Die US-amerikanische Arzneimittelbehörde FDA hat am 30. Januar 2025 vor schwerwiegenden Sicherheitslücken in Patientenmonitoren der Marken Contec CMS8000 und Epsimed MN-120 gewarnt[1]. Die Geräte, die zur Überwachung von Vitalfunktionen in Krankenhäusern und häuslicher Pflege eingesetzt werden, weisen drei kritische Schwachstellen auf.
Die entdeckten Sicherheitslücken ermöglichen es nicht autorisierten Personen, die Geräte aus der Ferne zu kontrollieren und Patientendaten abzugreifen. Besonders besorgniserregend ist eine eingebaute Hintertür in der Software, die es Angreifern erlaubt, Sicherheitskontrollen zu umgehen[1]. Sobald die Monitore mit dem Internet verbunden sind, beginnen sie automatisch, persönliche Patientendaten und geschützte Gesundheitsinformationen nach außen zu übertragen[1].
Die FDA empfiehlt Gesundheitseinrichtungen und Patienten dringende Sofortmaßnahmen:
– Geräte mit Fernüberwachungsfunktion sollten sofort vom Netz genommen und nicht mehr verwendet werden
– Bei lokaler Nutzung müssen alle Netzwerkverbindungen deaktiviert werden
– Alternativgeräte sollten beschafft werden[1]
Bislang sind keine konkreten Vorfälle oder Schäden durch die Sicherheitslücken bekannt. Die FDA arbeitet mit dem Hersteller Contec und der US-Cybersicherheitsbehörde CISA an einer Lösung des Problems. Ein Software-Update zur Behebung der Schwachstellen ist derzeit noch nicht verfügbar[1].
Die betroffenen Geräte können anhand ihrer Produktnummern identifiziert werden: Contec CMS8000 (UDI-DI: 06945040100034) und Epsimed MN-120[1].
Quellen:
[1] cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication https://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication
[2] Cybersecurity Vulnerabilities – Patient Monitors from Contec, Epsimed https://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication
