[English]Die US-Cybersicherheitsbehörde CISA warnt vor einer Hintertür im Patientenmonitor-System Contec CMS8000 eines chinesischen Herstellers. In diversen Firmware-Versionen ist eine Hintertür entdeckt worden, die eine Datenübertragung und einen Fernzugriff ermöglicht. Die Geräte sollten sofort vom Internet isoliert oder außer Betrieb genommen werden.
Patientenmonitor-System Contec CMS8000
Eine Warnung der US-CISA vor US-Medizingeräten, trifft das überhaupt Deutschland? Ich habe mal kurz recherchiert, das Patientenmonitor-System Contec CMS8000 wird auch im deutschsprachigen Raum angeboten.
Gibt’s als „Schnäppchen“ für 650 Euro bei Kaufland, oder etwas teurer bei Medizindienstleistern. Der Patientenmonitor-System Contec CMS8000 ermöglicht die Überwachung der Vitalfunktionen von Patienten mit Anzeige auf einem Monitor.
Die Warnung der CISA
Die US-Behörde CISA (Cybersecurity and Infrastructure Agency) hat nun eine Warnung mit dem Titel Contec CMS8000 Contains a Backdoor vor dem Patientenmonitor-System Contec CMS8000 für die USA herausgegeben.
Sicherheitsexperten haben die Firmware des Patientenmonitors Contec CMS8000 analysiert und eine eingebettete Hintertür entdeckt, die eine Kommunikation mit einer fest kodierten IP-Adresse ermöglicht. Die Schwachstelle CVE-2025-0683 stellt ein Risiko für die Patientensicherheit dar, schreibt die CISA. Es gibt die Möglichkeit, dass der Patientenmonitor nicht korrekt auf die Vitalparameter des Patienten reagiert und persönliche Informationen des Patienten abfließen.
Der Contec CMS8000 wird laut CISA in medizinischen Einrichtungen in den USA und der Europäischen Union zur kontinuierlichen Überwachung der Vitalparameter eines Patienten eingesetzt. Das Contec CMS8000 wird teilweise umetikettiert und von Wiederverkäufern unter anderer Bezeichnung angeboten. Umetikettierten Geräte sind beispielsweise der Epsimed MN-120.
Die CISA kommt zu dem Schluss, dass die vorhandene Hintertür in die Firmware des Patientenmonitors Bedingungen schaffen kann, die die Ausführung von Remote-Code und die Modifizierung des Geräts ermöglicht. Dies schafft die Möglichkeit, die Konfiguration des Geräts zu ändern, und ermöglicht damit die Patientensicherheit zu gefährden, da ein nicht ordnungsgemäß funktionierender Patientenmonitor zu einer unangemessenen Reaktion auf die Vitalzeichen des Patienten führen könnte, schließt die CISA. Ein CISA Fact Sheet findet sich hier.
Die Kollegen von Golem haben in diesem Artikel noch einige Details zusammen getragen. Es gibt zwei Schwachstellen (CVE-2025-0626 und CVE-2025-0683). Neben der direkten Kommunikation mit einer festen IP-Adresse überträgt der Patientenmonitor die Daten noch im Klartext an die fest kodierte IP-Adresse. Bleeping Computer hatte es hier ebenfalls aufgegriffen.
Empfehlungen der FDA
Die Food and Drugs Administration (FDA) hat in dieser Warnung darauf hingewiesen, dass die Backdoor in drei Firmware-Versionen gefunden wurde und listet die Risiken auf. Die FDA schreibt, dass Nutzer der Geräte mit den technisch Verantwortlichen klären sollten, ob die Geräte über Fernüberwachungsfunktionen verfügen. Fernüberwachung bedeutet, dass das Gerät eine Internetverbindung nutzt, damit ein medizinischer Betreuer die Vitalfunktionen des Patienten von einem anderen Ort aus beurteilen kann (z. B. von einem Fernüberwachungssystem oder einem zentralen Überwachungssystem).
Bestätigt der medizinische Betreuer, dass das Gerät über Fernüberwachungsfunktionen verfügt, ist der Patientenmonitor außer Betrieb zu nehmen und ein alternatives Überwachungssystem einzusetzen.
Ist der Patientenmonitor Contec CMS8000 nicht auf Fernüberwachungsfunktionen angewiesen ist, dürfen nur die lokalen Überwachungsfunktionen verwendete werden, Internetverbindungen sind zu kappen. Das bedeutet, dass das Ethernet-Kabel des Geräts abzuziehen und die drahtlosen (d. h. WiFi- oder Mobilfunk-) Funktionen zu deaktivieren sind. Damit soll sichergestellt werden, dass die Vitaldaten des Patienten nur von einer Pflegekraft in Anwesenheit des Patienten überwacht werden kann.
Lassen sich die drahtlosen Funktionen nicht deaktivieren, ist das Gerät zu deaktivieren (Stecker aus der Steckdose ziehen) und darf nicht mehr verwendet werden.
Warum so brutal den Stecker ziehen?
Das Gerät ließe sich doch in der Firewall einhegen, sprich Kommunikation nach außen untersagen?
Wenn es nicht (mehr) raustelefonieren kann, dann könnte es sich doch weiterverwenden lassen?
Allerdings stellt sich mir die Frage, ob solch ein Monitor nicht vielleicht ein Medizinprodukt ist? Das könnte dann spaßig werden….
Das ist ein Medizinprodukt in der EU und benötigt eine CE-Konformitätserklärung. Also wo ist die klinische Bewertung und die Risikoanalyse dazu? Ausserdem ein „Computer“. Was sagt die Computervalidierung dazu? Importeuer ist?
Ah ok, in den USA im Einsatz … scheint dort niemanden zu interessieren. Aber Dokumentation lag zu diesem Gerät sicher ausreichend vor. Tausende Seiten sicher …
Ich weiß schon jetzt, welche nächste Sau durchs Dorf getrieben wird seitens der EU.
Und die Sau wird nichts mit Entbürokratisierung zu haben. Meine Vermutung …
Warum überhaupt sollte ein Patientenmonitor im Internet hängen? Sorry, aber da gehört der IT Verantwortliche direkt fired! Und wenn das Teil ohne „send home“ nicht funktioniert hat das im professionellen Umfeld eh nix zu suchen und privat sollte man sich das ganz genau überlegen.
Meine Maschinen sind auch vernetzt (MDE/BDE usw.) aber die hängen nicht in nem Netzwerk welches Internetzugang hat. Das ist das kleine Ein mal Eins des Netzwerktechnikers. Nen Fernwartungszugang existiert zwar für Notfälle, aber der ist nur gesteckt wenn man den mal wirklich braucht.
Selbst Privat zu Hause hab ich komplett hardwareseitig getrennte Netzwerke für das Smarthome und das Internet (Nicht mal VLan, da man da auch „ausbrechen“ kann). Nen dritten Netzwerkring für SatoverIP. Da ist ein „überspringen“ von einem ins andere Netz nicht möglich.
Nach allem, was ich bisher hier in deinen Kommentaren über dein Haus erfahren habe, scheinst du aber auch das nötige Kleingeld zu haben.
Da kann sicher nicht jeder mithalten.
Wie man etws „sicher“ verwendet ist aber unabhängig vom Geldbeutel.
Wobei ich davon ausgehe wenn sich jemand Privat nen 650€ Patientenmonitor gönnt, er ne gut gefüllte Portokasse hat.
Nicht jeden Shice ins Internet zu hängen geht unabhängig vom Geldbeutel, das ist eher abhängig vom IQ.
Mal ganz abgesehen von der Hintertür was hat ein Lebensmitteldiscounter wie Kaufland mit Medizintechnik am Hut. Kauft man das da neben Hundefutter, Dosenbier und Schnitzeln? Und dann wundert man sich warum das Billiggeraffel aus China Hintertüren hat wenn man es ans Internet hängt? Des Weitern schließe ich mich den Kommentatoren vor mir an.
Die Kaufland Angebote kommen bei diesen Dingen meist von externen Verkäufern, da steht dann „Verkauf durch Firma XYZ“ und „Versand aus Land XYZ“ dabei, so wie beim amazon Marketplace o.ä.
Ich nehme an,ein so hochpreisiges Gerät ist nur online verfügbar.
In der Tat haben aber alle großen Discounter inzwischen umfangreiche Non-Food-Angebote. Das fing mal mit Aldi und deren PC an, um den sich 1997 für fast 2000 DM die Leute prügelten und den mancher sicherlich zusammen mit dem 6er Träger Dosenbier aus dem Laden geschleppt hat.
Kleinelektronik (z.B. Blutdruck-Meßgeräte zweifelhafter Herkunft) liegt inzwischen ständig zwischen nicht sehr stabilem Werkzeug und merkwürdigen Küchengeäten – auch bei Kaufland.
Das Gerät wird nicht von Kaufland vertrieben. Irgendein externer Drittanbieter nutzt die Marktplatz Plattform von Kaufland. Leider ist das im Artikel nicht klargestellt.
Naja wirklich im Discounter scheinst du ja nicht zu gehen, sonst wüsstest du das du schon seit Jahrzehnten immer wieder mal Medizinprodukte im Angebot bekommst (was die taugen steht auf nem anderen Blatt) Blutdruckmessgeräte, Blutzuckermessgeräte, SPO² Messgeräte sind da regelmäßige Gäste in der Ablage.
Im Online Shop dann auch die „größeren“ Geräte wie eben Patientenmonitor, O² Atmungshilfen usw.
Ich würde mir da halt genau überlegen, wenn ich darauf angewiesen wäre, ob ich mir da den China Shice aus dem Discounter holen würde!
Aber heh, wir sind ein freies Land.
Das Gerät wird nicht von Kaufland vertrieben. Irgendein externer Drittanbieter nutzt die Marktplatz Plattform von Kaufland.
Die Kommunistische Partei könnte also remote meiner Daten verfälschen, hänge ich an so einer Wanze und ggf mich damit töten. Und die kaputtgesparten Krankenhäuser nehmen sicherlich gerne billig-hardware.