Die US-amerikanische Arzneimittelbehörde FDA hat am 30. Januar 2025 vor schwerwiegenden Sicherheitslücken in Patientenmonitoren der Marken Contec CMS8000 und Epsimed MN-120 gewarnt[1]. Die Geräte, die zur Überwachung von Vitalfunktionen in Krankenhäusern und häuslicher Pflege eingesetzt werden, weisen drei kritische Schwachstellen auf.
Die entdeckten Sicherheitslücken ermöglichen es nicht autorisierten Personen, die Geräte aus der Ferne zu kontrollieren und Patientendaten abzugreifen. Besonders besorgniserregend ist eine eingebaute Hintertür in der Software, die es Angreifern erlaubt, Sicherheitskontrollen zu umgehen[1]. Sobald die Monitore mit dem Internet verbunden sind, beginnen sie automatisch, persönliche Patientendaten und geschützte Gesundheitsinformationen nach außen zu übertragen[1].
Die FDA empfiehlt Gesundheitseinrichtungen und Patienten dringende Sofortmaßnahmen:
– Geräte mit Fernüberwachungsfunktion sollten sofort vom Netz genommen und nicht mehr verwendet werden
– Bei lokaler Nutzung müssen alle Netzwerkverbindungen deaktiviert werden
– Alternativgeräte sollten beschafft werden[1]
Bislang sind keine konkreten Vorfälle oder Schäden durch die Sicherheitslücken bekannt. Die FDA arbeitet mit dem Hersteller Contec und der US-Cybersicherheitsbehörde CISA an einer Lösung des Problems. Ein Software-Update zur Behebung der Schwachstellen ist derzeit noch nicht verfügbar[1].
Die betroffenen Geräte können anhand ihrer Produktnummern identifiziert werden: Contec CMS8000 (UDI-DI: 06945040100034) und Epsimed MN-120[1].
Quellen:
[1] cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication https://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication
[2] Cybersecurity Vulnerabilities – Patient Monitors from Contec, Epsimed https://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication
Manage Consent
Functional Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.
The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.