Spenden

Dieser Artikel ist mehr als 10 Jahre alt.

Krankenhaustechnik nicht ausreichend vor Fremdzugriffen geschützt

Auch vor Technologie im Krankenhaus macht der Trend zur Vernetzung nicht halt. Nach der Manipulation eines Scharfschützengewehrs über WLAN und dem Fernsteuern eines fahrenden Autos konnte nun auch ein Hacker – glücklicherweise im Auftrag des Krankenhauses – Zugriff auf Gerätschaften in einem Operationssaal erlangen, so der Spiegel.

  • Eric Beltermann
Eric Beltermann
22
Moderner Operationssaal
Auch hochsensible Technik ist nicht vor Angriffen gefeit. Foto: Keeve (CC BY-SA 3.0)

Auch vor Technologie im Krankenhaus macht der Trend zur Vernetzung nicht halt. Nach der Manipulation eines Scharfschützengewehrs über WLAN und dem Fernsteuern eines fahrenden Autos konnte nun auch ein Hacker – glücklicherweise im Auftrag des Krankenhauses – Zugriff auf Gerätschaften in einem Operationssaal erlangen, so der Spiegel.

Ihm gelang es unter anderem, die Beatmung zu stoppen und dem Operationsteam den Zugriff auf das Gerät zu verweigern. Der Hersteller des Gerätes wird noch nicht namentlich genannt, um ihm Zeit zu geben, das Problem zu beheben. Man darf auf einen schnellen Fix hoffen. Auch sollte dieser Vorfall für mehr Kontrolle und Aufmerksamkeit in diesem äußerst sensiblen Sektor sorgen. Neben der Behebung des akuten Problems und besseren Sicherung der Geräte gilt es auch zu klären, inwieweit wirklich Bedarf für ein Beatmungsgerät besteht, das nicht nur an ein Intranet, sondern offensichtlich auch – direkt oder über Umwege – an das Internet angeschlossen ist.

Über die Autor:innen

  • Eric Beltermann
    Eric Beltermann

    Eric schreibt seit Juli 2015 für netzpolitik.org und beschäftigt sich insbesondere mit den parlamentarischen Vorgängen bezüglich der Netzpolitik sowie internationalen Entwicklungen. Neben seiner Arbeit für netzpolitik.org berichtet und kommentiert er auch die Arbeit des Bundestages auf seinem Blog Parlementarisme.

Veröffentlicht

Kategorie

Schlagwörter

, , ,

Weiterlesen

Thema

Linkschleuder

Thema

Hack

Thema

Krankenhaustechnik

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

22 Kommentare zu „Krankenhaustechnik nicht ausreichend vor Fremdzugriffen geschützt“

  1. Frl. Unverständnis

    ,

    Beeindruckend, was von Herstellern überlebensbeeinflussender Produkte alles riskiert wird, nur um sich mit einem unhinterfragten Schnellschuss-Trend zu brüsten können.

    Man könnte meinen, das KISS-Prinzip habe nie existiert.

    1. solkar

      ,

      IRONIE:ON
      KISS ist doch Nerd-Kram; sexy ist
      klickstu hier, toucheddu da mit de Fingers, machstu Screenshot, hastu PowerPoint.
      Weisstu?

      Und „make each program a filter“ ist eh nur was für Kiffer, die gerne Pipes bauen.
      IRONIE:OFF

  2. Yagi

    ,

    Die Dokumentation „Schlachtfeld Internet – Wenn das Netz zur Waffe wird“ passt sehr gut als Ergänzung.
    Warum denke ich bei diesem Thema immer wieder an Skynet und den Österreicher.?.. Arnold?
    Beim IoT gibt es dann bestimmt „Massagegeräte“ mit W‑Lan, Äpp und Wolke9-Klaut.

    1. Fritz

      ,

      Oh, „Klaut“ für Cloud kannte ich noch gar nicht. Ist aber sehr schön. ;oD

  3. Heiko

    ,

    Das eigentliche Problem bei den Krankenhausgeräten ist doch, das die „dank“ diverser Zertifizierungen kaum ordentlich gepatcht werden können, ohne selbige zumindest vorübergehend zu verlieren.

