!!! Panikmache ohne Belege !!!

Dieser IT Security-"Experte" hat meine Frage sofort gelöscht und mich gesperrt. Da dies ein zentraler Punkt meiner täglichen Verantwortung in einem Spital ist, hätte ich schon sehr gerne eine Antwort darauf gehabt. Leider scheut er die Frage und Konfrontation, ist und bleibt halt eine Panikmache ohne Belege!

Durch welche konkreten Sicherheitslücken können Hacker Medizingeräte ausschalten?
Kannst du einen solchen bereits erfolgreichen Versuch belegen?

Nun, die betreffenden Geräte sind in dem Artikel aufgeführt. Auch die genauen Firmennamen werden genannt. Offenbar hat es auch einen Austausch mit den Unternehmen gegeben, so dass ich nicht glaube, dass es sich um "Panikmache" handelt.

Ja genau, ein Etikettendrucker

Ich lese hier auch Patientenalarme, Belüftungssysteme usw.

Worauf genau wollen Sie hinaus?

Er schreibt im TITEL, dass Hacker Medizingeräte ausschalten können.
Einfache Frage, ob er diese These belegen kann -> zack, gesperrt

Siciliano schrieb:
--------------------------------------------------------------------------------
> Dieser IT Security-"Experte" hat meine Frage sofort gelöscht und mich
> gesperrt. Da dies ein zentraler Punkt meiner täglichen Verantwortung in
> einem Spital ist, hätte ich schon sehr gerne eine Antwort darauf gehabt.
> Leider scheut er die Frage und Konfrontation, ist und bleibt halt eine
> Panikmache ohne Belege!
>
> Durch welche konkreten Sicherheitslücken können Hacker Medizingeräte
> ausschalten?
> Kannst du einen solchen bereits erfolgreichen Versuch belegen?


Cyberkiminelle legen Krankenhaus in Neuss lahm,
[www.nw.de],
[www.focus.de]
[www.waz.de],
[www.20min.ch]

auch so Fragen nach Admin und Biospasswörtern für med Geräte kommen in med Foren häufig. "c-arm siemens arcadis avantic bios password needed" da wird dann neben dem BIOS Passwort auch gleich das erweiterte Systempasswort genannt. Wenn man weiß, dass da ein Webserver mit für die Konfiguration drauf läuft... ist es einfach nur Zufall wenn es nicht ausgenutzt wird.

LiveOverflow hatte vor einiger Zeit schon mal ein gutes Hintergrund-Video zu Jean Pereira gemacht:

www.youtube [DOT] com/watch?v=3FeAAQlUSJ4

Hilft vielleicht etwas, den Typ besser einzuschätzen. TLDW: 3FeAAQlUSJ4?t=1924



1 mal bearbeitet, zuletzt am 19.02.24 13:55 durch Cryptkeeper.

Niemand wird 0-day Code mit dir teilen. Und niemand wird dich zum Beobachter oder zur Partei eines disclosure Verfahrens machen.

Was hat du erwartet?

Es als "Hintergrundvideo" zu bezeichnen, ist eine ziemliche Übertreibung 😃 Für mich ist das Einzige, was an diesem Video auffällt, dass er wohl ziemlich neidisch auf Jeans Arbeit ist und gleichzeitig Leeroys Klicks ergattern wollte. Ich unterstütze, was Jean tut, und verfolge seine Arbeit seit langem. Seine Publikationen haben mehr Gewicht als irgendein Hassvideo. Jeder kann Gerüchte erfinden und Kritik üben. Außerdem verstehe ich nicht, warum dieses Video unter alles, was Jean veröffentlicht, gepostet wird, es hat überhaupt keinen Kontext. Es entkräftet ja nicht die Dinge, die Jean veröffentlicht. Ich denke auch, dass es gefährlich ist, dieses Video unter Artikel wie diesen zu stellen, da es Leute dazu verleiten könnte, die Veröffentlichungen für "fake" zu halten.

