USA: Schwere Sicherheitslücken bei medizinischen Geräten

Der US-amerikanische Gesundheitsdienstleister und Klinikbetreiber Essential Health hat Medienberichten zufolge im Rahmen von Stichprobenprüfungen enorme Sicherheitslücken in allen getesteten Geräten entdeckt. Alle getesteten Geräte wären leicht zu hacken, weil es entweder überhaupt keine Authentifizierung gäbe oder zu simple Login-Daten (z. B. „admin“ als Nutzernamen oder „1234“ als Passwort). Mangels darüber hinausgehender Sicherheitsvorkehrungen und aufgrund des Umstands, dass viele der medizinischen Geräte über das Internet vernetzt seien, könnte man sich so über einen einzigen infizierten Arbeitsplatz-PC Zugriff auf den OP verschaffen. Ein Angreifer könnte folglich z. B. Lebensrettungssysteme auf die Standardkonfiguration zurücksetzen oder Computertomographen schädliche Strahlendosen aussenden lassen. Der Angreifer bräuchte dazu nicht einmal Kenntnis darüber, wie die Geräte exakt funktionieren, da diese sich über ein nur durch einfache Passwörter gesichertes Webinterface übernehmen ließen. Die Sicherheitslücken seien allesamt auf fahrlässige oder leicht zu entdeckende Fehler wie triviale Passwörter oder fehlende Verschlüsselung zurückzuführen. Derzeit werde überprüft, inwieweit die Lücken übers Internet ausgenutzt werden können. Krankenhäuser seien sich der Risiken meist nicht bewusst, da sie keine eigenen Tests durchführten.