Siemens patcht aus der Ferne ausnutzbare Sicherheitslücke in medizinischen Geräten

Siemens hat für Ende des Monats Patches für mehrere Sicherheitslecks in medizinischen Geräten angkündigt. Über die Lecks können Angreifer auf die Systeme zugreifen und beliebigen Code ausführen. Die Schwachstellen lassen sich auch mit wenig Kenntnis ausnutzen, so das US-CERT in einer Warnung. Der Zugriff kann über eine Sicherheitslücke in Windows 7 erfolgen.

Demnach sind die Positron-Emission-Tomographie-Scanner der Modellreihen Siemens PET/CT sowie Siemens SPECT/CT, die auf Windows 7 basieren, betroffen. Die Lücke erlaubt einen Remote-Angriff und das Ausführen von beliebigem Code. Die Geräte kommen in völlig unterschiedlichen Szenarien zum Einsatz. Welche Folgen die Lücke für die einzelnen Anwenderunternehemn haben kann, sollen die laut Advisory jeweils für sich prüfen.

Gegenüber der Nachrichtenagentur Reuters hat Siemens erklärt, dass bislang keine Vorfälle bekannt sind, bei denen die Lecks ausgenutzt wurden. Allerdings bewertet das Unternehmen das Leck mit 9.8 von 10 möglichen Punkten im CVSS-Bewertungssystem. PET Scanners können über ein Kontrastmittel die Funktion von Gewebe und Organen zeigen. Diese Geräte werden unter anderem für die Diagnostik von Herzkrankheiten und Krebs verwendet.

Siemens hat daher zunächst Anwender – Kliniken und Praxen – angewiesen, diese Geräte vom Unternehmensnetz zu trennen, bis ein Update verfügbar ist. Inzwischen hätten erste Untersuchungen aber ergeben, dass dieser Schritt derzeit wohl nicht nötig ist.

Von der Sicherheitslücke, für die nun ein Patch angekündigt wurde, sind große medizinische Apparate für bildgebende Verfahren betroffen (Bild: Siemens)

„Auf Basis der bestehenden Steuerungen der Geräte und auch der Anwendungsfälle glauben wir, dass diese Sicherheitslecks keine Bedrohung für die Patienten darstellen“, so Siemens. Zudem gebe es bislang weltweit keinerlei Anzeichen dafür, dass die Schwachstellen ausgenutzt wurden. In den meisten Fällen seien diese großen bildgebenden Maschinen nicht mit dem Internet verbunden, sondern sprechen lediglich mit den Klinik-Systemen.

Ein Angreifer müsste als zunächst in dieses System eindringen, um auf die Schwachstelle in den Geräten zugreifen zu können. Allerdings sind in vielen Krankenhäusern die IT-Infrastrukturen nicht besonders gut gegen Angreifer geschützt.

In einem am 7. August veröffentlichten Advisory warnt Siemens vor einem weiteren schwerwiegenden, kritischen Leck. Betroffen ist davon das mobile Röntgengerät „Mobilett Mira Max“ von Siemens Healthineers. Dieses Gerät leidet an einem Leck in Microsoft Windows SMBv1. Alle Versionen vor dem Update VE10S ohne XP009/17/S sind darüber angreifbar, heißt es in dem Siemens-Advisory. Auch in diesem Fall vergibt Siemens den CVSS-Score 9.8.