Medizinische Geräte zu Tausenden hackbar
30. September 2015 um 14:00
Abertausende medizinische Geräte sind relativ leicht für Hacker angreifbar.
Abertausende medizinische Geräte sind relativ leicht für Hacker angreifbar. Die Sicherheitsexperten Scott Erven und Mark Collao haben allein bei einem namentlich nicht genannten grossen amerikanischen Healthcare-Anbieter über 68'000 verwundbare Systeme entdeckt, berichtet 'The Register'.
Zudem hat das Team bei einem Honeypot-Experiment mit simulierten medizinischen Systemen über 55'000 erfolgreiche Zugriffe registriert. Es kam dabei zu etlichen Angriffen von Hackern, denen offenbar gar nicht klar war, dass sie medizinische Geräte beeinflussen.
Hacks medizinische Geräte sind schon allein aus Datenschutzgründen sehr kritisch. Doch die Sicherheit liegt meist im Argen, wie die Spezialisten mithilfe der Geräte-Suche Shodan gezeigt haben. So waren bei dem US-Anbieter unter anderem 21 Narkosegeräte, 31 Schrittmacher und 97 Magnetresonanz-Tomografen angreifbar. Mit Suchbegriffen, die "auf Spezialkliniken wie Radiologie, Fußorthopädie oder Pädiatrie abzielen, haben wir Tausende Fehlkonfigurationen und direkte Angriffsvektoren gefunden", so Erven, stellvertretender Direktor bei Protiviti, im Rahmen der Sicherheitskonferenz DerbyCon.
Zu den potenziellen Risiken derartiger Verwundbarkeit zählen Datenklau und Eingriffe in die Privatsphäre der Patienten. Laut Collao, Security Consultant bei NeoHapsis, könnten Angreifer auch eine Menge Informationen über Organisationen im Gesundheitssektor zusammentragen. Erschwerend komme dabei hinzu, dass viele medizinische Geräte noch die XP-Generation von Windows nutzen, aber wohl auf Antiviren-Software verzichten.
Wie gefährdet derartige Geräte sind, haben die Forscher mit einem sechsmonatigen Experiment gezeigt. Dabei haben sie einen Tomografen und einen Defibrillator samt typischer Sicherheitslücken in Honeypots simuliert. Die nachgestellten Geräte haben zehntausende Login-Versuche registriert, von denen 55'416 erfolgreich waren. Angreifer haben insgesamt 299 Malware-Payloads abgesetzt. Dabei haben die Hacker offenbar gar nicht einmal registriert, dass sie medizinische Geräte angreifen, so Collao. Es ging ihnen nur darum, sich langfristigen Zugriff zu sichern und eine Verbindung zu einem Kontrollserver herzustellen. (pte/kjo)
Loading
Bund will zentrales Tool für das Information Security Management
Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.
Meldepflicht für kritische Infrastrukturen ist unter Dach und Fach
Das Parlament hat in seiner Schlussabstimmung die Meldepflicht von Cyberangriffen für Betreiber kritischer Infrastrukturen gutgeheissen. Sie tritt aufs neue Jahr in Kraft.
Podcast: Wird Justitia 4.0 zum neuen EPD?
Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim E-Patientendossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechtsgrundlage dafür bestand.
Die USA fahren eine neue Cyberstrategie
Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.