Die Sicherheitsprobleme der vernetzten Infusionspumpen des Herstellers Hospira sind offenbar schlimmer als gedacht. Im April hatte Sicherheitsforscher Billy Rios herausgefunden, dass die Geräte sich auch von wenig erfahrenen Hackern ansteuern und manipulieren lassen. Ursache dafür sind Verfehlungen wie im Klartext hinterlegte Log-in-Daten und mangelhafte Checks von Konfigurations- und Firmware-Updates.

Bislang war nur bekannt, dass die Lecks es ermöglichten, die erlaubten Dosierungsmengen zu verändern. Dies allein birgt bereits erhebliches Risiko, da bei einer versehentlichen Überdosierung durch das Krankenhauspersonal die Pumpe nicht mehr Alarm schlagen würde. Nun konnt eRios aber herausfinden, dass sich die Ausgabemenge der Medikamente direkt ändern lässt, berichtet Wired.

Verabreichung tödlicher Dosis möglich

Die Konsequenz dieses Fehlers ist potenziell verheerend. Gelingt der Zugriff auf eine der Pumpen, könnte man einen daran angeschlossenen Patienten auf diesem Wege töten. Gleichzeitig wäre auch es auch möglich, am Display der Pumpe anzeigen zu lassen, dass eine harmlose Dosis verabreicht wurde. Ein kurzer Zugang zu einem der Geräte reicht aus, um die entsprechenden Daten zu extrahieren, die in weiterer Folge auch einen Fernzugriff ermöglichen.

Betroffen sind mindestens fünf Modelle von Hospira, darunter die Geräte PCA, PCA3 und PCA5 der LifeCare-Serie, die 2013 eingestellte Symbiq-Reihe und das Modell Plum A+. Alleine letzteres wurde wenigstens 325.000 Mal an Spitäler rund um den Globus verkauft. Rios konnte diese Geräte erfolgreich auf die Schwachstelle prüfen, er nimmt allerdings an, dass auch weitere Geräte des Herstellers anfällig sind.

Mangelhafte Update-Prüfung

Das Grundproblem ist, dass die Geräte beim Einspielen eines Firmware-Updates lediglich einen einfachen Check ähnlich einer Prüfsummenbestimmung vornehmen, um festzustellen, ob das Installationspaket manipuliert wurde. Die dafür verwendeten Identifikationsnummern lassen sich aber leicht errechnen. Nicht kontrolliert wird jedoch die Herkunft der Firmware. Diese muss nicht zwingend über das für den Betrieb der Pumpen auf den Krankenhaus-Servern installierte Mednet-System verschickt werden, da die Geräte die Übermittlung von jeder Quelle annehmen, die die richtige Schnittstelle anspricht.

Säumiger Hersteller

Rios hat Hospira bereits letztes Jahr über das Firmware-Problem in Kenntnis gesetzt und eine Überprüfung aller Modellarten angeregt. Damals war die Anfälligkeit nur bei den Lifecare-Geräten bekannt. Hospira versteifte sich auch darauf, dass darüber hinaus keine anderen Geräte betroffen waren. Infolge dessen schafte sich der Sicherheitsexperte selber ein Gerät der Plum A+-Serie an und konnte den Hersteller widerlegen.

Die US-Gesundheitsbehörde FDA hat mittlerweile auch eine Warnung lanciert. Rios wurde gebeten, von der Veröffentlichung seines neuesten Fundes Abstand zu nehmen, bis Hospira den Fehler behoben hat. Das lehnte der Forscher allerdings ab und verwies darauf, dass der Pumpenhersteller bereits ein Jahr lang Zeit hatte, die zugrunde liegenden Sicherheitslücken zu schließen. Er will nun auch Geräte der Sapphire-Linie anschaffen, um sich auch dort am Nachweis der Lecks zu versuchen. (gpi, 09.06.2015)