// Security

Medizingeräte mit Hardcoded-Passwörtern

Rund 300 Medizingeräte von etwa 40 Herstellern hatten fest einprogrammierte Passwörter — die US-Behörden schlugen Alarm.

Medizingeräte mit Hardcoded-Passwörtern (2013): rund 300 Geräte von etwa 40 Herstellern enthielten fest einprogrammierte Service-Passwörter — ICS-CERT und FDA warnten, ein Schadensfall blieb ausHerstellerFirmware ab WerkMedizingerätInfusionspumpeEinstellungenFirmware & WerteAufbauModerne Spitäler sind voll vernetzter Medizingeräte. Für Service undWartung haben viele Geräte ein eingebautes Hersteller-Konto.
Tempo:

Schritt 1 von 6

Moderne Spitäler sind voll vernetzter Medizingeräte. Für Service und Wartung haben viele Geräte ein eingebautes Hersteller-Konto.

In 30 Sekunden

Im Juni 2013 warnte die US-Behörde ICS-CERT vor rund 300 Medizingeräten von etwa 40 Herstellern, die fest einprogrammierte Passwörter enthielten — von Beatmungsgeräten über Infusionspumpen bis zu Defibrillatoren und Patientenmonitoren. Entdeckt hatten das Muster die Sicherheitsforscher Billy Rios und Terry McCorkle. Über die festen Konten liessen sich Firmware und kritische Einstellungen der Geräte ändern. Zeitgleich richtete die Arzneimittelbehörde FDA eine Sicherheitsmitteilung an Hersteller und Spitäler. Ein Schadensfall wurde nie bekannt — der Fall ist eine Warnung, die die Medizintechnik-Branche aufweckte.

Was geschah

Jahr

2013

Ziel

Betroffen waren vernetzte Medizingeräte in Spitälern: Beatmungsgeräte, Infusionspumpen, externe Defibrillatoren, Patientenmonitore sowie Anästhesie- und Laborgeräte zahlreicher Hersteller.

Der Angriffsweg

  1. Hersteller bauen für Service und Wartung fest einprogrammierte Passwörter (Hardcoded Credentials) in ihre Geräte ein — identisch für ganze Serien und vom Betreiber nicht änderbar.
  2. Die Sicherheitsforscher Billy Rios und Terry McCorkle untersuchen systematisch die Firmware (Gerätesoftware) zahlreicher Medizingeräte.
  3. Sie finden das Muster in rund 300 Geräten von etwa 40 Herstellern — vom Beatmungsgerät bis zur Infusionspumpe.
  4. Wer ein solches Passwort kennt und das Gerät im Netz erreicht, kann je nach Modell Firmware und kritische Einstellungen ändern.
  5. Die Forscher melden den Befund an die US-Behörde ICS-CERT, die im Juni 2013 den Alert ICS-ALERT-13-164-01 veröffentlicht.
  6. Zeitgleich richtet die FDA eine Sicherheitsmitteilung mit konkreten Empfehlungen an Hersteller und Spitäler.

Auswirkung

Ein konkreter Schadensfall wurde nie bekannt — der Fall blieb eine Warnung. Er zeigte aber, wie verbreitet ein einziger Konstruktionsfehler in einer ganzen Branche sein kann: Hunderte Gerätetypen, die direkt am Patienten arbeiten, teilten sich fest verdrahtete Zugänge. In den Folgejahren verschärfte die FDA ihre Cybersecurity-Anforderungen an Medizingeräte-Hersteller deutlich.

So schützt du dich

Betreibe Medizingeräte in einer eigenen, abgetrennten Netzzone (Segmentierung) — nie im offenen Spitalnetz.
Exponiere Medizingeräte niemals direkt ins Internet.
Führe ein vollständiges Inventar aller vernetzten Geräte inklusive Firmware-Ständen.
Verlange beim Einkauf individuelle, änderbare Zugangsdaten und verbindliche Update-Zusagen vom Hersteller.
Etabliere mit den Herstellern einen geregelten Patch- und Firmware-Prozess.
Überwache Netzzugriffe auf Medizingeräte und alarmiere bei ungewöhnlichen Verbindungen.

Fakten

Jahr
2013 (Warnung im Juni)
Betroffen
rund 300 Gerätetypen von ca. 40 Herstellern
Gerätearten
Beatmung, Infusionspumpen, Defibrillatoren, Monitore
Entdecker
Billy Rios & Terry McCorkle
Schwachstelle
fest einprogrammierte Passwörter (Hardcoded Credentials)
Behörden
ICS-CERT (Alert ICS-ALERT-13-164-01) und FDA
Schaden
kein bekannter Vorfall — eine Warnung

Im Detail

Ein Passwort für die ganze Serie

Fest einprogrammierte Passwörter (Hardcoded Credentials) stecken unveränderbar in der Gerätesoftware — meist als bequemer Service-Zugang für Techniker gedacht. Das Problem: Sie sind für alle Geräte einer Serie identisch, lassen sich vom Spital nicht ändern und tauchen früher oder später in Handbüchern, Foren oder Firmware-Analysen auf. Ein einziges geleaktes Passwort öffnet dann tausende Geräte weltweit.

Der Befund von Rios und McCorkle

Die beiden Sicherheitsforscher analysierten die Firmware vieler Medizingeräte und fanden das Muster in rund 300 Geräten von etwa 40 Herstellern: Beatmungsgeräte, Infusionspumpen, externe Defibrillatoren, Patientenmonitore, Anästhesie- und Laborgeräte. Über die festen Konten liessen sich je nach Gerät Firmware und Konfiguration verändern — also genau die Stellen, an denen Manipulation Patienten gefährden könnte.

Behörden reagieren gemeinsam

Im Juni 2013 veröffentlichte die US-Behörde ICS-CERT den Alert ICS-ALERT-13-164-01 und arbeitete wegen der Kritikalität der Geräte eng mit der Arzneimittelbehörde FDA zusammen. Die FDA richtete zeitgleich eine Sicherheitsmitteilung an Hersteller und Spitäler: Geräte absichern, Netzwerke segmentieren, Updates bereitstellen. Beide Behörden forderten die betroffenen Hersteller auf, die Lücken zu bestätigen und Gegenmassnahmen zu benennen.

Warum Spitäler besonders verwundbar sind

Medizingeräte laufen oft zehn Jahre und länger, Software-Änderungen berühren die Zulassung, und viele Geräte wurden nie für den Betrieb in offenen Netzwerken entworfen. Gleichzeitig vernetzen Spitäler immer mehr Technik, um Daten in Patientenakten und Leitstände zu bringen. So treffen langlebige, schwer patchbare Geräte auf immer erreichbarere Netze — ein strukturelles Risiko, das über einzelne Hersteller hinausgeht.

Die Lehre: Sicherheit gehört ins Produkt

Der Fall machte klar, dass Hardcoded-Credentials kein Versehen einzelner Firmen waren, sondern ein Konstruktionsstandard der Branche. Die Antwort ist Security by Design: individuelle, änderbare Zugangsdaten, gesicherte Update-Wege und klare Herstellerpflichten. Bis dahin schützt die Betreiberseite mit Netzsegmentierung, Inventar und Einkaufskriterien — wer Sicherheit ausschreibt, verändert den Markt.