Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.056 Produkten

Alexander Neumann 90

Zwei Jahre alte Sicherheitslücken in Tomografen von Siemens Update

ICS-CERT warnt vor Lücken in Kernspintomografen von Siemens

Bild: Siemens

Die für die Sicherheit von Industrieanlagen zuständige US-Behörde ICS-CERT weist auf gravierende Sicherheitslücken hin, die die Sicherheit von Siemens' medizinischen Diagnosegräten zur Tomographie gefährden.

Das US-amerikanische Cyber Emergency Response Team für Industrial Control Systems (ICS-CERT) warnt vor mehreren, zwei Jahre alten Lücken, die die Sicherheit von Siemens' Tomografen für PET/CT (Positron Emission Tomography/Computed Tomography) und SPECT (Single-Photon-Emissions-Tomographie) gefährden. Mit diesen Geräten zur molekularen Bildgebung lassen sich Tumore, aber auch Anzeichen von Hirnkrankheit erkennen.

Anzeige

Die anfälligen Systeme laufen unter Windows 7; und es gibt bereits Patches von Microsoft und HP/Persistent Systems, den Herstellern der betroffenen Software, aber bisher offenbar nicht für die medizinischen Geräte. Über diese Lücken können Angreifer ein System übers Netz hinweg übernehmen. Das für die Sicherheit von Industrieanlagen zuständige ICS-CERT stuft sie in die oberste Gefahrenkategorie ein (CVSS 9,8 von 10) und empfiehlt deshalb unter anderem, die Geräte als Sicherheitsmaßnahme vom Netz zu trennen und möglichst im Standalone-Modus zu betreiben.

Das ICS-CERT führt insgesamt vier Sicherheitslücken auf (CVE-2015-1635, CVE-2015-1497, CVE-2015-7860, CVE-2015-7861), die allesamt seit 2015 bekannt sind. Für die Lücken gibt es bereits öffentlich verfügbaren Exploit-Code, mit denen man sie ohne große Fachkenntnis ausnutzen kann. "Ein Angreifer mit wenig Fachkönnen wäre in der Lage, diese Lücken auszunutzen" heißt es wörtlich in dem Advisory. Der müsste dazu lediglich übers Netz mit dem Gerät "sprechen" können, etwa indem er sich Zugang zum Netzwerk eines Krankenhauses verschafft.

Siemens will jetzt dafür sorgen, dass die Sicherheits-Updates auch für die anfälligen Kernspin-Tomografen verfügbar werden, erklärt der Hersteller in einer eigenen Sicherheitsnotiz (PDF), die auch weitere Maßnahmen und Workarounds für Administratoren aufführt. Ein Datum, bis wann die Patches verfügbar sein werden, nennt Siemens jedoch nicht.

Update 5.8.2017, 17:00: Ursprünglich war in der Meldung von Kernspin-Tomografen die Rede, die auf der Magnetresonanz-Tomografie (MRT) beruhen. Die betroffenen Geräte dienen jedoch der Positron-Emissions-Tomographie (PET) und Single-Photon-Emissions-Tomographie (SPECT). Die Verweise auf den Kernspin haben wir deshalb entfernt. (ane)

90 Kommentare

Themen:

Anzeige
  1. BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

  2. Sicherheitsupdate: Google veröffentlicht Chrome 63.0.3239.108

    Google Chrome

    Ein aktuelles Sicherheitsupdate für Chrome schließt eine Cross-Site-Scripting-Schwachstelle. Es erfolgt wie gewohnt automatisch.

  3. Exploitkit nutzte Windows-Lücke, um Sicherheits-Tools zu meiden

    Exploitkit nutzt Windows-Lücke um Profis zu vermeiden

    Am Microsoft-Patchday im März wurde auch eine zunächst eher unscheinbare Sicherheitslücke gestopft. Offenbar wurde diese dazu genutzt, möglichst nur Rechner mit einem Exploitkit zu infizieren, auf denen keine Sicherheits-Tools installiert waren.

  4. Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

    Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

    Eine Lücke in mehreren Apache-Tomcat-Versionen erlaubt Angreifern unter eher selten gegebenen Voraussetzungen die Schadcode-Ausführung aus der Ferne. Updates schaffen Abhilfe.

  1. Glyphosat: Datenmasseure bei der Arbeit

    Wie Wissenschaft in der Diskussion zur Sicherheit des Pflanzenschutzmittels manipuliert wird

  2. Sicherheit von Sprachassistenten: Darauf solltest du achten!

    Wenn du mehr über die Sicherheit von Sprachassistenten erfahren willst, haben wir in unserem Artikel wichtige Tipps und Hinweise für dich.

  3. Innere Sicherheit: Musterhaft auf dem Weg zu mehr Repression

    Wie der Fetisch Sicherheit von allen Parteien bedient wird

  1. Zäune am Himmel: Wie sich Firmen und Behörden gegen Drohnen wehren

    Drohne und Flugzeug

    Drohnen werden immer beliebter. In wenigen Jahren könnten mehr als eine Million unbemannter Flugobjekte durch Deutschlands Luftraum surren. Dies lässt jedoch auch das Gefahrenpotenzial wachsen - und den Markt der Drohnenjäger.

  2. Telekom-Chef hat das Jammern satt

    Timotheus Höttges, CEO der Deutschen Telekom AG (DTAG)

    Weniger Kritik, aber auch weniger Regulierung, ein breiteres Funkspektrum und viel mehr Intelligenz im Netz verlangt Deutsche-Telekom-Chef Timotheus Höttges.

  3. 4K-Beamer: Die Preise purzeln weiter

    Ultra-HD-Beamer Optoma UHD50

    Optoma hat auf der CES den 4K-DLP-Beamer UHD50 für unter 1500 US-Dollar sowie den UHD51 mit eingebautem Mediaplayer und Sprachsteuerung angekündigt, Benq den W1700.

  4. NetzDG: Facebook sperrt Karikaturisten Schwarwel

    NetzDG: Facebook sperrt Karikaturisten Schwarwel

    In seiner Zeichnung nahm Schwarwel die rassistische H&M-Werbung aufs Korn. Facebook und Instagram verstanden jedoch keinen Spaß.

Anzeige