Warnung vor kritischer Schwachstelle in CT-Scannern

Das Industrial Control System Computer Emergency Response Team (ICS-CERT) des US- Heimatschutzministeriums warnt vor Schwachstellen in medizinischen Computertomographie-Geräten von Siemens. Betroffen sind sowohl CT- als auch PET-Scanner.

Die Systeme haben demnach öffentlich einsehbare Schwachstellen, die Hackern erlauben, von außen Zugriff auf das System zu erlangen. Die Lücken seien sehr einfach auszunutzen, wie das CERT schreibt: „Ein Angreifer mit wenig Wissen kann die Exploits ausnutzen“, so die Behörde. Die Geräte könnten somit zur Gefahr werden.

Windows 7

Siemens selbst hat bereits am 26. Juli vor den Lücken gewarnt und sie als höchst kritisch eingestuft. Die betroffenen Geräte basieren auf Windows 7. Eine der Schwachstellen liegt im integrierten Windows-Webserver. Ein Angreifer könnte beliebigen Code auf den Geräten ausführen, indem er spezielle HTTP-Anfragen an die Microsoft-Web-Server schickt. Die anderen drei Lücken befinden sich in der HP Client Automation Service Software, mit der man die Scanner aus der Ferne warten kann, wie Ars Technica berichtet.

Siemens bereite aktuell Updates vor. Bis sie verfügbar sind, rät das Unternehmen den medizinischen Einrichtungen, die Scanner nur in isolierten Netzwerken bzw. Netzwerkbereichen zu verwenden oder völlig vom Netz zu trennen. Das ICS-CERT empfiehlt, sämtliche medizinischen Geräte vom Internet zu trennen und nur in minimalem Ausmaß in Netzwerke zu integrieren. Außerdem sollte man sie immer hinter Firewalls betreiben. Wenn Fernzugriff unbedingt notwendig ist, empfiehlt das CERT VPNs zu nutzen.

Risiko Medizingeräte

Erst vor kurzem hat die US-Regierung eine Task-Force gebildet, die dem Kongress bezüglich IT-Sicherheit in medizinischen Betrieben berichtet. Die Ergebnisse sind ernüchternd, einem Großteil der Unternehmen fehle demnach einfach ausreichend ausgebildetes IT-Personal, um für die Sicherheit zu sorgen.

Zuletzt waren bei der weltweiten WannaCry-Attacke auch Krankenhäuser betroffen. In Großbritannien mussten etwa Patienten weggeschickt werden. Menschen wurden aufgerufen, nur in sehr dringenden Fällen in die Notaufnahme zu kommen. In Deutschland zählen Spitäler seit Ende Juni als „kritische Infrastruktur“, weshalb sie verpflichtet sind, IT-Schutzmaßnahmen zu ergreifen.