. Damals warnte Rios, dass die Dosier-Limits von LifeCare-PCA-Pumpen über ihre Netzwerkverbindung unbemerkt verändert werden können. Die mögliche Folge: Das medizinische Personal könnte bei versehentlicher Fehlbedienung die Dosierung der Pumpe falsch einstellen, ohne dass eine Warnmeldung darauf hinweist.

400.000 Pumpen im Einsatz

Dass eine solche Fehlbedienung auch absichtlich über das Netzwerk erfolgen könnte, konnte Rios damals nicht beweisen. Jetzt kann er es nach eigenen Angaben: Beim Experimentieren mit Pumpen, die er gebraucht online erworben hat, beschäftigte er sich mit der seriellen Schnittstelle, die die Maschinen mit dem Krankenhaus-Netz verbindet. Dabei fiel ihm auf, dass über die Schnittstelle nicht nur Firmware-Updates aufgespielt, sondern auch sensible Einstellungen geändert werden können.

Nach Angaben von "Wired" sind weltweit 400.000 Hospira-Pumpen im Einsatz. Betroffen sind laut Rios die Modelle PCA3 LifeCare, PCA5 LifeCare, die Symbiq-Serie und Plum A+. Die Pumpen sind nach Rios' Ansicht leicht zu überlisten: Ihre Software speichere zum Beispiel Nutzerkennungen und Passwörter im Klartext und prüfe nicht einmal, ob Befehle wirklich vom sogenannten MedNet-Server kommen.

Für ihre Attacken müssten sich die Angreifer aber zumindest Zugang zu einem Krankenhaus-Netz verschaffen - Hospira verweist daher auf deren Sicherheit. "Um Schwachstellen auszunutzen, muss man mehrere Schichten von Netzwerk-Security inklusive mehrerer Firewalls durchdringen", schrieb eine Sprecherin von Hospira nach Erscheinen des ersten "Wired"-Artikels zu Rios' Entdeckungen. Auf eine Anfrage des Magazins zu den neuen Warnungen hat das Unternehmen bislang nicht reagiert.

abr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. sicheres
felisconcolor 09.06.2015
Krankenhausnetz. Ah ja. gerade in der letzten Zeit sind Netze geknackt und Daten gestohlen worden da fragt man sich sind diese Netze nur mit einem nassen Bindfaden angebunden.
2. Trennung der Netze?
aladar_m 09.06.2015
"Um Schwachstellen auszunutzen, muss man mehrere Schichten von Netzwerk-Security inklusive mehrerer Firewalls durchdringen" Ich habe in der Anmeldung im Krankenhaus schon gesehen, dass auf dem Rechner, auf dem die Daten der Patienten eingegeben wurden, munter im Internet gesurft wurde - es bitzte und blinkte wie wild. Ein anderes Mal habe ich sehen können, wie ein Krankenhaus-Admin seine Fernwartung gemacht hat ... da bin ich wieder vom Glauben abgefallen. Kann ja sein, dass in einem QM-Dokument was anderes steht, aber ich würde diese beiden Krankenhäuser nicht als gut abgeschottet ansehen.
3.
al3x4nd3r 09.06.2015
Ein weiterer Artikel mit technischen Details zur Pumpe findet sich unter: http://hextechsecurity.com/?p=123 Dort wird auch verwiesen auf eine Warnung des DHS: https://ics-cert.us-cert.gov/advisories/ICSA-15-125-01A Der Hersteller arbeitet auch an einem Patch.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Andreas Brohme
    Gadgets, Apps, neue Technologien - der Hamburger Andreas Brohme schreibt seit über 20 Jahren über Neues aus Digitalien. In seiner Freizeit spielt er - ganz analog - vor allem Gitarre.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: