Startseite > Medizintechnik > E-Health > Wegen Sicherheitslücke: Baxter nimmt Beatmungsgeräte vom Markt

Cybersecurity wird zur Überlebensfrage

Wegen Sicherheitslücke: Baxter nimmt Beatmungsgeräte vom Markt

27. November 2025, 10:19 Uhr | Ein Kommentar von Ute Häußler

Leicht manipulierbar: Die Beatmungsgeräte der Life2000-Reihe wurden mit sofortiger Wirkung vom Markt genommen.

Ein offener Debug-Port, fehlende Authentifizierung, unverschlüsselte Passwörter – und schon können Unbefugte recht einfach ein Beatmungsgerät manipulieren. Baxter nimmt deshalb die gesamte Life2000-Baureihe dauerhaft vom Markt. Der Fall zeigt: Cybersecurity ist die Achillesferse der Medizintechnik.

▶ Diesen Artikel anhören

Die US-Gesundheitsbehörde FDA hat am 26. November 2025 einen permanenten Rückruf der Life2000-Ventilatoren von Baxter als »Class I«-Vorfall eingestuft – die höchste Risikokategorie. Der Grund: Eine kritische Sicherheitslücke, die es Angreifern mit physischem Zugang zum Gerät ermöglicht hätte, Therapieparameter zu verändern oder auf sensible Gerätedaten zuzugreifen. Weltweit sind über 4.800 Geräte betroffen, die nun aus Kliniken und Pflegeeinrichtungen entfernt werden müssen.

Schwachstelle mit CVSS-Score 9,3

Die Schwachstelle CVE-2024-48973 erhielt einen CVSS-Score von 9,3 und gilt damit als »kritisch«. Konkret identifizierten interne Sicherheitstests einen offenen Debug-Port ohne Authentifizierung, unverschlüsselte sensible Informationen wie Passwörter sowie fehlende Zugangskontrollen. Experten schätzen den Angriff als so einfach ein, dass selbst »ein Teenager« ihn hätte durchführen können. Zwar wurden bisher keine tatsächlichen Cyberattacken, schweren Verletzungen oder Todesfälle im Zusammenhang mit dieser Lücke gemeldet, doch das Gefährdungspotenzial war so hoch, dass Baxter sich gegen eine Nachrüstung und für die dauerhafte Entfernung der Geräte entschied.

Patienten und Einrichtungen wurden aufgefordert, die Life2000-Ventilatoren sofort außer Betrieb zu nehmen und alternative Therapieoptionen zu organisieren. Bereits am 10. April 2025 versandte Baxter entsprechende Urgent Medical Device Recall-Schreiben an alle betroffenen Kunden. Der Rückruf ist Teil eines Paradigmenwechsels: Die FDA behandelt Cybersecurity-Probleme heute wie klassische Sicherheitsmängel – mit allen regulatorischen Konsequenzen.

Medizin als verwundbarste Branche

Der Baxter-Fall reiht sich in eine Serie alarmierender Vorfälle ein. Allein zwischen Januar und Oktober 2024 registrierte das BSI über 200 relevante Cybersicherheitsvorfälle im deutschen Gesundheitssektor. International richteten Ransomware-Gruppierungen wie Lockbit und AlphV/Blackcat massive Schäden an: Das Klinikum Esslingen musste Ende November 2023 nach einem Angriff über eine Citrix-Schwachstelle bildgebende Systeme vom Netz nehmen. Die Katholische Hospitalvereinigung Ostwestfalen erlitt an Heiligabend 2023 einen kompletten IT-Ausfall in drei Krankenhäusern. In Barcelona wurden nach einem Ransomware-Angriff 150 nicht-dringende Operationen und 3.000 Untersuchungen abgesagt.

Das Problem reicht weit über einzelne Angriffe hinaus: Bei exemplarischen Untersuchungen von zwei Krankenhausinformationssystemen entdeckte das BSI 32 Schwachstellen – in Systemen, die das digitale Rückgrat moderner Kliniken bilden und für die Patientenversorgung entscheidend sind. Auch bei Medizingeräten selbst ist die Lage kritisch: Bereits ein USB-Anschluss oder eine serielle Schnittstelle genügen laut FDA, um ein Gerät als »Cyber Device« einzustufen und damit strengen Cybersecurity-Anforderungen zu unterwerfen.

Regulatorischer Druck steigt massiv

Die FDA hat mit dem Food and Drug Omnibus Reform Act (FDORA) von Dezember 2022 neue gesetzliche Befugnisse erhalten und fordert heute bei Zulassungsanträgen umfassende Cybersecurity-Konzepte ein. Dazu gehören ein dokumentiertes Programm zum Management von Cybersicherheitsrisiken, eine Software Bill of Materials (SBOM) für alle Medizingeräte sowie Post-Market-Cybersicherheitspläne. Die Nichteinhaltung gilt als verbotene Handlung, die strafrechtlich verfolgt werden kann.

Auch in Europa wächst der Druck: Der neue Standard IEC 81001-5-1 baut auf ISO 14971 auf und legt den Schwerpunkt auf Bedrohungsmodellierung, Bewertung von Risiken in vernetzten Systemen und mehrschichtige Sicherheitskontrollen. Besonders KI-basierte Medizingeräte geraten in den Fokus, nachdem Experimente zeigten, dass »Data Set Poisoning« die Genauigkeit von ML-Modellen um bis zu 24 Prozent verringern kann – mit potenziell falschen Diagnosen als Folge.

Security by Design – oder gar nicht

Der Baxter-Rückruf sendet eine unmissverständliche Botschaft: Medizintechnik ohne fundierte Cybersecurity hat keine Zukunft. Bei Altgeräten ist eine Nachrüstung oft technisch und regulatorisch nicht möglich – Baxter wählte deshalb die radikalste Lösung und entfernte die Geräte dauerhaft vom Markt. Für Neuentwicklungen gibt es nur einen Weg: »Security by Design« muss von der ersten Konzeptphase an systematisch umgesetzt werden. Sichere Authentifizierung, verschlüsselte Kommunikation, geschlossene Debug-Ports und kontinuierliche Schwachstellenanalysen sind keine optionalen Features mehr – sie sind Grundvoraussetzung für die Marktzulassung und den sicheren Betrieb.

Die Achillesferse der Medizintechnik liegt offen. Hersteller, die das ignorieren, riskieren nicht nur Rückrufe und Reputationsschäden, sondern gefährden die Gesundheit von Menschen.