Hast du das Video überhaupt angeschaut? Es als "Hassvideo" zu bezeichnen, ist eine ziemliche Übertreibung!!11elf

Es ist eine sehr sachliche Auseinandersetzung mit den Veröffentlichungen von Jean - die ihn stellenweise sogar noch in Schutz nimmt.

> es hat überhaupt keinen Kontext.

Die im Video behandelte Veröffentlichung zur "Schwachstelle" von HospitalRun von Jean hat zu diesem Artikel sehr wohl Kontext.

> Ich denke auch, dass es gefährlich ist,
> dieses Video unter Artikel wie diesen zu stellen, da es Leute dazu
> verleiten könnte, die Veröffentlichungen für "fake" zu halten.

Wenn man - wie heute üblich - nur noch die Überschriften liest, könnte das leider tatsächlich Leute dazu verleiten. Ich habe das Video aber gepostet, damit sich die Leute selbst ein Bild davon machen - insbesondere da LiveOverflow im Video ja durchaus zugesteht, dass Jean ein gewisses Verständnis für Security hat.

Cryptkeeper schrieb:
--------------------------------------------------------------------------------
> Hast du das Video überhaupt angeschaut? Es als "Hassvideo" zu bezeichnen,
> ist eine ziemliche Übertreibung!!11elf

Das Video habe ich mir angeschaut. Das Einzige, was ich sehe, ist, dass Jean durch seine Arbeit einen sinnvollen Beitrag für die Gesellschaft leistet, während "LiveOverflow" seit Monaten in Videos, Tweets und sogar ganzen Websites, die er über Jean erstellt hat, gegen ihn wettert, und Jean hat ihn nicht einmal irgendwo erwähnt. Die ganze Sache scheint also sehr einseitig und alles andere als sachlich zu sein. Er versucht, die Arbeit von Jean zu sabotieren, die mMn. für uns alle von Nutzen ist. Warum sollte ich überhaupt auf die Meinung von jemandem hören, der versucht, die Tatsache herunterzuspielen, dass jemand z. B. bei Apple etwas gefunden hat, selbst aber nichts Relevantes veröffentlicht hat? Wir sind als Gesellschaft leider an einem Punkt angelangt, an dem wir demjenigen eine Stimme geben, der am lautesten schimpft und brüllt, und nicht demjenigen, der tatsächlich etwas vorzuweisen hat.

Es geht ja nicht nur um das Abschalten eines Beatmungsgeräts oder ähnliches; wenn ein Krankenhaus Zugang zu allen sonst elektronisch zugänglichen Patientendaten verliert (zB durch Malware, Bitlockers..) , verringert sich alleine dadurch die Zahl der Patienten, die pro Tag versorgt werden können. D.h., Leute mit plötzlichen Schmerzen im Brustbereich (= möglicher Herzinfarkt, ) müssen an andere Krankenhäuser verwiesen werden, Warnung wegen Allergien gegen bestimmte Antibiotika kommen nicht oder erst spät, usw. Unbehandelte oder später erkannte und behandelte Herzinfarkte, Nierenversagen etc schlagen sich in höherer Morbidität und Mortalität nieder.
Wenn man mal mitbekommen hat, wieviel Zeit für das Suchen, Auffinden und Einlesen in Patientenakten in Papierform draufgehen kann, versteht schnell, wie sehr das die Zahl der Patienten verringert, die ein Arzt oder ein Krankenpfleger pro Stunde betreuen und versorgen kann. Die Krankenhausapotheke weiß dann auch nicht so schnell, wieviel von welchen Medikamenten sie noch hat, was bestellt werden muss, usw.
Und, bevor noch jemand sagt, ohne EDV wird ja auch die Zeit gespart, hier alles einzugeben: aufgeschrieben werden muss alles trotzdem, und zwar dann zweimal. Erst wieder mit Kugelschreiber auf Papier, und dann nachträglich in die elektronische Patientenakte.