Infusionssysteme in US-Krankenhäusern angeblich manipulierbar

Der Sicherheitsforscher Billy Rios wirft dem Medizingerätehersteller Hospira vor, seine Geräte seien angreifbar und er reagiere nicht auf bekannte Sicherheitslücken. Dabei handle es sich um ein lebensbedrohliches Risiko: In den USA sind hunderttausende Infusionssysteme von Hospira im Einsatz, die Medikamente mit der ärztlich verordneten Geschwindigkeit und Dosis intravenös zuführen. Rios zufolge ermöglichen Schwachstellen in der Firmware Dritten, die Dosis zu verändern.

Angeblich hochsicheres Infusionssystem der Reihe Lifecare PCS (Bild: Hospira)Angeblich hochsicheres Infusionssystem der Reihe Lifecare PCS (Bild: Hospira)Rios testet nach eigenen Angaben seit Jahren Krankenhausprodukte, auch von Hospira. Im Mai 2014 hatte er dem Heimatschutzministerium und der Food and Drug Administration (FDA) Schwachstellen in Infusionssystemen des Typs Hospira PCA 3 gemeldet. Diese Pumpsysteme werden vorkonfiguriert, um eine Überdosis durch eine menschliche Fehlleistung auszuschließen. Das Pflegepersonal gibt die Dosierung zusätzlich durch Scannen eines Barcodes ein. Im Fall einer Abweichung oder eines Fehlers ertönt ein Alarm.

Laut Riots damaliger Meldung können Hacker ohne Authentifizierung in die zugehörige Datenbank eindringen und die Dosierungshöchstgrenze erhöhen. Dieses Problem hat Hospira trotz einer Warnung durch die FDA im Mai 2015 bisher nicht behoben. Zudem informierte der Sicherheitsforscher zu diesem Zeitpunkt das Unternehmen, dass auch andere Infusionssysteme betroffen sein könnten. Er erhielt nach eigenen Angaben die Antwort, Hospira sei an solchen Nachforschungen nicht interessiert.

Seit der ersten Meldung sind somit über 400 Tage vergangen. Jetzt meldet sich Rios in einem Blogbeitrag erneut zu Wort: Er hat demnach aus Eigeninitiative weitere Pumpen analysiert und identische sowie noch schwerwiegendere Sicherheitslücken gefunden. So sind die Zugangsdaten für ganze Gerätereihen identisch und nicht wechselbar. Zudem lässt sich die Firmware ohne Zertifikat oder anderen Berechtigungnachweis per seriellem Kabel wechseln. Ein Angreifer könnte so vollständige Kontrolle über das System erlangen, benötigt dafür aber natürlich physikalischen Zugang.

Zudem meldet Riot über 100 Anfälligkeiten und Sicherheitsprobleme aufgrund veralteter Software. Sein Fazit lautet, wenn Hersteller von Medizintechnik sich nicht für Schwachstellen in ihren Geräten interessierten, müsse man eine Alternative zu den bisher vorgeschriebenen Sicherheitskontrollen solcher Geräte finden. Er hoffe aber auf Einsicht.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Mehrheit für Social-Media-Regulierung

Umfrage: Weltweit wünschen die meisten Menschen eine Einschränkung von problematischen Inhalten in den sozialen Medien.

2 Stunden ago

Hacker streuen über 330 bösartige Apps in Google-Play-Kampagnen

Eine aktuelle Analyse der Bitdefender Labs zeigt, dass es bis jetzt weltweit zu rund 60…

15 Stunden ago

Studie: Anstieg der APT-Angriffe auf Unternehmen

Insgesamt ist jedes vierte Unternehmen im Jahr 2024 das Opfer einer APT-Gruppe. Bei den schwerwiegenden…

22 Stunden ago

Update für Windows 11 löscht versehentlich Microsoft Copilot

Betroffen sind einige Nutzer von Windows 11. Die März-Patches deinstallieren unter Umständen die Copilot-App. Nicht…

1 Tag ago

Entschlüsselungs-Tool für Akira-Ransomware entwickelt

Es funktioniert ausschließlich mit der Linux-Variante von Akira. Das Tool knackt die Verschlüsselung per Brute…

2 Tagen ago

Frauen in der IT – vielerorts weiter Fehlanzeige

Laut Bitkom-Umfrage meinen noch immer 39 Prozent der Betriebe, Männer seien für Digitalberufe besser geeignet.

2 Tagen ago