Die aktuelle c’t veröffentlicht einen Artikel zum Thema Sicherheitsrisiken beim "Internet der Dinge" – Alltagsgeräte, die mit dem Internet verbunden sind. Sie werden so gegen Angriffe von Hackern verletzlich.
Neben einigen harmlosen Beispielen wie dem Einschalten von Kirchenglocken erwähnen die Autoren auch ein aus ihrer fachkundigen Sicht erhebliches Risiko in medizinischen Einrichtungen – Medikamentenpumpen mit Netzanschluss.
Im Frühjahr berichtete der kanadische Sicherheitsexperte Jeremy Richards, wie er ohne Probleme die Software einer der üblichen elektrischen Medikamentenpumpen auslesen und manipulieren konnte. Sie war nicht durch ein Passwort geschützt. Auch ein Passwortschutz wäre lückenhaft geblieben, weil die ältere Software mehrere bekannte Sicherheitslücken enthielt.
Darüberhinaus fand Richards auch unverschlüsselt auf dem Gerät gespeicherte WLAN-Zugangsdaten. Die hätten im "Ernstfall" einem Angreifer Zugang zu einem krankenhausweiten Netz mit allen angeschlossenen Geräten verschaffen können.
Das bestätigt ähnliche Berichte des amerikanischen Experten Billy Rios. Hacker könnten die Pumpen fehlsteuern und damit Patienten gefährden.
Die Zahl von vernetzten Geräten (connected medical devices, CMD) nimmt in unseren Kliniken zu, denn die Vernetzung kann die Patientenversorgung verbessern und Kosten sparen. Beispielsweise können Meßdaten schneller ausgewertet werden, und Techniker können an den Anlagen per Fernzugriff Wartungsarbeiten durchführen.
Zwar sind gegenwärtig die meisten Geräte und Anlagen noch offline und werden es schon aus Kostengründen noch eine Weile bleiben, selbst wenn ihre Technik eine Vernetzung schon zuließe.
Auch wenn die von den IT-Spezialisten beschriebene Gefahr im Moment noch nicht realisiert ist, müssen die Hersteller und wir Anwender sich dennoch darauf vorbereiten. Ein wichtiger Punkt sind Interlocks und Schlüsselschalter vor Ort, die verhindern, dass wesentliche Funktionen der Maschinen ohne unser Wissen geschaltet werden können. Bei der Netzwerktechnik sind besondere Vorkehrungen, wie das KV-Safenet, immer wichtiger.
Nicht zuletzt sollten ungeschützte Telnet-Zugänge, oder solche mit einfach zu erratenden Standardpasswörtern, längst der Vergangenheit angehören.