+43 699 / 18199463
office@itexperst.at

Medizinische Infusionspumpen anfällig gegen Hacking

Um Patienten gezielte Dosen von Medikamenten bei Infusionen zu verabreichen, werden Infusionspumpen verwendet. Diese greifen über Bibliotheken im Netzwerk auf Minium- und Maximumlimits zu. Für diesen Zugriff besteht jedoch keine Möglichkeit zur Authentifizierung. Jeder, der sich per Netzwerk Zugriff auf das Gerät verschafft, sowohl der Patient, als auch der Hacker, kann eine eigene Software-Bibliothek hochladen. Diese kann eigene Limits verwenden und die Abgabemenge manipulieren.

Ein Typ mit dieser verwundbaren Infusionspumpe nennt sich „LifeCare PCA drug infusion pump“ und wird von Hospira vertrieben.

Sicherheitsanalysen von Infusionspumpen ergaben, dass einige ein ungeschütztes Webinterface hatten, über die die Dosis einfach eingestellt werden kann.

Laut Dr. Robert Wachter, einem Sprecher vom UC San Francisco’s Department of Medicine ist das Webinterface nicht so sehr das Thema. Vielmehr sind Änderungen der Limits bedenklich. Diese Limits werden gesetzt, um bei einer Falschdosierung gewisse Grenzen einzuhalten, damit der Patient keinen Schaden erleidet. Eine Falschdosierung komme häufiger vor, als Patienten es vermuten.

Durch eine Manipulation an den Bibliotheken wird vermutlich nicht gleich ein Patient sterben, jedoch in großen Institutionen, wo mehrere Hunderttausend solcher Medikationen in einem Monat über Infusionspumpen verabreicht werden, kann durch die ernstzunehmende Gefahr großer Schaden eintreten.

Laut dem Hersteller Hospira ist die Infusionspumpe so konstruiert, dass

„diese Fehler in der Medikation verhindert, die häufig vorkommen.“

Für jedes Medikament gibt es eigene Grenzwerte in den Bibliotheken, genauso für die Art der Anwendung, für unterschiedliche Altersstufen (Babys, Kinder, Erwachsene) und Gewichtsklassen. Wird nun ein höherer Wert als der Gesundheit zuträglich eingegeben, gibt die Pumpe eine akustische Warnung aus. Für jedes Medikament ist ein Barcode hinterlegt, der auch auf der Verpackung zu finden ist.

In der Presseaussendung von Hospira:

“This novel technology decreased the dangers of inadvertent human error and significantly reduced the risks associated with under-/over-medication dosing, due to wrong concentration.”

Die Pumpen kommunizieren mit MedNet „saftey Software“, einem Betriebssystem, das für Windows geeignet ist. Dieses wird auf einem Server im Krankenhausnetzwerk installiert. Für die Kommunikation sind folgende Ports am Server freigeschalten: 23 (telnet), 80 (http), 443 (https) und 5000 (UPnP).

Ein Penetrationstest ergab, dass in der Managementsoftware kritische Sicherheitslücken existieren, durch die Hacker Malware auf den Geräten installieren können. Damit ist es möglich, die Abgabewerte zu verändern. In der Software sind unverschlüsselte Passwörter in Klartext gespeichert. Damit ist es möglich, Zugriff auf die SQL-Datenbank des Servers zu erreichen und Administrationsrechte zu erhalten.

Siehe auch:

Artikel von www.wired.com, 09.04.2015: Drug Pump’s Security Flaw Lets Hackers Raise Dose Limits

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen