Krankenhaustechnik nicht ausreichend vor Fremdzugriffen geschützt

Moderner Operationssaal
Auch hochsensible Technik ist nicht vor Angriffen gefeit. Foto: Keeve (CC BY-SA 3.0)

Auch vor Technologie im Krankenhaus macht der Trend zur Vernetzung nicht halt. Nach der Manipulation eines Scharfschützengewehrs über WLAN und dem Fernsteuern eines fahrenden Autos konnte nun auch ein Hacker – glücklicherweise im Auftrag des Krankenhauses – Zugriff auf Gerätschaften in einem Operationssaal erlangen, so der Spiegel.

Ihm gelang es unter anderem, die Beatmung zu stoppen und dem Operationsteam den Zugriff auf das Gerät zu verweigern. Der Hersteller des Gerätes wird noch nicht namentlich genannt, um ihm Zeit zu geben, das Problem zu beheben. Man darf auf einen schnellen Fix hoffen. Auch sollte dieser Vorfall für mehr Kontrolle und Aufmerksamkeit in diesem äußerst sensiblen Sektor sorgen. Neben der Behebung des akuten Problems und besseren Sicherung der Geräte gilt es auch zu klären, inwieweit wirklich Bedarf für ein Beatmungsgerät besteht, das nicht nur an ein Intranet, sondern offensichtlich auch – direkt oder über Umwege – an das Internet angeschlossen ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

22 Ergänzungen

  1. Beeindruckend, was von Herstellern überlebensbeeinflussender Produkte alles riskiert wird, nur um sich mit einem unhinterfragten Schnellschuss-Trend zu brüsten können.

    Man könnte meinen, das KISS-Prinzip habe nie existiert.

    1. IRONIE:ON
      KISS ist doch Nerd-Kram; sexy ist
      klickstu hier, toucheddu da mit de Fingers, machstu Screenshot, hastu PowerPoint.
      Weisstu?

      Und „make each program a filter“ ist eh nur was für Kiffer, die gerne Pipes bauen.
      IRONIE:OFF

  2. Die Dokumentation „Schlachtfeld Internet – Wenn das Netz zur Waffe wird“ passt sehr gut als Ergänzung.
    Warum denke ich bei diesem Thema immer wieder an Skynet und den Österreicher.?.. Arnold?
    Beim IoT gibt es dann bestimmt „Massagegeräte“ mit W-Lan, Äpp und Wolke9-Klaut.

  3. Das eigentliche Problem bei den Krankenhausgeräten ist doch, das die „dank“ diverser Zertifizierungen kaum ordentlich gepatcht werden können, ohne selbige zumindest vorübergehend zu verlieren.

    1. Wenigstens einer hier in diesem Faden der begriffen hat, wie ‚es‘ läuft. Wobei Du das vorübergehend streichen kannst — die komplette Medizingeräteindustrie funktioniert auf diese Art, ebenso Luft- und Schifffahrt, die Eisenbahn und noch so ein paar Industriebereiche.

      Selbst sicherheitsaffine Administratoren sind auf vertraglicher, teils sogar auf gesetzlicher Grundlage nicht dazu befugt, selbst Hand anzulegen, ohne — beispielsweise — einen Millionen teuren CT dem örtlichen Elektroschrottunternehmen zuzuführen.

      Hach, wenn die IT-Welt nur so einfach wäre, daß selbst die heimischen Windows- und Appleschubsen wissen, wo’s lang geht.

  4. Da paart sich halt oft administrativer Gestaltungswahn mit ungesundem DV-Halbwissen; es reicht schlicht nicht, im BWL-Studium mal in Pascal oder Java den Geldausgabeautomaten simuliert zu haben, oder den ersten Dan in Excel und PowerPoint zu besitzen, um später komplexeste Netzwerkfragen beurteilen zu können.

    Es gab da meiner Wahrnehmung auch rund um den eCommerce-Hype einen Gesinnungswandel in Konzern-ITs; wurde man einst noch als Consultant mit Kernkompetenzen in mittlerer Datentechnik leicht belächelt, wurde während des Hypes physische Entkopplung von sensiblen Systemen nach Vorbild von Host-Lösungen zum No-No.

    Das mag daran gelegen haben, dass MS (mit .net) und IBM (Websphere) netzwerklastige Technologien zum Teil mit abenteurlich anmutenden Promotionaktionen in die Konzerne gedrückt haben; welcher Controller konnte schon dem Angebot von hochqualifizierter Manpower als Draufgabe zu Lizenzverträgen widerstehen?

