News

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer  risikoreichen Funktion des Patientenmonitors CMS8000 des chinesischen Herstellers Contec.  Laut einem Advisory der U.S. Food & Drug Administration (FDA) ist auch der Patientenmonitor Epsimed MN-120 von den Schwachstellen betroffen. Der Epsimed MN-120 entspricht einem CMS8000 und wird lediglich unter einem anderen Namen vertrieben.

Die betroffenen Geräte versuchen, Dateien von einer IP-Adresse herunterzuladen und Patientendaten im Klartext an die IP-Adresse zu senden, die laut der Informationssicherheit-Publikation „BleepingComputer“ einer chinesischen Universität zugeordnet ist. Auch eine Komplettübernahme ist laut dem Bericht technisch grundsätzlich möglich. Dies könnte beispielsweise dazu führen, dass Vitalzeichen der Patientinnen und Patienten falsch angezeigt werden, sodass gegebenenfalls kritische Gesundheitszustände nicht erkannt werden können.

Die CISA empfiehlt allen medizinischen Einrichtungen und Organisationen, die Produkte vom Netzwerk zu trennen, da für die Geräte zum Berichtszeitpunkt keine Updates verfügbar sind. Außerdem sollten die Geräte auf unautorisierte Änderungen überprüft werden.

Aktuell ist nicht bekannt in welchen Einrichtungen die Geräte zur Anwendung kommen. Gleichwohl kann dieses Gerät aus fachlicher Sicht sowohl im ambulanten, als auch im stationären Bereich grundsätzlich zur Anwendung kommen.

Durch diese Sicherheitslücke besteht derzeit eine mögliche abstrakte Gefährdungslage für Patientinnen und Patienten. Sensible Patientendaten können unberechtigt an Dritte übertragen werden.

Inhalt