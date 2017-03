(Bild: Miele)

In den Geräten ist ein gänzlich ungesicherter Webserver aufgefallen. Der Bugreport eines Security-Consultants war jedoch über Monate ignoriert worden.

Es ist eine der ältesten Sicherheitslücken: Als IT-Security-Consultant Jens Regel eine medizinische Spülmaschine des Herstellers Miele untersuchte, stieß er auf eine Web-Server-Directory-Traversal-Lücke – sprich: Er konnte mit einem einfachen Telnet-Befehl auf alle Daten des Geräts einschließlich der Passwortdateien zugreifen und so vollen Zugriff auf das System erlangen.

Keine Reaktion über Monate

Hier hätte die Geschichte zuende sein können: Regel kontakierte im November den Hersteller, übermittelte Details zu der Schwachstelle an einen zuständigen Mitarbeiter. Dann wartete er auf Rückmeldung – doch die blieb aus. Auch auf zweifache Nachfrage meldete sich Miele nicht zurück. Vier Monate nach der ersten Kontaktaufnahme veröffentlichte Regel deshalb die Details zur Sicherheitslücke auf der Mailingliste Full Disclosure. Mehrere Medien griffen die Geschichte auf.

Nun reagiert der Hersteller. Auf Anfrage von heise online räumt das Unternehmen eine "Kommunikationspanne" ein. So sei es unklar, warum niemand auf den Bugreport reagiert habe. "Hierin sieht die Geschäftsleitung ein ernstes Versäumnis, dessen nähere Umstände bereits eingehend untersucht werden, um die Gefahr einer Wiederholung auszuschließen." Das Unternehmen bedankt sich ausdrücklich bei dem Hinweisgeber. Derzeit sei ein Update in Arbeit, alle betroffenen Kunden würden von Miele kontaktiert.

Update in Arbeit

Betroffen sind nach Angaben von Miele gleich die Gerätetypen PG 8528, PG 8527, PG 8535 und PG 8536, von denen seit 2007 etwa 5800 Exemplare verkauft worden seien. Diese Geräte werden mit Ethernet-Schnittstellen ausgeliefert, die zur Dokumentation der Desinfektionen genutzt werden können. So lassen sich an die Geräte Drucker oder Barcode-Scanner anschließen, um genau zu dokumentieren, wann und wie den Hygiene-Vorschriften in medizinischen Einrichtungen Genüge getan wurden. Die Daten können aber auch direkt an das interne Netz einer Klinik geschickt werden.

Miele betont, dass bisher kein Missbrauch der Lücke bekannt sei. Zudem eröffne diese keinen Zugriff auf Daten Dritter oder auf andere Geräte im Anwendernetz. Es handele sich bei der Sicherheitslücke auch um kein "Einfallstor für Hacker", da die betroffenen Geräte über keinen eigenen Anschluss an das Internet verfügten. Hat sich ein Angreifer aber einmal Zugang zum internen Netz verschafft, kann er solche ungesicherten Geräte als Sprungbrett nutzen, um Sicherheitslücken in anderen Geräten auszunutzen. (anw)