Infusionspumpen: Sicherheitslücke ermöglicht bewusste Überdosierungen

Hunderttausende Infusionspumpen des Herstellers Hospira weisen eine gravierende Sicherheitslücke auf, die es Angreifern ermöglicht, die Dosierung über eine manipulierte Firmware zu verändern – mit potenziell tödlichen Folgen.

Von der Lücke betroffen sind Angaben des Sicherheitsexperten Billy Rios zufolge mindestens fünf Pumpenmodelle, allein vom Modell Plum A+ sind nach Hospira-Angaben mehr als 325.000 Stück in Krankenhäusern installiert.

Der Grund für die Sicherheitslücke liegt im Fehlen einer effektiven Überprüfung der Authentizität von Firmware-Updates, die es Angreifern ermöglicht, eine manipulierte Firmware einzuspielen. Einen physischen Zugang zur Pumpe braucht es dabei nicht: Zwar sind das Mainboard und das Kommunikationsmodul der Pumpe physisch getrennt, allerdings durch ein serielles Kabel miteinander verbunden. Das Kommunikationsmodul wiederum ist mit dem Netzwerk des Krankenhauses und damit auch dem Internet verbunden. Hospira selbst nutzt die serielle Verbindung zum drahtlosen Update der Firmware.

Mit einer manipulierten Firmware kann ein Angreifer schließlich direkt die Dosierung eines Medikaments verändern und zudem auch noch die Displayanzeige der Pumpe manipulieren und damit dem Krankenhauspersonal einen reibungslosen Betrieb vortäuschen.

Bereits im April berichtete Billy Rios über eine Sicherheitslücke in Hospira-Pumpen, die es ermöglicht, einen Sicherheitsmechanismus zur Medikamentendosierung zu überlisten. Das System warnt dabei das Krankenhauspersonal, wenn dieses eine zu hohe Dosierung einstellen will – diese Alarmierungsgrenzen lassen sich über das Krankenhausnetzwerk verändern.