Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Inhalt

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Geldautomaten begannen ihren unaufhaltsamen Marsch in unser aller Leben im Jahr 1967, als in einer Filiale der Barclays Bank in London das erste Exemplar eines Bankomaten aufgestellt wurde. Heute nutzen täglich Millionen Menschen auf der ganzen Welt Geldautomaten, um Bares abzuheben, ihre Kartenkonten aufzuladen und um verschiedene Dienstleistungen zu bezahlen. Die Menschen benutzen Geldautomaten, ohne sich Gedanken über die Beschaffenheit der Hardware, die Besonderheiten der Software oder über die Sicherheit der Geräte zu machen. Leider widmen die Hersteller von Geldautomaten und deren direkte Nutzer, die Banken also, den Fragen der Sicherheit von Geldautomaten ebenfalls nicht ausreichend Aufmerksamkeit. Diese Tatsache spiegelt sich auch in der Zunahme von Bargelddiebstählen von Geldautomaten wider. Dabei werden die Geräte selbst nicht physisch aufgebrochen, also ohne den Einsatz von Werkzeugen zum Schneiden von Metall oder von explosiven Stoffen.

Um zu verstehen, wie das passieren kann, beginnen wir mit der Frage, was ein Geldautomat eigentlich ist.

Über die Hardware

Ein Bankautomat ist seinem Wesen nach eigentlich ein Baukasten. Die Hersteller setzen ihn zusammen aus der Vorrichtung zur Bargeldausgabe, dem Kartenleser und anderen Modulen, die von verschiedenen Unternehmen produziert werden. Die Module werden in einem Korpus untergebracht, der in der Regel aus zwei Teilen besteht: dem oberen, der die Servicezone beherbergt, und dem unteren, dem Tresor.

Die Servicezone enthält Module wie den PC (ja, einen gewöhnlichen PC, manchmal sogar in genau so einem Gehäuse wie bei einem normalen Heimcomputer), die Spezialtastatur zur Eingabe geheimer Daten (EPP oder verschlüsselndes PIN-Tastenfeld), den Kartenleser und weiteres. In der Servicezone befindet sich all das, was nach Ansicht des Geldautomatenherstellers keine Möglichkeit bietet, zum Bargeld vorzudringen. Möglicherweise ist daher auch die Abdeckung dieses Bereichs aus Plastik, und vor einem unautorisierten Eindringen in die Servicezone schützt lediglich ein einfaches Schloss. Übrigens kann man sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert. Die meisten Banken kommen nicht auf die Idee, sie gegen individuelle auszutauschen.

Der Tresor ist wesentlich besser geschützt, und zwar durch ein „Sandwich“ aus Stahl und Beton mit zwei Arten von Schlössern, einem Codeschloss (ein elektronisches Codeschloss oder ein mechanisches Zahlenkombinationsschloss, manchmal gibt es auch elektromechanische Schlösser) und ein mit einem Schlüssel zu öffnendes Schloss, in der Regel ein Chubbschloss. Im Safe befinden sich die Geräte, die unmittelbar mit dem Geld zu tun haben: das Auszahlmodul, aus dem das Bargeld abgegeben wird, und das Modul zur Annahme von Bargeld.

Alle Geräte sind über USB-Ports oder die RS232-Schnittstelle (wird häufig auch als COM-Port bezeichnet) mit dem Computer verbunden, der in diesem Fall die Funktion eines Hosts erfüllt (so werden wir ihn im Folgenden auch nennen). Manchmal befinden sich diese Ports direkt am PC. Sind nicht ausreichend Ports vorhanden, wird ein USB/COM-Hub benutzt. Bei alten Geldautomaten-Modellen, die zugegebenermaßen auch noch anzutreffen sind, läuft die Verbindung über den SDC-Bus.

Über die Software

Die folgende Auswahl an Software ist in praktisch jedem Geldautomaten anzutreffen:

  • Das Betriebssystem
  • Software zur Steuerung der Geldautomaten-Module
  • Software zur Interaktion mit dem Nutzer (Geldautomaten-Kunde oder Betreiber)
  • Software zur Verbindung mit dem Bearbeitungszentrum (das die informationelle und technische Seite der Transaktion gewährleistet)
  • Anti-Virus-Software zur Kontrolle der Systemintegrität

Im Prinzip reicht das schon aus, damit der Geldautomat seine unmittelbaren Funktionen ausführen kann. Allerdings installieren einige Banken aus irgendwelchen Gründen noch weitere unnötige und in einigen Fällen sogar gefährliche Software, darunter zum Beispiel Acrobat Reader Version 6.0, Radmin oder TeamViewer.

