Vernetzung kann tödlich sein: Hacker bedient Narkosegerät fern

Die zunehmende Vernetzung aller möglichen Geräte steigert die konkreten Gefahren für Gesundheit und Leben von Menschen ungemein, wenn bei den Herstellern nicht zügig die IT-Sicherheit an erste Stelle gesetzt wird. Das zeigt nun auch ein Fall, bei ... mehr... Arzt, Operation, Chirurg Bildquelle: segueprogram.org Arzt, Operation, Chirurg Arzt, Operation, Chirurg segueprogram.org

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Es wäre wirklich wünschenswert, wenn Geräte die im Internet hängen von einem externen zertifizierten und spezialisierten IT-Sicherheitsunternehmen geprüft werden MÜSSTEN. Vorallem Geräte bei denen es um Menschenleben oder Infrastrukturen geht. Natürlich bleibt die Frage offen, wieso ein Narkosegerät am Internet hängt?
 
@Der_Nachbarino: Wünschenswert wäre es, aber machen tut es kaum eine Firma. Einfacher wäre es die Geräte erst gar nicht an Datenverbindungen anzuschließen. Selbst, wenn Sicherheitsunternehmen Software testen, dann ist das kein Garant das da nicht doch noch eine Lücke ist. Und dann muss bei einem Softwareupdate wieder getestet werden. Das ist dann eine Never-Ending-Story. Nicht anschließen und fertig. So einfach :)
 
@MurdocX: Natürlich ist es kein Garant, aber ein Mindestmaß an Absicherung wäre super. Starke Verschlüsselung, keine Universal Passwörter, wichtige Einstellungen können nur physisch am Gerät verwaltet werden (wie das Abschalten), etc. So würde nicht jedes Unternehmen sein eigenes Süppchen kochen. Standards müssen her.
 
@Der_Nachbarino:
Ja, ein Mindestmaß an Absicherung wäre super. Ob die Geräte nun am Netz hängen oder nicht. Da stimme ich Dir voll und ganz zu. Leider investieren die Hersteller von Hard & Software - meiner Meinung und Erfahrung nach - zu wenig in die Sicherheit. Immerhin kann da auch dein oder mein Leben daran hängen?!

Hier freut es das sich der CCC immer wieder solche Geräte vorknöpft und das denen immer wieder vor die Nase hält.
 
@Der_Nachbarino: Damit es Status-Updates bei Facebook oder Twitter posten kann :O
 
@Der_Nachbarino: Nein, schlicht und ergreifend gibt es Systeme, die nicht in Verbindung mit öffentlichen Netzen gehören. Ein Sicherheits-Audit bringt dir auch keine abschließende Sicherheit, da auch dort am Ende nur Menschen sitzen, die selbst bei sorgfältigstem Vorgehen etwas übersehen können. Ich finde es immer wieder merkwürdig, wie viele Leute nach einem Audit davon ausgehen, dass etwas danach "fehlerfrei" ist. Ist es nicht. Und wird es, sofern es sich um komplexe Systeme handelt, wahrscheinlich auch nie sein.
 
@LostSoul: Sorry, so habe ich das nicht gemeint. Natürlich ist nach einem Audit nicht auszuschließen dass die Software komplementiert werden kann. Aber so kann zumindest überprüft werden ob gewisse Standards eingehalten werden. Denn so wie die Entwicklung zeigt, werden immer mehr Geräte mit dem Internet vernetzt. Ob einem das gefällt oder nicht.
 
@LostSoul: Da gehts weniger ums Übersehen oder die Komplexität, als eher um die Korruptheit der Menschen, die für Geld auch das Sicherste System zugänglich machen.

Gibt nur drei möglichkeiten wie sowas passieren kann:
1.) Die Software Hersteller sind überfordert wegen Zeitdruck, mangelnder Kenntnis oder was auch immer.
2.) Die Software Hersteller sind nachlässig wegen Desinteresse und/oder Ignoranz.
3.) Es ist Absicht.
 
@fuba: Du hast meiner Ansicht nach noch etwas 4tes übersehen: Es ist Absicht, aber hauptsächlich wegen des Wunsches der Bediener, das man sich in Streßsituationen, wo es gefühlt auf jede Sekunde ankommt, nicht noch mit temporär entfallenen Zugangspasswörtern oder ähnlichem "aufhalten" muss.
Womöglich in der Konstellation, das aus Stromspargründen das Gerät im Tiefschlaf oder sogar ganz ausgeschaltet ist.
Als Musterbeispiel, das zwar nicht ganz passt, aber das angesprochene verdeutlicht: Die sog. "Rote Liste" = Medikamentendatenbank. Es war sehr lange so, das es dort (online) "Zugangspasswörter" in dieser Machart gab: 1234
Bloß nicht Schuld dran sein oder werden, das Schadensersatzzahlungen durchgedrückt werden können, könnte da auch gut das Motiv eines Herstellers sein ?
 
@Der_Nachbarino: es wäre Wünschenswert wenn dies Staatlich geprüft werden würde ... diese ganzen Externen Dienstleister sind doch nur auf geld aus, selten dass da mal wirklich fähige leute bei sind und wenn was schief geht, wars das Subunternehmen ...
 
@Der_Nachbarino: da steht nichts vom Internet, laut dem Artikel käme auch Bluetooth in Frage. Ob es die Sache besser macht bezweifel ich aber Internet wird es wohl nicht sein, eher eine Schnittstelle zur Wartung.
 
@Yepyep: Vorstellen könnte ich mir auch eine drahtlose Anschlussschnittstelle für diverse Sensoren zur Überwachung der Körperfunktionen des Patienten. Wenn nun ein Hacker der Steuereinheit einen Sensor vorgaukelt und sie mit falschen "Meßwerten" füttert, so kann deren Verhalten auch manipuliert werden ("oh, der Patient spricht schlecht an und ist immer noch wach, da erhöhe ich die Dosis des Narkosemittels" oder "da ist ja gar kein Patient mehr, ich schalte ich mich aus").
 
@Der_Nachbarino: Wo denkst du hin?
Das kostet doch Geld, ein Menschenleben ist das doch nicht wert!
Besser ein Mensch weniger, als X Euro bei Wartung, Service und Instanhaltung auszugeben...
 
Guter Zeitpunkt, um seine Karriere als IT-Sicherheitsberater zu beginnen. Der Bedarf an Leuten, die Geräte auf Sicherheitslücken untersuchen, wird in Zukunft wohl weiter kräftig steigen.
 
@aecro: Das traurige ist doch, das die Grundausbildung an Hochschulen bzw. Universitäten diesbezüglich oftmals mangelhaft ist. Eigentlich sollte jeder Informatiker zumindest mal eine Grundlagenvorlesung zu diesem Thema besuchen.
Bei uns ist jedoch z.B. im Bachelor keine einzige Vorlesung in diese Richtung vorgesehen (auch nicht im Wahlprogramm). Erst im Master kann man dann Wahlveranstaltungen zu den Grundlagen belegen, hier ist dann sogar eine Spezialisierung in diese Richtung möglich.
 
@aecro: und wenn sich nun eine Firma diese Dienstleistung einfach nicht leisten will? Es wird immer an Stellen gespart, wo die Probleme nicht direkt offensichtlich sind, sich danach aber umso katastrophaler auswirken. "... hat man ja nicht ahnen können... "
 
Kann mich mal bitte jemand aufklären weshalb ein Narkosegerät mit dem Internet verbunden ist? Völlig unbegreiflich
 
@kluivert: Globalisierung im Großen und Kleinen. Spezialisierte Ärzte müssen nicht direkt vor Ort in der Klinik sein, sondern können sich per Internet live dazu schalten und Geräte überwachen / steuern.

Das ist jetzt vielleicht nicht für die Behandlung einer Darmspiegelung oder eines Beinbruchs nötig, aber gerade bei komplizierten Behandlungen, z.B. cerebrale, kann das durchaus von Vorteil sein, wenn die besten Ärzte operieren können - größtmögliche Sicherheit natürlich vorausgesetzt.

Die Hersteller dieser Geräte sollten viel mehr mit den "guten Hackern" zusammenarbeiten, damit etwaige Schwachstellen aufgedeckt und geschlossen werden können.
 
@RebelSoldier: Und was gibt dir die Sicherheit, dass der "gute Hacker" auch alle Fehler sieht und diese behoben werden und nicht morgen ein neuer Zero-Day-Exploit auftaucht? Richtig, bei komplexen Systemen kannst du es schlicht und ergreifend nicht sicherstellen, weswegen solche Systeme eigentlich gar nicht an ein öffentlich erreichbares Netz gehören.
 
@LostSoul: Ich habe nicht behauptet, dass es eine 100%ige Sicherheit gibt. Dennoch sollte alles dafür getan werden - eben z.B. durch dauerhafte Kooperationen - die Sicherheit, insbesondere bei kritischen Systemen (das ist nicht nur auf den Krankenhausbereich bezogen), möglichst hoch zu halten.
 
