Implantierbare Kardioverter-Defibrillatoren, sogenannte ICD, lassen sich Forscher der Universitäten Löwen (Belgien) und Birmingham (Großbritannien) zufolge durch einen Angriff auf das Kommunikationsprotokoll vergleichsweise einfach aus der Ferne hacken. Sie konnten ihrem Bericht zufolge (PDF) mit handelsüblicher Hardware und nur wenig Expertenwissen aus der Ferne auf die vom ICD gesammelten Daten zugreifen und alle Funktionen steuern.
Damit wäre, wie SecurityWeek berichtet, auch eine “Denial-of-Service-Attacke” möglich. Zu Deutsch: Unbefugte könnten das Gerät einfach abschalten.
Den Forschern zufolge werden für die Steuerung der Geräte in der Regel – auch bei aktuellen Modellen – proprietäre Protokolle verwendet. Der Haken daran sei allerdings, dass die nur über schwache oder teilweise gar keine Sicherheitsfunktionen verfügen. Damit leiden also auch diese medizinischen Geräte wie so viele andere, günstigere und für Verbraucher gedachte Geräte daran, dass die Hersteller bei der Ausstattung mit IT und Konnektivität grob fahrlässig agieren.
Den Forschern zufolge sind mindestens zehn Modelle von derzeit auf dem Markt erhältlichen ICDs betroffen. Deren Hersteller seien vor der Veröffentlichung der Forschungsergebnisse informiert worden. Eine Einschränkung des “Angriffs aus der Ferne” ist, dass die für die Steuerung der Geräte verwendete Funktechnologie auf Reichweiten bis maximal fünf Meter ausgelegt ist. Ein Angreifer müsste also zumindest ein Gerät in der Nähe einer Person platzieren, um ihr schaden zu können. Allerdings könnte natürlich das für einen Angriff verwendet Gerät wiederum aus einer größeren Entfernung gesteuert werden.
Als eine Gegenmaßnahme schlagen sie vor, die Drahtlosverbindung zu blockieren, wenn sich der ICD im Standby-Modus befindet. Außerdem könnten ihnen zufolge die Verwendung von bewährten Verschlüsselungsverfahren mit symmetrischen Keys und die Verschlüsselung des Traffics zwischen dem ICD und der Steuereinheit einem Angriff vorbeugen.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Generell verurteilen die Wissenschaftler – wie viele Experten vor ihnen schon in anderen Fällen – aber den von den Geräteherstellern gewählten Ansatz “Security-by-Obscurity”, also die Wahl eines proprietären Verfahrens ins der Hoffnung, niemand sei in der Lage, dies nachzuvollziehen. Dieser Ansatz diene ihnen zufolge oft nur dazu, nachlässige Sicherheitskonzepte zu kaschieren. Es sei wichtig, dass sich auch die Medizinbranche dazu entschließt, von schwach gesicherten, proprietären Lösungen zu gut untersuchten und dokumentierten Standardlösungen zu wechseln und die korrekt zu implementieren.
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
