Medizingeräte mit Hardcoded-Passwörtern
Rund 300 Medizingeräte von etwa 40 Herstellern hatten fest einprogrammierte Passwörter — die US-Behörden schlugen Alarm.
Moderne Spitäler sind voll vernetzter Medizingeräte. Für Service und Wartung haben viele Geräte ein eingebautes Hersteller-Konto.
In 30 Sekunden
Im Juni 2013 warnte die US-Behörde ICS-CERT vor rund 300 Medizingeräten von etwa 40 Herstellern, die fest einprogrammierte Passwörter enthielten — von Beatmungsgeräten über Infusionspumpen bis zu Defibrillatoren und Patientenmonitoren. Entdeckt hatten das Muster die Sicherheitsforscher Billy Rios und Terry McCorkle. Über die festen Konten liessen sich Firmware und kritische Einstellungen der Geräte ändern. Zeitgleich richtete die Arzneimittelbehörde FDA eine Sicherheitsmitteilung an Hersteller und Spitäler. Ein Schadensfall wurde nie bekannt — der Fall ist eine Warnung, die die Medizintechnik-Branche aufweckte.
Was geschah
2013
Betroffen waren vernetzte Medizingeräte in Spitälern: Beatmungsgeräte, Infusionspumpen, externe Defibrillatoren, Patientenmonitore sowie Anästhesie- und Laborgeräte zahlreicher Hersteller.
Der Angriffsweg
- Hersteller bauen für Service und Wartung fest einprogrammierte Passwörter (Hardcoded Credentials) in ihre Geräte ein — identisch für ganze Serien und vom Betreiber nicht änderbar.
- Die Sicherheitsforscher Billy Rios und Terry McCorkle untersuchen systematisch die Firmware (Gerätesoftware) zahlreicher Medizingeräte.
- Sie finden das Muster in rund 300 Geräten von etwa 40 Herstellern — vom Beatmungsgerät bis zur Infusionspumpe.
- Wer ein solches Passwort kennt und das Gerät im Netz erreicht, kann je nach Modell Firmware und kritische Einstellungen ändern.
- Die Forscher melden den Befund an die US-Behörde ICS-CERT, die im Juni 2013 den Alert ICS-ALERT-13-164-01 veröffentlicht.
- Zeitgleich richtet die FDA eine Sicherheitsmitteilung mit konkreten Empfehlungen an Hersteller und Spitäler.
Auswirkung
Ein konkreter Schadensfall wurde nie bekannt — der Fall blieb eine Warnung. Er zeigte aber, wie verbreitet ein einziger Konstruktionsfehler in einer ganzen Branche sein kann: Hunderte Gerätetypen, die direkt am Patienten arbeiten, teilten sich fest verdrahtete Zugänge. In den Folgejahren verschärfte die FDA ihre Cybersecurity-Anforderungen an Medizingeräte-Hersteller deutlich.
So schützt du dich
Fakten
- 2013 (Warnung im Juni)
- rund 300 Gerätetypen von ca. 40 Herstellern
- Beatmung, Infusionspumpen, Defibrillatoren, Monitore
- Billy Rios & Terry McCorkle
- fest einprogrammierte Passwörter (Hardcoded Credentials)
- ICS-CERT (Alert ICS-ALERT-13-164-01) und FDA
- kein bekannter Vorfall — eine Warnung
Im Detail
Ein Passwort für die ganze Serie
Fest einprogrammierte Passwörter (Hardcoded Credentials) stecken unveränderbar in der Gerätesoftware — meist als bequemer Service-Zugang für Techniker gedacht. Das Problem: Sie sind für alle Geräte einer Serie identisch, lassen sich vom Spital nicht ändern und tauchen früher oder später in Handbüchern, Foren oder Firmware-Analysen auf. Ein einziges geleaktes Passwort öffnet dann tausende Geräte weltweit.
Der Befund von Rios und McCorkle
Die beiden Sicherheitsforscher analysierten die Firmware vieler Medizingeräte und fanden das Muster in rund 300 Geräten von etwa 40 Herstellern: Beatmungsgeräte, Infusionspumpen, externe Defibrillatoren, Patientenmonitore, Anästhesie- und Laborgeräte. Über die festen Konten liessen sich je nach Gerät Firmware und Konfiguration verändern — also genau die Stellen, an denen Manipulation Patienten gefährden könnte.
Behörden reagieren gemeinsam
Im Juni 2013 veröffentlichte die US-Behörde ICS-CERT den Alert ICS-ALERT-13-164-01 und arbeitete wegen der Kritikalität der Geräte eng mit der Arzneimittelbehörde FDA zusammen. Die FDA richtete zeitgleich eine Sicherheitsmitteilung an Hersteller und Spitäler: Geräte absichern, Netzwerke segmentieren, Updates bereitstellen. Beide Behörden forderten die betroffenen Hersteller auf, die Lücken zu bestätigen und Gegenmassnahmen zu benennen.
Warum Spitäler besonders verwundbar sind
Medizingeräte laufen oft zehn Jahre und länger, Software-Änderungen berühren die Zulassung, und viele Geräte wurden nie für den Betrieb in offenen Netzwerken entworfen. Gleichzeitig vernetzen Spitäler immer mehr Technik, um Daten in Patientenakten und Leitstände zu bringen. So treffen langlebige, schwer patchbare Geräte auf immer erreichbarere Netze — ein strukturelles Risiko, das über einzelne Hersteller hinausgeht.
Die Lehre: Sicherheit gehört ins Produkt
Der Fall machte klar, dass Hardcoded-Credentials kein Versehen einzelner Firmen waren, sondern ein Konstruktionsstandard der Branche. Die Antwort ist Security by Design: individuelle, änderbare Zugangsdaten, gesicherte Update-Wege und klare Herstellerpflichten. Bis dahin schützt die Betreiberseite mit Netzsegmentierung, Inventar und Einkaufskriterien — wer Sicherheit ausschreibt, verändert den Markt.