@kluivert: Im Artikel steht leider nichts davon woher der "Angriff" kam. Es wurde aber ein IT-Sicherheitsforscher beauftragt das Krankenhaus zu "testen" (Quelle: golem.de).
Daher ist es wahrscheinlich das der Angriff über das "interne" Netz erfolgte. Dort ist es wahrscheinlich zwecks Monitoring vernetzt.
 
@kluivert: Wo schliesst Du aus dem Artikel, dass das Narkosegerät mit dem Internet verbunden gewesen sei?

Da steht nur "ohne direkte Kabelverbindung", vielleicht handelte es sich auch um eine drahtlose Schnittstelle zur Kommunikation mit Sensoren zur Überwachung der Körperfunktionen des Patienten. Durch vorgegaukelte Meßwerte ließe sich das Verhalten der Steuereinheit sicherlich manipulieren.
 
Ich glaube nicht, das das Gerät am Internet hängt. Aber eine offenen Bluetooth-Schnittstelle tut es ja auch . . .
 
kann man mit etwas ahnubng nicht ein akw aus der ferne hacken?
 
@cs1005: muss man sogar. In der Nähe ist es dann viel zu gefährlich. ;-)
 
@cs1005: Bei uns glücklicherweise (noch) nicht. Aber in den USA hängen wohl weite Teile der Infrastruktur einschließlich Kraftwerke, Wasserversorgung etc. am Netz.
 
"Bei der Vorführung war es natürlich nicht an einen Patienten angeschlossen. " ... Gut, dass ihr es nochmal erwähnt habt ;-)
 
Nicht die Vernetzung kann tödlich sein, sondern Hacker, der das missbraucht. Sorry, aber jemand, der sowas hackt und dann noch damit Schindluder treibt, ist für mich ein schwer gestörter, krimineller Sadist.
In diesem Falle hier war es zwar "nur" ein sicherlich notwendiger Test seitens des Krankenhauses, aber wenn solche Geräte schon vernetzt sein müssen (wahrscheinlich aus Kostengründen), dann sollte man nicht an einem gut ausgebildetem IT-Menschen sparen.
 
Also sorry aber bei medizinischen Geräten von denen ein Menschenleben abhängt, sollten wirklich mit Kabeln miteinander verbunden sein.

Ich lese es auch so, dass das Gerät nicht mit dem Internet verbunden war, sondern mit anderen Geräten vernetzt war.(WLAN)
 
@andi1983: Sicherheitskritische Systeme sollten im allgemeinen nicht über offene Frequenzen miteinander kommunizieren. Oo
 
Überrascht bin ich nicht, kostendruck und Mitarbeitermangel sorgen für seltsame Blüten im Gesundheitswesen, auch sind Krankenhäuser verpflichtet ständig Protokolle zu erstellen über die Patienten und deren Behandlung, was dann "Automatisiert" wird.

Merkwürdig finde ich die Betonung auf "Narkosegerät" (Meist Gas), das nur in der OP oder im Intensivstation eingesetzt wird?
Ich gehe davon aus das ein Perfusor (Spritzenpumpe) gemeint ist, ein gerät das ein in einer/mehreren Spritze befindliches Anästhetika (auch mehrere unterschiedliche) über das Gerät an den Patienten abgibt.
Der Zugang ist sehr einfach, da die meisten Geräte eine "Patientensteuerung " haben, sprich der Patient kann über eine externe Steuerung (auch Funk) die Abgabe einleiten.
 
Ich warte schon auf die Nachricht: Erster Mensch an einem Computervirus gestorben.
 
Verstehe zwar nicht wozu Medizinische Ausrüstungen am Internet hängen selbst an ein Intranet kann ich nicht verstehen aber Gefahr und Nutzen dürften gegen Vernetzung Sprechen.
Einzige was sich mir Vorstellen könnte währe das man sich dadurch den Narkotiseur Spart bzw. die erforderliche Summe stark Reduzieren kann.
Solche Geräte gehören schlicht nicht an das Internet da hat schlicht ein Mensch am Regler zu stehen und nicht einer oder zwei irgendwo in einem Büro der dann dafür 20 oder 30 Narkosen gleichzeitig überwacht ohne direkten Zugriff.
Bin gespannt wann es zum Gau kommt und Menschen durch solche dinge Verletzt werden oder Sterben.

Selbst Fahrzeuge benötigen solche Vernetzung nicht kann ruhig alles Vernetzt werden für manche fällt so etwas unter Komfort aber die Essentiellen Dinge haben weitgehend Analog oder wenn Digital abgekapselt vom Rest zu bleiben damit niemand eingreifen kann nur weil Spaß dran hat.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles