Siemens patcht aus der Ferne ausnutzbare Sicherheitslücke in medizinischen Geräten

Siemens hat für Ende des Monats Patches für mehrere Sicherheitslecks in medizinischen Geräten angkündigt. Über die Lecks können Angreifer auf die Systeme zugreifen und beliebigen Code ausführen. Die Schwachstellen lassen sich auch mit wenig Kenntnis ausnutzen, so das US-CERT in einer Warnung. Der Zugriff kann über eine Sicherheitslücke in Windows 7 erfolgen.

Demnach sind die Positron-Emission-Tomographie-Scanner der Modellreihen Siemens PET/CT sowie Siemens SPECT/CT, die auf Windows 7 basieren, betroffen. Die Lücke erlaubt einen Remote-Angriff und das Ausführen von beliebigem Code. Die Geräte kommen in völlig unterschiedlichen Szenarien zum Einsatz. Welche Folgen die Lücke für die einzelnen Anwenderunternehemn haben kann, sollen die laut Advisory jeweils für sich prüfen.

Gegenüber der Nachrichtenagentur Reuters hat Siemens erklärt, dass bislang keine Vorfälle bekannt sind, bei denen die Lecks ausgenutzt wurden. Allerdings bewertet das Unternehmen das Leck mit 9.8 von 10 möglichen Punkten im CVSS-Bewertungssystem. PET Scanners können über ein Kontrastmittel die Funktion von Gewebe und Organen zeigen. Diese Geräte werden unter anderem für die Diagnostik von Herzkrankheiten und Krebs verwendet.

Siemens hat daher zunächst Anwender – Kliniken und Praxen – angewiesen, diese Geräte vom Unternehmensnetz zu trennen, bis ein Update verfügbar ist. Inzwischen hätten erste Untersuchungen aber ergeben, dass dieser Schritt derzeit wohl nicht nötig ist.

Von der Sicherheitslücke, für die nun ein Patch angekündigt wurde, sind große medizinische Apparate für bildgebende Verfahren betroffen (Bild: Siemens)

„Auf Basis der bestehenden Steuerungen der Geräte und auch der Anwendungsfälle glauben wir, dass diese Sicherheitslecks keine Bedrohung für die Patienten darstellen“, so Siemens. Zudem gebe es bislang weltweit keinerlei Anzeichen dafür, dass die Schwachstellen ausgenutzt wurden. In den meisten Fällen seien diese großen bildgebenden Maschinen nicht mit dem Internet verbunden, sondern sprechen lediglich mit den Klinik-Systemen.

Ein Angreifer müsste als zunächst in dieses System eindringen, um auf die Schwachstelle in den Geräten zugreifen zu können. Allerdings sind in vielen Krankenhäusern die IT-Infrastrukturen nicht besonders gut gegen Angreifer geschützt.

In einem am 7. August veröffentlichten Advisory warnt Siemens vor einem weiteren schwerwiegenden, kritischen Leck. Betroffen ist davon das mobile Röntgengerät „Mobilett Mira Max“ von Siemens Healthineers. Dieses Gerät leidet an einem Leck in Microsoft Windows SMBv1. Alle Versionen vor dem Update VE10S ohne XP009/17/S sind darüber angreifbar, heißt es in dem Siemens-Advisory. Auch in diesem Fall vergibt Siemens den CVSS-Score 9.8.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago