© REUTERS

Digital Life
04/26/2014

Studie zeigt leichte Angreifbarkeit von Medizingeräten

Eine zweijährige Studie in den USA enthüllt zahlreiche Sicherheitslücken in der technischen Ausstattung von Spitälern, die Angreifer leicht ausnutzen könnten.

Dass medizinische Geräte teilweise schlecht vor Cyberangriffen geschützt sind, ist schon länger bekannt. Eine neue Studie aus den USA zeigt, welche Möglichkeiten Angreifer genau vorfinden und wie leicht sich Sicherheitslücken in Medizingeräten ausnutzen lassen. Die Änderung von verabreichten Medikamentendosen durch Maschinen, die Manipulation von Defibrillatoren, Röntgengeräten, Computertomografen, Blut-Kühlschränken oder das Verfälschen von Krankenakten ist unter anderem möglich, sobald Angreifer in das Intranet eines Spitals eingedrungen sind.

"Viele Spitäler sind sich der Risiken dieser Geräte nicht bewusst", sagt Scott Erven gegenüber Wired. Er und sein Team haben im Auftrag des Unternehmens Essentia Health, das in den USA ungefähr 100 Behandlungseinrichtungen betreibt, zwei Jahre lang Sicherheitslücken gesucht. Das Problem vieler Geräte sind mangelhafte Authentifizierungs-Mechanismen oder unveränderbare, hart codierte, aber leicht zu erratende Passwörter, wie "1234".

Schlimmste Problemfälle

Als grundlegender Mangel wurde die unverschlüsselte Kommunikation zwischen Medizingeräten aufgedeckt. Durch diesen könnten unter anderem Krankenakten so verfälscht werden, dass Patienten eine falsche Behandlung zukommt.

Zu den schlimmsten Problemfällen zählen netzwerkgesteuerte Infusionspumpen, die teilweise gar nicht passwortgeschützt sind. Bei Computertomografen können über das Spitals-Netzwerk Strahlungs-Limits verändert werden. Um einem spezifischen Patienten zu schaden, braucht es Wissen über dessen genauen Gesundheitszustand und die Gerätebedienung, aber wahllose Zerstörung könnte durch Angreifer mit Leichtigkeit betrieben werden.

Angeprangert werden auch implantierte Defibrillatoren, die per Bluetooth gesteuert werden können. Einige der verwendeten Geräte hätten nur einen schwachen Passwort-Schutz meinen Erven und Co. Eine Attacke auf einen Implantatträger, wie sie etwa in einer Folge der US-TV-Serie "Homeland" gezeigt wurde, sei also tatsächlich denkbar.

Mehr Kontrolle gefordert

Die Studie zieht einen Aufruf Ervens an die US-Gesundheitsbehörden nach sich. Bisher sie die Sicherheitsüberprüfung medizinischer Geräte keine Vorgabe für deren Marktzulassung, dies müsse sich künftig ändern. Gerätehersteller sollten unterdessen Sicherheitslücken mit Patches schließen. Eine entsprechende Nachrüstung von Geräten sei ohne zuvorgehende behördliche Überprüfung möglich und daher relativ schnell durchführbar.