Gravierende Lücken in medizinischen Geräten

Medizintechnik in US-Krankenhäusern ist mit erschreckend simplen Verfahren angreifbar. Triviale Passwörter und Daten im Klartext gestatten Zugriff auf den OP und das Fernsteuern von lebenswichtigen Systemen.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Lesezeit: 4 Min.
Inhaltsverzeichnis

Medizinische Geräte in US-Krankenhäusern offenbaren gravierende Sicherheitsmängel, berichtet das Magazin Wired. Scott Erven, bei einem Gesundheitsdienstleister zuständig für IT-Sicherheit, prüfte sämtliche computer-basierte Medizintechnik in zahlreichen Kliniken. Was er in einem Zeitraum von zwei Jahren fand, gleicht einem Horror-Szenario: ferngesteuerte OP-Roboter, schleichende Vergiftung und tödliche Elektroschocks könnten ohne viel Aufwand Wirklichkeit werden.

Der Gesundheitsdienstleister und Klinikbetreiber Essential Health entdeckte bei einer Stichprobe Sicherheitslücken in einigen medizinischen Geräten. Daraufhin beauftragte man Erven mit einer gründlichen Prüfung sämtlicher Apparate in den eigenen Kliniken. Der Sicherheits-Spezialist stellte kürzlich einige Ergebnisse dieser Prüfung unter dem Titel "Just What The Doctor Ordered?" auf der Sicherheitskonferenz Thotcon in Chicago vor.

Fast alle untersuchten Geräte konnte er hacken. Entweder gab es keine Authentifizierung, oder die verlangten Passwörter waren Massenware wie "admin" oder "1234", manche sogar unveränderlich hinterlegt. Integrierte Webserver und Wartungsschnittstellen verrieten die Geräte und machten die Konfiguration zugänglich. Webservices übermittelten Patientendaten unverschlüsselt. Alle Systeme waren zudem direkt von einem Arbeitsplatz-PC aus erreichbar, ein separates VLAN zur Abschottung gab es nicht. Ein einziger infizierter Arbeitsplatz-PC würde also einem Hacker Zugriff auf den OP verschaffen.

Chirurgie-Roboter operiert ferngesteuert - manche Exemplare sind möglicherweise "offener" als geplant.

(Bild: Nimur, GFDL 1.2)

Ein Angreifer könnte beispielsweise Blutkonserven unbrauchbar machen, indem er das Kühlsystem abschaltet – und den Alarm, der bei Temperaturänderungen anschlagen soll, gleich mit dazu. Lebensrettungssysteme könnte er auf die Standardkonfiguration zurücksetzen und Computertomographen schädliche Strahlendosen aussenden lassen. Infusionspumpen steuern die automatische Gabe von Schmerzmitteln, Chemotherapeutika, Antibiotika oder Insulin. Sie ließen sich über ein Web-Interface mittels trivialer Passwörter übernehmen, sofern überhaupt eines verlangt wird, um eine tödliche Dosis abzugeben. Ein Hacker brauche dazu nicht einmal besondere Kenntnisse der Funktionsweise dieser Geräte.

Noch gruseliger geht es bei implantierbaren Defibrillatoren zu (implantierbare Cardioverte Defibrillatoren, ICD). Sie sollen bei Kammerflimmern oder Herzstillstand automatisch kontrollierte Elektroschocks abgeben. Viele diese Geräte seien zwecks Konfiguration per Bluetooth erreichbar. Sie hätten jedoch viel zu schwache Passwörter, etwa eine vierstellige PIN. Die Geräte könnten dahingehend manipuliert werden, dass sie entweder auf Befehl einen tödlichen Schock erzeugten oder ihre Funktion gerade dann einstellten, wenn sie benötigt wird.

Chirurgische Roboter hätten als einzige Gerätegruppe eine interne Firewall zum Schutz vor Angriffen. Sie erwies sich jedoch als völlig untauglich: Suche man nach erreichbaren Ports, stürze sie ab. Ob man daraufhin den Roboter direkt steuern könne, untersuche Erven noch. Entwarnung gibt es lediglich bei Anästhesiegeräten und Ventilatoren – mangels Vernetzung seien sie nicht angreifbar.

Erven will keine Herstellernamen oder Gerätebezeichnungen nennen, solange noch an der Behebung der Probleme gearbeitet werde. Zur Zeit werde auch noch untersucht, inwieweit sich manche Lücken sogar von außen übers Internet ausnutzen ließen. Selbst ohne spezifische Kenntnisse der Medizintechnik könne ein Hacker erhebliche Kollateralschäden verursachen, etwa durch das Abschalten von Geräten. Ervens Fazit: Die Sicherheitslücken gingen nicht auf Bugs tief im Softwarequellcode zurück (wie etwa bei der verheerenden Heartbleed-Lücke), sondern seien fahrlässige und einfach zu entdeckende Fehler wie triviale Passwörter oder fehlende Verschlüsselung.

Bereits 2013 warnte das ISC-CERT vor Sicherheitslücken in medizinischen Geräten. Erven weist darauf hin, dass Krankenhäuser sich des Risikos meist nicht bewußt seien, weil sie selber keinerlei Tests durchführten. Die amerikanische Zulassungsbehörde Federal Drug Administration (FDA) schreibe für medizinische Geräte keine Sicherheitsanforderungen vor, weshalb die Hersteller solcher Geräte sich konsequenterweise nicht um Sicherheit kümmerten. Angesichts dieser Enthüllungen scheint die Sorge des früheren US-Vizepräsidenten Dick Cheney nicht aus der Luft gegriffen, ein terroristischer Anschlag auf ihn könne über seinen drahtlos zu steuernden Defibrillator erfolgen. (tiw)