News: Todesgefahr durch Sicherheitslücken
Eine fatale eventuell todbringende Sicherheitslücke, hat das Sicherheitsforschungsunternehmen 0xtech Security bei Infusionspumpen des Herstellers Hospira entdeckt.
Infusionspumpen transportieren Medikamente vollautomatisch in die Venen von Krankenhauspatienten. Und auch derlei Geräte sind inzwischen mit Computertechnik vollgestopft, können per Netzwerktechnik kontrolliert und gesteuert werden.
Die Hospira Infusionspumpe PCA3 hat mehrere schwere Sicherheitslücken, die sich per Fernzugriff ausnutzen lassen. Diese Pumpe sei das unsicherste IT-Gerät, das er je gesehen habe, kommentiert der Sicherheitsforscher in seinem Bericht. Das lächerlich simpelste Angriffsszenario wird so beschrieben: die Pumpen sind standardmäßig mit der IP-Adresse 192.168.0.100 versehen.
Bei Anstecken via Ethernet an einen Computer können die WLAN-Schlüssel extrahiert werden, die im Gerät in Klartext abgelegt sind. Damit erlangt ein Hacker dann Zugriff aus sämliche Infusionspumpen im Krankenhaus. Für Fernzugriff auf die Pumpen braucht es keinerlei Berechtigungsnachweis.
Inzwischen hat die US-Regierung einen Sicherheitsalarm ausgelöst und der Hersteller arbeitet angeblich an einem Patch. Im Bericht der Sicherheitsexperten werden noch drei weitere Schwachstellen detailliert beschrieben.
Michael Nickles meint:
Die Horror-Geschichte stammt aus den USA, ob diese Hospira-Pumpen auch bei uns im Einsatz sind, weiß ich nicht. Erschreckend ist auf jeden Fall, wie Unternehmen leichtfertig mit unserem Leben spielen.
Inzwischen sollte doch jeder Depp kapiert haben, dass es bei Netzwerkzeugs extreme Sicherheitsvorkehrungen geben muss. Der Hersteller Hospira scheint sich darüber nicht mal ansatzweise Gedanken gemacht zu haben.
Wozu auch? Jetzt ist die Sache rausgekommen und es wird halt "nach-gepatcht" und das war es dann. An der Hospira-Aktie scheint der Vorfall auf jeden Fall nicht besonders gekratzt zu haben.