Das Betriebssystem, das in der überragenden Mehrheit aller Geldautomaten verwendet wird, ist bis heute … Windows XP! Völlig ungeachtet der Tatsache, dass Microsoft die Unterstützung und damit auch die Veröffentlichung von Sicherheitsupdates für dieses Betriebssystem schon im April 2014 eingestellt hat. Das bedeutet selbstverständlich, dass alle Zero-Day-Sicherheitslücken für dieses System nicht mehr beseitigt werden. Die Ingenieure, die die Bankautomaten betreuen, sind häufig der Meinung, es sei besser, einen reibungslos funktionierenden Geldautomaten lieber „nicht anzutasten“ (sprich: „nicht zu aktualisieren“). Die Folge ist, das auf vielen Cash-Maschinen bis heute noch die ungepatchte kritische Sicherheitslücke MS08-067 zu finden ist, die das entfernte Ausführen von Code ermöglicht.

Die Module eines Geldautomaten sind auf Mikrocontrollern mit Echtzeitbetriebssystemen (RTOS) umgesetzt, was besonders die Jungs von IDA Pro betrübt, da eine statistische Analyse auf solche Systeme nur schwer anwendbar ist.

Und diese Informationen reichen für Cyberkriminelle im Prinzip schon aus, um mit dem Hacken zu beginnen.

Über die Malware

Im Jahr 2009 geriet die Welt der Geldautomaten durch das Erscheinen des Trojaners Backdoor.Win32.Skimer in Bewegung: Es war das erste Schadprogramm, das sich gezielt gegen Geldautomaten richtete. Skimer griff Bankautomaten eines bestimmten Herstellers an, der zu den führenden auf dem Markt gehörte. Mit Hilfe des Schädlings leerten Cyberkriminelle die Ausgabevorrichtung und erhielten außerdem die Daten der Karten, die in einem infizierten Bankautomaten bearbeitet wurden. Seither waren immer wieder Geldautomaten unterschiedlicher Hersteller der Aktivität von Schadprogrammen ausgesetzt.

Bei Bargelddiebstählen aus Geldautomaten mit Hilfe von Schadprogrammen lassen sich vier grundlegende Etappen unterscheiden:

  1. Ein Verbrecher erhält Zugriff auf ein Gerät, lokal oder entfernt.
  2. Einschleusung des Schadcodes in das System des Geldautomaten.
  3. Nach einer Infektion erfolgt in der Regel ein Neustart des Geldautomaten. Das System wird anscheinend ganz regulär neu gestartet, doch tatsächlich wird es von einem Schadprogramm, und das bedeutet von Cyberkriminellen, kontrolliert.
  4. Schlussetappe, das heißt der Sinn und Zweck der ganzen Aktion, also der Diebstahl von Geld.

Zugriff auf die Innereien des Geldautomaten zu erhalten ist keine sonderlich schwierige Aufgabe, wie Experten auf dem internationalen IT-Sicherheitsforum Positive Hack Days unter Beweis stellten. Die Infektion ist ebenfalls mehr oder minder nachvollziehbar, denn auf einem ungeschützten (oder unzureichend geschützten) System kann willkürlicher Code ausgeführt werden. An das Geld selbst zu kommen ist ebenfalls kein Hexenwerk – in der Regel öffnet sich das Interface des Schädlings, wenn eine bestimmte Tastenkombination auf dem PIN-Pad eingegeben wird oder der Bankautomaten-Räuber „seine“ Karte einführt. Und dann heißt es nur noch, sich in aller Ruhe die Taschen vollzustopfen.

Konzentrieren wir uns nun darauf, auf welche Weise sich ein Schadprogramm einen Geldautomaten gefügig macht.

Über den XFS-Standard

Cybergangster haben also den Computer des Geldautomaten infiziert. Und weiter?