    1. Richard Noxin

      ,

      Wenigstens einer hier in diesem Faden der begriffen hat, wie ‚es’ läuft. Wobei Du das vorübergehend streichen kannst – die komplette Medizingeräteindustrie funktioniert auf diese Art, ebenso Luft- und Schifffahrt, die Eisenbahn und noch so ein paar Industriebereiche.

      Selbst sicherheitsaffine Administratoren sind auf vertraglicher, teils sogar auf gesetzlicher Grundlage nicht dazu befugt, selbst Hand anzulegen, ohne – beispielsweise – einen Millionen teuren CT dem örtlichen Elektroschrottunternehmen zuzuführen.

      Hach, wenn die IT-Welt nur so einfach wäre, daß selbst die heimischen Windows- und Appleschubsen wissen, wo’s lang geht.

  4. solkar

    ,

    Da paart sich halt oft administrativer Gestaltungswahn mit ungesundem DV-Halbwissen; es reicht schlicht nicht, im BWL-Studium mal in Pascal oder Java den Geldausgabeautomaten simuliert zu haben, oder den ersten Dan in Excel und PowerPoint zu besitzen, um später komplexeste Netzwerkfragen beurteilen zu können.

    Es gab da meiner Wahrnehmung auch rund um den eCommerce-Hype einen Gesinnungswandel in Konzern-ITs; wurde man einst noch als Consultant mit Kernkompetenzen in mittlerer Datentechnik leicht belächelt, wurde während des Hypes physische Entkopplung von sensiblen Systemen nach Vorbild von Host-Lösungen zum No-No.

    Das mag daran gelegen haben, dass MS (mit .net) und IBM (Websphere) netzwerklastige Technologien zum Teil mit abenteurlich anmutenden Promotionaktionen in die Konzerne gedrückt haben; welcher Controller konnte schon dem Angebot von hochqualifizierter Manpower als Draufgabe zu Lizenzverträgen widerstehen?

    1. LigH

      ,

      Ich erinnere mich noch an den Tag, als ich zufällig in einer Bankfiliale mit ansehen musste, wie ein Kundenservice-Terminal (weiß nicht mehr genau ob mit Geldausgabe) auf Windows XP gebootet wurde, von dem ich wusste, dass das früher mal unter OS/2 lief. Da wurde mir ein wenig mulmig…

      Ein paar Jahre später hörte ich von einer Gang, die Geldautomaten manipuliert hatte, indem sie an der richtigen Stelle ein Loch ins Gehäuse bohrten, gerade groß genug, um einen USB-Stick in den PC stecken zu können, auf dem die Automaten-Software läuft; von da aus wurde das System so manipuliert, dass es ansonsten unauffällig funktionierte, aber bei bestimmten Eingaben so Geld ausgab, dass das nicht im Protokoll verzeichnet wurde. Solche Hacks funktionieren natürlich leichter bei bekannten und verbreiteten Betriebssystemen mit nutzerfreundlichen Funktionen.

      1. solkar

        ,

        Nur ging es nicht um die Umrüstung von Geldautomaten; sondern um die Programmierung der Simulation eines einfachen Geldausgabeautomaten in Anfängerübungen zur praktischen Informatik (oder weiss der Geier, wie sich das seit Bologna nennt) für Nebenfächler.

        Weder Linux noch OS/2 schützten übrigens a priori solche Boxes besser als Windoof; gegen invasive Hard- und Firmware-Manipulation, wie Sie sie beschreiben, braucht es auch Schutzmechnismen auf Hard- resp Firmwareebene.

    2. Richard Noxin

      ,

      BWL, Pascal, Java…

      Lölchen. Das korrekte Buzzwordbullshitbingo ist bei Dir immerhin hängen geblieben, schon mal nicht schlecht.

  5. dumbo

    ,

    OOOHHH, WWOOOOWWW… so much new information. Not.

    Aufgewärmte, jahrelang bekannter Bullshit. Keine Info von wo er sich drauf geschaltet hat.
    Wenn ich mit meinem Laptop physischen Zugriff habe, kann ich Gott weiß was machen. Tolles Ding.

    Leute, die sowas beruflich machen, leben doch davon Gott und die Welt verrückt zu machen. Das nennt sich dann anbiedern beim Hersteller.

    Hätte, hätte, Fahrradkette.

    1. chris

      ,

      Wenn jemand mit nem Laptop in der Hand in eine laufende OP einbricht ist das schon was anderes, schließlich wirst Du wahrscheinlich vom anwesenden Personal daran gehindert irgendwas anzustellen.
      Sobald das Ding am Netz hängt (egal wie), kann ein Hacker dagegen einen Mord begehen- und es so aussehen lassen als wäre es ein natürlich Tod.
      Ich werde bei meiner nächsten OP darauf bestehen, den Operationssaal auf hinausführende CAT5-Leitungen zu untersuchen. Wer lebenswichtige Teile eines Systems an Netz hängt (übrigens genauso bei ach-so-smarten Kfz…) sollte wenigstens mit Geldstrafe belegt werden, wegen vorsätzlicher Gefährdung der Öffentlichkeit.

  6. Irina

    ,

    Hochsensibel ist die Technik? Macht die Technik dann auch Fehler? Also so rein menschliche Fehler?

    1. solkar

      ,

      Aber nur, wenn sie Liebeskummer hat, z.B mit Bröselmann; guxtu:
      http://www.reinhard-mey.de/start/texte/alben/klagelied-eines-sentimentalen-programmierers

    2. Eric Beltermann

      ,

      Ja, Technik die Menschen am Leben erhält während sie hilflos ausgeliefert sind, bezeichne ich als hochsensibel. Siehst du das anders?

      1. Kaschperlesjäckle

        ,

        Die Frage war wohl eher, ob eine Maschine ein Sensibelchen sein kann ;)

      2. Irina

        ,

        Ich sach mal so: Hauptsache des funzt?!

  7. Peter

    ,

    Es funzt aber nicht.

  8. Fazit

    ,

    Fazit:
    Sicherheit ist eine Illusion.
    Es gibt nie einen aureichenden Schutz.
    Für jeden Fix einen Hacker.….. sofar

    1. Peter

      ,

      Nein, gar nicht. Natürlich kann man nichts mit perfekter Sicherheit bauen. Aber wenn ich die Klinke meiner Haustür mit dem Zeitzünder einer Bombe verbinde (oder ein Beatmungsgerät mit dem Internet) und dann hoffe, daß nichts passiert, ist das Idiotie.

  9. Internet der Dinge

    ,

    Der einzig richtige Weg ist: besonders kritische Geräte (Beatmung) können hardewarebedingt nur Daten schicken (z.B. zum Anästhesist), weniger kritische (el. Rolladen) auch empfangen, bei z.B. Heizungen muss hardwareseitig eine max. mögliche Range z.B. zw. 15 und 25° eingestellt sein.

  10. AusDerPraxis

    ,

    In einem Kommentar zu einem anderen Artikel erwähnte ich, dass die Konnektoren der Gematik gerade zwangsweise meist im sog. Parallelszenario installiert werden und somit ein bisheriges Offlinenetz plötzlich am Heimrouter hängt.

    Heute kann ich hinzufügen, dass die Softwaredienstleister die Verschlüsselung im Intranet zwischen Arzt-Informationssystem und Konnektor ausschalten, weil es verschlüsselt (in den mir bekannten Praxen) nicht funktioniert. –> Jeder Client im Intranet kann die Dienste des „sicheren“ Konnektors nutzen und mithören.

    https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Service/Pruefkarten/gemInfo_Anschluss_TI_DVO_V2.1.0.pdf

    Die Presse, gerne auch Netzpolitik.org, könnte gerne recherchieren und berichten, welcher Stand hier in der Praxis erreicht wird und ob dieser Stand sicherheitstechnisch (security) angemessen ist.

Dieser Artikel ist älter als 10 Jahre, daher sind die Ergänzungen geschlossen.