    1. Ich erinnere mich noch an den Tag, als ich zufällig in einer Bankfiliale mit ansehen musste, wie ein Kundenservice-Terminal (weiß nicht mehr genau ob mit Geldausgabe) auf Windows XP gebootet wurde, von dem ich wusste, dass das früher mal unter OS/2 lief. Da wurde mir ein wenig mulmig…

      Ein paar Jahre später hörte ich von einer Gang, die Geldautomaten manipuliert hatte, indem sie an der richtigen Stelle ein Loch ins Gehäuse bohrten, gerade groß genug, um einen USB-Stick in den PC stecken zu können, auf dem die Automaten-Software läuft; von da aus wurde das System so manipuliert, dass es ansonsten unauffällig funktionierte, aber bei bestimmten Eingaben so Geld ausgab, dass das nicht im Protokoll verzeichnet wurde. Solche Hacks funktionieren natürlich leichter bei bekannten und verbreiteten Betriebssystemen mit nutzerfreundlichen Funktionen.

      1. Nur ging es nicht um die Umrüstung von Geldautomaten; sondern um die Programmierung der Simulation eines einfachen Geldausgabeautomaten in Anfängerübungen zur praktischen Informatik (oder weiss der Geier, wie sich das seit Bologna nennt) für Nebenfächler.

        Weder Linux noch OS/2 schützten übrigens a priori solche Boxes besser als Windoof; gegen invasive Hard- und Firmware-Manipulation, wie Sie sie beschreiben, braucht es auch Schutzmechnismen auf Hard- resp Firmwareebene.

  5. OOOHHH, WWOOOOWWW… so much new information. Not.

    Aufgewärmte, jahrelang bekannter Bullshit. Keine Info von wo er sich drauf geschaltet hat.
    Wenn ich mit meinem Laptop physischen Zugriff habe, kann ich Gott weiß was machen. Tolles Ding.

    Leute, die sowas beruflich machen, leben doch davon Gott und die Welt verrückt zu machen. Das nennt sich dann anbiedern beim Hersteller.

    Hätte, hätte, Fahrradkette.

    1. Wenn jemand mit nem Laptop in der Hand in eine laufende OP einbricht ist das schon was anderes, schließlich wirst Du wahrscheinlich vom anwesenden Personal daran gehindert irgendwas anzustellen.
      Sobald das Ding am Netz hängt (egal wie), kann ein Hacker dagegen einen Mord begehen- und es so aussehen lassen als wäre es ein natürlich Tod.
      Ich werde bei meiner nächsten OP darauf bestehen, den Operationssaal auf hinausführende CAT5-Leitungen zu untersuchen. Wer lebenswichtige Teile eines Systems an Netz hängt (übrigens genauso bei ach-so-smarten Kfz…) sollte wenigstens mit Geldstrafe belegt werden, wegen vorsätzlicher Gefährdung der Öffentlichkeit.

  6. Fazit:
    Sicherheit ist eine Illusion.
    Es gibt nie einen aureichenden Schutz.
    Für jeden Fix einen Hacker…… sofar

    1. Nein, gar nicht. Natürlich kann man nichts mit perfekter Sicherheit bauen. Aber wenn ich die Klinke meiner Haustür mit dem Zeitzünder einer Bombe verbinde (oder ein Beatmungsgerät mit dem Internet) und dann hoffe, daß nichts passiert, ist das Idiotie.

  7. Der einzig richtige Weg ist: besonders kritische Geräte (Beatmung) können hardewarebedingt nur Daten schicken (z.B. zum Anästhesist), weniger kritische (el. Rolladen) auch empfangen, bei z.B. Heizungen muss hardwareseitig eine max. mögliche Range z.B. zw. 15 und 25° eingestellt sein.

  8. In einem Kommentar zu einem anderen Artikel erwähnte ich, dass die Konnektoren der Gematik gerade zwangsweise meist im sog. Parallelszenario installiert werden und somit ein bisheriges Offlinenetz plötzlich am Heimrouter hängt.

    Heute kann ich hinzufügen, dass die Softwaredienstleister die Verschlüsselung im Intranet zwischen Arzt-Informationssystem und Konnektor ausschalten, weil es verschlüsselt (in den mir bekannten Praxen) nicht funktioniert. –> Jeder Client im Intranet kann die Dienste des „sicheren“ Konnektors nutzen und mithören.

    https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Service/Pruefkarten/gemInfo_Anschluss_TI_DVO_V2.1.0.pdf

    Die Presse, gerne auch Netzpolitik.org, könnte gerne recherchieren und berichten, welcher Stand hier in der Praxis erreicht wird und ob dieser Stand sicherheitstechnisch (security) angemessen ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.