Hier bedarf es erneut einiger Erläuterungen. Wie bereits gesagt, wird der Geldautomat von einem Windows-basierten Programm gesteuert. Im Allgemeinen besteht dessen Aufgabe darin, die Interaktion des Nutzers (Kunde oder Servicepersonal) mit dem Bearbeitungszentrum zu organisieren, das dem Bankautomaten die Befehle sendet, sowie mit der Ausrüstung, die diese Befehle ausführt. Der Informationsaustausch mit dem Bearbeitungszentrum erfolgt über Direct-Connect-Protokolle (NDC oder DDC), die Nutzer kommunizieren mit dem GUI, und für die Arbeit jedes Moduls des Geldautomaten sind entsprechende Service-Provider zuständig (eigentümliche Gateways in diesen Modulen). Für die Übertragung der Befehle an die Service-Provider und weiter an die Ausrüstung sowie für die Rückgabe der Statusmitteilungen wird eine Ebene benutzt, die sich XFS Manager nennt, gemäß dem WOSA-Konzept.

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Allgemeines Funktionsschema eines Geldautomaten im Kontext des XFS-Standards

XFS (CEN/XFS, früher WOSA/XFS) oder eXtensions for Financial Services ist ein Standard, der unter Windows eine Client-Server-Architektur für die Interaktion von Finanzanwendungen mit Geräten, und zwar insbesondere Geldautomaten, bereitstellt. Der Standard zielt auf die Vereinheitlichung der Softwarefunktionen bei beliebiger Ausrüstung ab, unabhängig vom Hersteller. Zu diesem Zweck wird eine allgemeine API bereitgestellt.

Auf diese Weise kann jede Anwendung, die unter Berücksichtigung des XFS-Standards entwickelt wurde, Objekte auf niedriger Ebene steuern, indem sie einfach mit der in diesem Standard beschriebenen Logik operiert. Und eine solche Anwendung kann durchaus auch die Backdoor Tyupkin sein oder ein beliebiges anderes Schadprogramm.

Welche Möglichkeiten bietet XFS?

Die Auszahleinheit, das interessanteste Gerät für die Cyberkriminellen, kann beispielsweise Bargeld ohne jegliche Autorisierung ausgeben. In einigen Geldautomaten-Modellen lässt sich mit Hilfe von XFS-Programmierung der Safe öffnen und die Kassetten entsperren.

Beispiel für die Ausnutzung der Sicherheitslücke MS08_067, die die Ausführung von willkürlichem Code ermöglicht. Das Video wurde von Sicherheitsexperten auf der BlackHat Europe 2014 gezeigt

Auf den Kartenleser angewandt ermöglicht XFS das Lesen und Schreiben von Daten von beziehungsweise auf den Magnetstreifen der Bankkarte. XFS erlaubt sogar den Erhalt des Transaktionsverlaufs, der auf dem Chip von EMV-Karten gespeichert ist.

Keinesfalls vergessen darf man die Spezialtastatur, das Encrypted PIN-Pad (EPP). Es heißt, es sei unmöglich, den PIN-Code abzufangen, da er auf dem PIN-Pad des Geldautomaten eingegeben wird und direkt innerhalb des Verschlüsselungsmoduls in einen PIN-Block umgewandelt wird (zu diesem Zweck verwendet die Tastatur des EPP Schlüssel, deren Gegenstücke sich im Hardware Security Module der Bank befinden). Das XFS ermöglicht es den Experten von Kaspersky Lab allerdings, das PIN-Pad in zwei Modi zu verwenden:

  1. Offener Modus: zur Eingabe verschiedener Zahlenwerte, beispielsweise der Summe, die ausgezahlt werden soll.
  2. Abgesicherter Modus, in den die Tastatur des EPP für die Eingabe des PIN-Codes und der Chiffrierungsschlüssel umgestellt wird.

Diese Besonderheit macht Angriffe des Typs „Man-in-the-Middle“ (MiTM) möglich. Man muss lediglich den Befehl vom Host an das EPP zur Umschaltung in den abgesicherten Modus abfangen und das Gerät darüber informieren, dass die Arbeit im offenen Modus fortgesetzt wird. In seiner Antwort gibt das EPP die Tasteneingaben in Klartext weiter, ganz so wie es sich ein Cyberkrimineller wünscht.

Und wie sieht es mit einer Authentifizierung und exklusivem Zugriff aus? An eine Spezifikation des Standards kommt man vermutlich auch nicht heran?

Leider trifft das alles nicht auf XFS zu. Dieser Standard sieht keinerlei Authentifizierung vor und exklusiver Zugriff auf die Service-Provider ist vorgesehen, allerdings nicht aus Sicherheitsgründen. Es gibt lediglich eine Funktion zur Absendung nur eines Befehls zur gleichen Zeit, um nicht zufällig den empfindlichen Magnetstreifen durch das parallele Verschicken zweier gleicher Befehle zu zerstören.

