Siemens-Medizingeräte leiden an Sicherheitsleck

Siemens München (Bild: Siemens)

Einige Geräte können sehr einfach remote gehackt werden. Siemens plant die Veröffentlichung mehrere Updates für das hochkritische Leck.

Siemens kündigt Patches für verschiedene Sicherheitslecks in medizinischen Geräten für Ende des Monats an. Über die Lecks können Angreifer auf die Systeme zugreifen und beliebigen Code ausführen. Die Lecks lassen sich auch mit wenig Kenntnis ausnutzen, so das US-CERT in einer Warnung. Der Zugriff kann über ein Leck in Windows 7 erfolgen.

siemens-muenchen-1200

Demnach sind die Positron-Emission-Tomographie-Scanner der Modelle Siemens PET/CT sowie Siemens SPECT/CT, die auf Windows 7 basieren, von dem Leck betroffen. Das Leck erlaubt einen Remote-Angriff und das Ausführen von beliebigem Code.

Jedoch seien diese Geräte in völlig unterschiedlichen Szenarien eingesetzt. Welche Folgen das für die einzelnen Organisationen hat, sollte laut Advisory jedes Organisation für sich prüfen.

Gegenüber der Nachrichtenagentur Reuters hatte Siemens erklärt, dass bislang keine Vorfälle bekannt sind bei denen dieses Leck ausgenutzt wurde. Allerdings bewertet das Unternehmen das Leck mit 9.8 von 10 möglichen Punkten im CVSS-Bewertungssystem. PET Scanners können über ein Kontrastmittel die Funktion von Gewebe und Organen zeigen. Diese Geräte werden unter anderem für die Diagnostik von Herzkrankheiten und Krebs verwendet.

Siemens hat daher zunächst Anwender – Kliniken und Praxen – angewiesen, diese Geräte vom Unternehmensnetz zu trennen, bis ein Update verfügbar ist. Inzwischen hätten aber erste Untersuchungen ergeben, dass dieser Schritt derzeit wohl nicht nötig sei.

“Auf Basis der bestehenden Steuerungen der Geräte und auch der Anwendungsfälle, glauben wir, dass diese Sicherheitslecks keine Bedrohung für die Patienten darstellen”, so Siemens weiter. Zudem hätte es bislang weltweit keinerlei Anzeichen dafür gegeben, dass die Schwachstellen aktiv ausgenutzt würden. Denn in den meisten Fällen sind diese großen bildgebenden Maschinen nicht mit dem Internet verbunden, sondern sprechen mit den Klinik-Systemen.

Ein Angreifer müsste als dann zunächst in dieses System eindringen, um auf die Schwachstelle in den Geräten zugreifen zu können. Allerdings sind in vielen Krankenhäusern die IT-Infrastrukturen nicht besonders gut gegen Angreifer geschützt.

In einem am 7. August veröffentlichten Advisory warnt Siemens vor einem weiteren schwerwiegenden, kritischen Leck in einem Gerät. Betroffen ist dabei das mobile Röntgengerät Mobilett Mira Max von Siemens Healthineers. Dieses Gerät leidet an einem Leck in Microsoft Windows SMBv1. Alle Versionen vor dem Update VE10S ohne XP009/17/S leiden an dem Leck heißt es in dem Siemens-Advisory. Auch in diesem Fall vergibt Siemens den CVSS-Score 9.8.