20180812 Vernetzte Medizintechnik kann tödlich sein

Herzschrittmacher mit Sicherheitslücken

Modifizierte Firmware auf Medtronic Herzschrittmachern kann zum Ausfall des Systems führen. Die auf dem Schrittmacher auszulösenden elektrischen Impulse, führt das in aller Regel zum Ableben des Patienten.

Die Sicherheitslücke liegt auf dem Weg über den Medtronic-Geräte Software-Updates beziehen. Dabei wird ein VPN-Tunnel zum Software Distribution Network (SDN) des Hersteller aufgebaut, bei dem Nutzername und Passwort für die VPN-Einwahl in den Programmen hinterlegt ist und leicht auslesbar sind. Die Updates werden nicht digital signiert und werden zudem unverschlüsselt per HTTP zum Gerät übertragen.

Obwohl die Firma bereits vor Monaten auf die Lücken aufmerksam gemacht wurden, ist keine Abhilfe in Sicht. Medtronic ist der Meinung, dass die Lücke keinen Einfluss auf das Wohl der Patienten habe und es keine Notwendigkeit gebe, die Lücke per Update zu schließen.

Auch die Insulinpumpen des gleichen Herstellers lassen sich manipulieren, indem die Hacker mittels des Software Definied Radios HackRF One Kommandos an eine Pumpe in der Nähe schickten. Sie konnten Insulin in beliebiger Dosis abgeben oder die Ausgabe komplett beenden. Um mit den Pumpen zu kommunizieren, muss man die Seriennummer des jeweiligen Geräts "erraten".

Kommentar: RE: 20180812 Vernetzte Medizintechnik kann tödlich sein

Alle Technik die Veränderbar ist und eine Schnittstelle nach Außen besitzt kann manipuliert werden. An sich müsste es in einen staatlichen System dann entsprechende Gesetze geben die die Hersteller verpflichtet solche Schnittstellen nur dort einzubauen wo es nicht anders geht und wenn es notwendig ist diese so sicher wie auch irgend möglich zu machen. Dazu gehört btw. imho auch das die entsprechende Schnittstelle/Technologie wenn ein Fehler bekannt wird die Fähigkeit haben muss das man diesen Fehler behebt.

R., 12.08.2018 20:37

Hits: 1173