Ist das nicht toll? Ein Standard für Finanz-Apps, aber von Sicherheitsmaßnahmen weit und breit keine Spur. Woher bekommt man Spezifikationen, um sich von der Richtigkeit dieser Aussage zu überzeugen? Bei jeder beliebigen Suchmaschine auf die Suchanfrage „ATM XFS“ wird das gewünschte Ergebnis als eines der ersten in der Liste angezeigt.

Über die Mittel zur Integritätskontrolle

Einige Banken verwenden in ihren Geldautomaten manchmal Software zur Integritätskontrolle. Sie soll das unautorisierte Ausführen von Code auf der Basis einer Weißen Liste verhindern, das Anschließen von Geräten und Speichermedien kontrollieren und weitere in der Theorie nützliche Maßnahmen ausführen, um Attacken abzuwehren.

Doch man darf nicht vergessen, dass wir hier in erster Linie von Software reden, die wie auch jede andere Software nicht frei von Fehlern ist. Sie kann gegenüber verschiedenen Attacken verwundbar sein, wie zum Beispiel Umgehung des Kiosk-Modus, Umgehung Weißer Listen, Pufferüberlauf, Privilegieneskalation und System-User-Rechte. Es leuchtet ein, dass es häufig vorkommende Sicherheitslücken den Übeltätern ermöglichen, sich Zugriff auf das Betriebssystem zu verschaffen, um dann ihren schmutzigen Geschäften nachzugehen.

Über die nicht dokumentierten Möglichkeiten

Die bösen Jungs können auch modifizierte Tools verwenden, die ursprünglich von den Entwicklern oder Herstellern der Geldautomaten zur Überprüfung der Funktionsfähigkeit der Geräte vorgesehen waren. Zu den Funktionen dieser Tools gehört es auch, die Arbeit der Ausgabeeinheit zu testen, unter anderem auch die Ausgabe der Banknoten selbst. Zur Durchführung eines solchen Tests muss der Ingenieur nachweisen, dass er dazu berechtigt ist, die Türen des Tresors zu öffnen oder irgendwelche Manipulationen an den Kassetten der Auszahlungseinheit vorzunehmen. Die Logik dahinter ist simpel: Kannst du den Safe öffnen, so hast Du einen Schlüssel, und das wiederum bedeutet, dass du ein lizenzierter Ingenieur oder Mitarbeiter einer Geldtransportfirma bist. Doch der Austausch einiger Bytes gegen die „richtigen“ macht es möglich, die Bargeldausgabe ohne welche Überprüfungen immer zu „testen“.

Verbrecher können sich auch bereichern, indem sie den Nennwert der auszugebenden Banknoten verändern, ebenfalls mit Hilfe eines Diagnosetools. Als Ergebnis erhält ein Angreifer das Geld mit dem höchsten Nennwert aus der Kassette, beispielsweise 100 US-Dollar oder Euro, und die Software des Geldautomaten denkt, dass sie die Geldscheine mit dem geringsten Nennwert ausgibt (Fünfer oder Zehner). Auf diese Weise kann man für einige hundert Einheiten einige tausend auf dem Papier erhalten.

Über die Blackbox

Ein neuer Angriffstyp, der immer häufiger in den News-Feeds beleuchtet wird, sind die sogenannten Blackbox-Attacken. Auf den Videoaufzeichnungen der Überwachungssysteme sieht das folgendermaßen aus: Ein Angreifer öffnet die Servicezone, schließt seine Zauberkiste an den Bankomaten an, schließt den Servicebereich wieder und geht weg. Kurz darauf nähern sich Leute dem Geldautomaten, die aussehen wie Kunden, und erhalten aus dem Geldautomaten viel Geld, sehr viel Geld. Selbstverständlich lassen die Verbrecher ihr nützliches Gerät nicht zurück und sammeln es wieder ein, nachdem sie ihr Ziel erreicht haben. Die Folgen werden in der Regel einige Tage später entdeckt: Nachdem die Mitarbeiter der Bank die geleerten Kassetten ohne entsprechende Einträge im Protokoll entdeckt haben, raufen sie sich die Haare – in dem Versuch zu verstehen, was passiert ist.

Doch mit Zauberei hat das alles nichts zu tun, denn schließt ein Angreifer anstelle des Hosts einen speziell programmierten Mikrocomputer an, kann er alle beliebigen Sicherheitsmaßnahmen umgehen, die auf dem Host umgesetzt wurden, wie etwa AV-Lösungen oder Mittel zur Integritätskontrolle, eine komplette Verschlüsselung der Festplatte eingeschlossen.

Über die Kommunikationsunsicherheit

Wie bereits oben erwähnt, kommen als Datenübertragungskanäle für die Kommunikation zwischen dem PC und den Geräten USB, RS232 oder SDC in Frage. Dabei hält die Verbrecher nichts davon ab, die notwendigen Befehle unter Umgehung des Serviceproviders direkt an den Port des Geräts zu senden. Die Schnittstellen sind Standard und häufig sind keine speziellen Treiber dafür notwendig. Auch eine Autorisierung ist nicht vorgesehen, was diese ungeschützten proprietären Protokolle zu einer leichten Beute macht – einfach abhören und wiederholen! Das Ergebnis ist die direkte Steuerung der Geldautomaten-Module und die Nutzung der nicht dokumentierten Möglichkeiten (beispielsweise wenn zu diesem Zweck die Firmware der Module geändert wurde). Darüber hinaus können die Cyberkriminellen einen Software- oder Hardware-Traffic-Monitor verwenden, den sie direkt an den Port des gewünschten Gerätes anschließen, beispielsweise den Kartenleser, um so an die übertragenen Daten zu kommen. Und so ein Monitor wäre schwer genug aufzuspüren.

Die direkte Steuerung des Auszahlungsmoduls macht es möglich, die Kassetten des Geldautomaten zu leeren, ohne dass dabei irgendwelche Einträge in die Protokolle vorgenommen werden, die die Software des Bankautomaten führt.

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Ein typisches Datenpaket – der Befehl zur Ausgabe einer Banknote aus der ersten Kassette der Auszahlungseinheit

Für Uneingeweihte sieht das aus wie Magie. Bei dieser Art von Magie gibt es wie bei jedem anderen Zaubertrick auch mehrere Akte oder Schritte. Im Fall des Geldautomaten sind es drei: Anweisung zur Ausgabe des Geldes aus der Kassette, Öffnen der Ausgabeklappe, Ausgabe des Geldes.

Beispiel einer Blackbox-Attacke auf einen Geldautomaten. Das Video wurde von Sicherheitsexperten zur Präsentation auf der BlackHat Europe 2014 erstellt

Das Installieren von Tastenfeld-Attrappen (Skimmer) gehört dem vergangenen Jahrhundert an. Die direkte Verbindung zum Geldautomaten ermöglicht das Lesen und Schreiben auf den Magnetstreifen der Bankkarte. Als direkte Verbindung können auch fertige Software-Traffic-Monitore verwendet werden, die man problemlos im Internet findet. Wie einer meiner Bekannten erzählte, wurden in einer nicht gerade kleinen Bank alle Geldautomaten als Skimmer verwendet. Nachdem Verbrecher eine Sicherheitslücke im Netzwerk der Bank entdeckt hatten, installierten sie an den Geldautomaten einen USB-Sniffer, mit dessen Hilfe sie im Laufe von fünf Jahren alle Daten von den Karten in Klartext sammelten! Wer weiß, vielleicht war auch Ihre Karte darunter.

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Abgefangene Daten des Track2 der Karte

Über das Netzwerk

Die Verbindung zwischen Bankomat und Bearbeitungszentrum kann auf unterschiedliche Weise geschützt werden. Beispielsweise mit Hilfe von VPN-Hardware oder -Software oder mittels SSL/TLS-Verschlüsselung, durch eine Firewall und auch durch MAC-Authentifizierung, die in xDC-Protokollen umgesetzt ist. Allerdings erscheinen alle diese Maßnahmen den Banken bisweilen so kompliziert, dass das Netzwerk überhaupt nicht geschützt wird.

In diesen Fällen können Cyberkriminelle einen „Man-in-the-Middle“-Angriff durchführen, infolge dessen sie sowohl die Kartendaten als auch das gesamte Bargeld aus dem Automaten erhalten. Um einen solchen Angriff umzusetzen, benötigen sie entfernten Zugriff auf das Gerät. Den erhalten die Verbrecher in der Regel, indem sie irgendwelche verwundbaren Dienste ausnutzen, die über das Internet verfügbar sind oder aber, indem sie Social-Engineering-Tricks einsetzen. Auch der physische Zugriff auf die Netzwerkausrüstung, unter anderem das Ethernet-Kabel des Geldautomaten, hilft in diesem Fall.

Auf dem Weg zum echten Bearbeitungszentrum erscheint dann ein gefälschtes, das auch Befehle an die Software des Geldautomaten zur Auszahlung von Geldscheinen verschickt. Dabei kann Geld mit jeder beliebigen Karte abgehoben werden, sogar mit einer abgelaufenen oder einer ohne Guthaben – die Hauptsache ist, dass das falsche Bearbeitungszentrum sie „kennt“. Das falsche Bearbeitungszentrum kann sowohl Marke Eigenbau sein, das die Kommunikation mit dem Geldautomaten via xDC-Protokoll unterstützt. Es können aber auch Simulationen von Bearbeitungszentren eingesetzt werden, die ursprünglich zur Überprüfung der Netzwerkeinstellungen vorgesehen waren (ein weiteres „Geschenk“ des Herstellers an die Gauner).

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Befehle zur Ausgabe von 40 Banknoten aus der vierten Kassette, die von einem falschen Bearbeitungszentrum verschickt und in den Logfiles der Geldautomaten-Software gespeichert wurden. Sie sehen von außen fast echt aus

Wo finden Cyberverbrecher Bankautomaten, die sie über das Netzwerk angreifen können? Scannen sie alle Netze in ihrer Nähe oder kaufen sie die Informationen in Untergrundforen?

Anscheinend muss man lediglich die richtige Anfrage in der Suchmaschine www.shodan.io eingeben (Experten ist dieser Scanner für das Internet der Dinge wohlbekannt). Die mit Hilfe dieser Suchmaschine zusammengetragenen Daten sind in der Regel ausreichend, um derartige Attacken durchzuführen.

Oder man schaut sich einfach mit offenen Augen die Geldautomaten in Einkaufszentren oder Geschäftsvierteln an.

Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann

Um an das System eines Geldautomaten heranzukommen, muss man ihn nicht immer unbedingt öffnen – die Kommunikation wird hier sogar von außen angeboten.

Wer hat Schuld und was ist zu tun?

Dieser Teil ist meist der betrüblichste, und das hat seinen Grund.

Entdecken wir während der Sicherheitsanalyse von Geldautomaten Schwachstellen, so schicken wir dem Anbieter selbstverständlich eine Benachrichtigung mit einer Beschreibung der Mängel und der Methoden zu ihrer Behebung. Häufig rufen die Reaktionen allerdings Unverständnis hervor (in den folgenden Beispielen wurde die Rechtschreibung nicht verändert):

„The vulnerabilities are essentially normal specifications of the card readers and not unexpected. As long as the ATM is running within normal parameters, these problems cannot possibly occur.“
(Übersetzung: „Die Sicherheitslücken sind im Grunde nur normale technische Merkmale des Kartenlesers und daher auch nicht überraschend. Solange der Geldautomat innerhalb der normalen Parameter funktioniert, können diese Probleme unmöglich auftreten.„)

However this vulnerability is inherent in the USB technology and is expected be mitigated by the use of appropriate physical controls on access to the ATM top box.“
(Übersetzung: „Doch das ist eine systemimmanente Schwachstelle der USB-Technologie und sie kann durch angemessene physische Kontrollen über den Zugriff auf den oberen Teil des Geldautomaten umgangen werden.„)

„We regret informing you that we had decided to stop producing this model more than 3 years ago and warranties for our distributors been expired.“
(Übersetzung: „Wir bedauern, Ihnen mitteilen zu müssen, dass wir die Produktion dieses Modells vor drei Jahren eingestellt haben und die Garantien für unsere Händler abgelaufen sind.“)

Aber wirklich, warum sollten sich die Anbieter auch Gedanken darüber machen, dass Geldautomaten mit abgelaufener Garantie noch immer von Banken auf der ganzen Welt eingesetzt werden, und dass ihre physische Sicherheit oft zu wünschen übrig lässt? Leider sieht es in der Realität so aus, dass Hersteller nur daran interessiert sind, neue Produkte zu verkaufen, aber weniger daran, Mängel in laufenden Systemen zu beheben. Zudem sind die Banken nicht in der Lage, selbstständig mit den aktuellen Problemen fertig zu werden, da es ihnen an den dafür notwendigen Kompetenzen mangelt.

