Von der Sicherheitslcke, für die nun ein Patch angekündigt wurde, sind große medizinische Apparate für bildgebende Verfahren betroffen (Bild: Siemens)
Siemens hat für Ende des Monats Patches für mehrere Sicherheitslecks in medizinischen Geräten angkündigt. Über die Lecks können Angreifer auf die Systeme zugreifen und beliebigen Code ausführen. Die Schwachstellen lassen sich auch mit wenig Kenntnis ausnutzen, so das US-CERT in einer Warnung. Der Zugriff kann über eine Sicherheitslücke in Windows 7 erfolgen.
Demnach sind die Positron-Emission-Tomographie-Scanner der Modellreihen Siemens PET/CT sowie Siemens SPECT/CT, die auf Windows 7 basieren, betroffen. Die Lücke erlaubt einen Remote-Angriff und das Ausführen von beliebigem Code. Die Geräte kommen in völlig unterschiedlichen Szenarien zum Einsatz. Welche Folgen die Lücke für die einzelnen Anwenderunternehemn haben kann, sollen die laut Advisory jeweils für sich prüfen.
Gegenüber der Nachrichtenagentur Reuters hat Siemens erklärt, dass bislang keine Vorfälle bekannt sind, bei denen die Lecks ausgenutzt wurden. Allerdings bewertet das Unternehmen das Leck mit 9.8 von 10 möglichen Punkten im CVSS-Bewertungssystem. PET Scanners können über ein Kontrastmittel die Funktion von Gewebe und Organen zeigen. Diese Geräte werden unter anderem für die Diagnostik von Herzkrankheiten und Krebs verwendet.
Siemens hat daher zunächst Anwender – Kliniken und Praxen – angewiesen, diese Geräte vom Unternehmensnetz zu trennen, bis ein Update verfügbar ist. Inzwischen hätten erste Untersuchungen aber ergeben, dass dieser Schritt derzeit wohl nicht nötig ist.
„Auf Basis der bestehenden Steuerungen der Geräte und auch der Anwendungsfälle glauben wir, dass diese Sicherheitslecks keine Bedrohung für die Patienten darstellen“, so Siemens. Zudem gebe es bislang weltweit keinerlei Anzeichen dafür, dass die Schwachstellen ausgenutzt wurden. In den meisten Fällen seien diese großen bildgebenden Maschinen nicht mit dem Internet verbunden, sondern sprechen lediglich mit den Klinik-Systemen.
Ein Angreifer müsste als zunächst in dieses System eindringen, um auf die Schwachstelle in den Geräten zugreifen zu können. Allerdings sind in vielen Krankenhäusern die IT-Infrastrukturen nicht besonders gut gegen Angreifer geschützt.
In einem am 7. August veröffentlichten Advisory warnt Siemens vor einem weiteren schwerwiegenden, kritischen Leck. Betroffen ist davon das mobile Röntgengerät „Mobilett Mira Max“ von Siemens Healthineers. Dieses Gerät leidet an einem Leck in Microsoft Windows SMBv1. Alle Versionen vor dem Update VE10S ohne XP009/17/S sind darüber angreifbar, heißt es in dem Siemens-Advisory. Auch in diesem Fall vergibt Siemens den CVSS-Score 9.8.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
