Digital Life
30.03.2017

Sicherheitslücke in Miele Desinfektionsgerät

Miele Professional PG 8528 © Bild: Miele

Eine Sicherheitslücke in dem Webserver eines Desinfektionsgerätes für Laborbedarf könnte ein Einfallstor für Angreifer dastellen.

Experten warnen immer wieder vor unzureichend gesicherten IoT-Geräten. Nach vernetzten Lampen, Lautsprechern und Kühlschränken, wurde nun eine Schwachstelle in einem Desinfektionsgerät aus dem medizinischen Bereich entdeckt, die Angreifer ausnützen können.

Der IT-Forscher Jens Regel hat die Sicherheitslücke in dem Miele PG 8528 entdeckt. Diese Geräte werden ausschließlich zum Desinfizieren von medizinischen Geräten und Laborbedarf verwendet. Entgegen erster Berichte, kann dadurch aber nicht von außen auf das Firmennetzwerk zugegriffen werden. Miele nimmt zu der Schwachstelle wie folgt Stellung: "Richtig ist stattdessen, dass nur derjenige, der sich bereits im internen Netzwerk des Anwenders befindet, Zugang zu den Daten im Gerät PG 8528 erlangen kann. Die im Penetrationstest identifizierte Schwachstelle führt nun zu erhöhtem Risiko eines unbefugten Auslesens von Daten. Mithilfe dieser Daten könnte es Hackern gelingen, Passwörter zu knacken, um sich so einen noch weitergehenden Zugriff auf die Gerätesoftware zu verschaffen." Es gebe jedoch keinerlei Hinweise darauf, dass dies bei einem der betreffenden Geräte geschehen wäre.

Stellungnahme von Miele

Jens Regel hat nach eigenen Angaben Miele mehrmals kontaktiert und das Unternehmen auf die Sicherheitslücke hingewiesen. Miele hatte sich ursprünglich nicht gemeldet und keinen Patch herausgebracht, weshalb er die Lücke öffentlich gemacht hat.

In der Stellungnahme von Miele heißt es nun: "Die Software, die im PG 8528 Verwendung findet, kommt auch in den Modellen PG 8527, 8535 und 8536 zum Einsatz. Von diesen Geräten sind seit Markteinführung ab 2007 etwa 5.800 verkauft worden. Miele wird sich unverzüglich mit jedem einzelnen Anwender direkt in Verbindung setzen und diese über weitere Details und den Umgang mit dieser zeitnah zu behebenden Sicherheitslücke informieren. Ein Software-Update ist bereits in Arbeit und wird binnen weniger Wochen vor Ort aufspielbar sein."

UPDATE 30.3.2017: Ursprünglich besagte der Artikel, dass es sich bei dem PG 8528 um einen Industrie-Geschirrspüler handelt. Dies ist nicht korrekt, diese Geräte werden ausschließlich zum Desinfizieren von medizinischen Geräten und Laborbedarf verwendet und nicht für Geschirr, wodurch sie keinesfalls in Kantinen zum Einsatz kommen. Außerdem wurde der Artikel um eine offizielle Stellungnahme von Miele ergänzt, wonach nicht von außen auf das Firmennetzwerk zugegriffen werden kann.