Glücklicherweise ist einigen Herstellern klar, wie gefährlich die Möglichkeit einer nicht autorisierten Nutzung von Geldautomaten ist, und sie geben daher Sicherheitsupdates heraus. Um Angriffen auf die Auszahlungseinheit vorzubeugen, kommen die Zwei-Wege-Authentifizierung und Kryptografie zum Einsatz (doch hier sollte man bedenken, dass nicht jede Kryptografie korrekt umgesetzte Kryptografie ist).

Doch wie die Realität zeigt, können die bestehenden Maßnahmen einen Geldautomaten zwar vor Schädlingen schützen, aber gegen Blackbox- oder Netzwerkattacken sind sie wirkungslos. Eine große Zahl von Sicherheitsmängeln und Schwachstellen, für deren Ausnutzung keine spezifischen Kenntnisse benötigt werden, machen die Geldmaschinen zu einem bevorzugten Ziel für all diejenigen, die sich illegal bereichern wollen.

Es gibt einen Ausweg

Trotz aller bestehenden Schwachpunkte können die Hersteller von Geldautomaten sehr wohl die Angriffsrisiken verringern.

  • Erstens muss der XFS-Standard überprüft werden, mit dem Schwerpunkt auf der Sicherheit. Zudem muss eine Zwei-Faktoren Authentifizierung zwischen den Geräten und der legitimen Software eingeführt werden, wodurch die Wahrscheinlichkeit der unautorisierten Geldausgabe mit Hilfe von Schädlingen und der direkten Steuerung der Geldautomat-Module durch Cyberkriminelle verringert werden kann.
  • Zweitens ist die Umsetzung einer „beglaubigten Geldausgabe“ unerlässlich, um die Möglichkeit von Attacken unter Austausch des Bearbeitungszentrums auszuschließen.
  • Drittens muss ein kryptografischer Schutz und eine Integritätsprüfung der zwischen allen Geräten des Geldautomaten zu übertragenden Daten umgesetzt werden.

Und was müssen die Banken tun? Handeln!

Sie müssen diejenigen, die die Geldautomaten und die Software verkaufen, dazu zwingen, diese sicher zu machen. Sicherheitslücken müssen von den Herstellern so schnell wie möglich beseitigt werden, man muss sie daher häufiger darüber informieren. Als Maßnahme zum Schutz vor Einbrüchen in Geldautomaten müssen alle verfügbaren Schutzmittel aktiviert werden. Die gesamte Liste der Selbstkontrolle des PCI-DSS stellt keinen perfekten Weg dar – sie schützt Bankautomaten definitiv nicht vor Angriffen und die Bank nicht vor finanziellen Einbußen sowie vor Reputationsverlusten. Ein proaktiver Schutz, inklusive regelmäßiger Sicherheitsanalyse und Pen-Tests, ist besser (und häufig sogar günstiger) als es Sicherheitsvorfälle und deren Aufklärung sind.

Denken Sie daran, der Feind schläft nicht!

Für Sie alles Sichere!

PS: Während des Verfassens dieses Textes kam kein Geldautomat zu Schaden.

PPS: Der Überblick über die Sicherheitsprobleme von Geldautomaten ersetzt kein Lehrbuch.

Related Articles

Es gibt 3 Kommentare
  1. Kupper

    Sicherheit schafft für die Zukunft auch nur ein zweiseitiges Zugangsverfahren. Karte plus Ausweis, Karte plus Sichheitsfrage, Karte Plus Irisscan, Karte Plus Fingerabdruck.

    In weiterer Folge dann nur mehr Abebung mit Reisepaß mit Chip wo die Fingerabdrücke gespeichert sind, plus Gegenfingerabdruck am Geldausgabeautomat .

  2. ich

    wow, eine Magnetspur von einer Karte die vor 6 Jahren abgelaufen ist. Dann noch von einer Chipkarte da fragt man sich wirklich warum die Banken Geo Control / Geo Blocking machen, gell …

  3. ich

    Und das es sich bei dem eingesetzten XP um eine embedded Version handelt, die von Microsoft noch bis 2019 mit Updates versorgt wird ist dem Verfasser dieses Werbeartikel auch aufgefallen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.