/Zwei Jahre alte Sicherheitslücken in Kernspintomografen von Siemens

Zwei Jahre alte Sicherheitslücken in Kernspintomografen von Siemens

Zwei Jahre alte Sicherheitslücken in Kernspintomografen von Siemens


Alexander Neumann

(Bild: Siemens)

Die für die Sicherheit von Industrieanlagen zuständige US-Behörde ICS-CERT weist auf gravierende Sicherheitslücken hin, die die Sicherheit von Siemens’ Kernspin-Tomografen gefährden.

Das US-amerikanische Cyber Emergency Response Team für Industrial Control Systems (ICS-CERT) warnt vor mehreren, zwei Jahre alten Lücken, die die Sicherheit von Siemens’ Kernspin-Tomografen der Serien PET/CT (Positron Emission Tomography/Computed Tomography) und SPECT (Single-Photon-Emissions-Tomographie) gefährden. Mit diesen Geräten zur molekularen Bildgebung lassen sich Tumore, aber auch Anzeichen von Hirnkrankheit erkennen.

Die anfälligen Systeme laufen unter Windows 7; und es gibt bereits Patches von Microsoft und HP/Persistent Systems, den Herstellern der betroffenen Software, aber bisher offenbar nicht für die medizinischen Geräte. Über diese Lücken können Angreifer ein System übers Netz hinweg übernehmen. Das für die Sicherheit von Industrieanlagen zuständige ICS-CERT stuft sie in die oberste Gefahrenkategorie ein (CVSS 9,8 von 10) und empfiehlt deshalb unter anderem, die Geräte als Sicherheitsmaßnahme vom Netz zu trennen und möglichst im Standalone-Modus zu betreiben.

Exploits und Patches

Das ICS-CERT führt insgesamt vier Sicherheitslücken auf (CVE-2015-1635, CVE-2015-1497, CVE-2015-7860, CVE-2015-7861), die allesamt seit 2015 bekannt sind. Für die Lücken gibt es bereits öffentlich verfügbaren Exploit-Code, mit denen man sie ohne große Fachkenntnis ausnutzen kann. “Ein Angreifer mit wenig Fachkönnen wäre in der Lage, diese Lücken auszunutzen” heißt es wörtlich in dem Advisory. Der müsste dazu lediglich übers Netz mit dem Gerät “sprechen” können, etwa indem er sich Zugang zum Netzwerk eines Krankenhauses verschafft.

Siemens will jetzt dafür sorgen, dass die Sicherheits-Updates auch für die anfälligen Kernspin-Tomografen verfügbar werden, erklärt der Hersteller in einer eigenen Sicherheitsnotiz (PDF), die auch weitere Maßnahmen und Workarounds für Administratoren aufführt. Ein Datum, bis wann die Patches verfügbar sein werden, nennt Siemens jedoch nicht.


(ane)