Abo
  • Services:
Anzeige
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Kaspersky-Analyse: Fast jeder Geldautomat lässt sich kapern

Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Immer wieder gibt es Berichte über gehackte Geldautomaten. In einer ausführlichen Analyse macht Kaspersky eine ganze Reihe von Sicherheitsdefiziten dafür verantwortlich.

Nach Ansicht des Sicherheitsunternehmens Kaspersky setzen Banken beim Einsatz von Geldautomaten häufig unsichere Technik ein. Fast jeder Geldautomat weltweit könne illegal gekapert werden, teilte das Unternehmen am Donnerstag mit. Das läge "an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten". Bei den Banken herrsche zudem der Irrglaube vor, Cyberkriminelle würden nur Online-Banking-Prozesse attackieren.

Anzeige

Dass es solche Defizite gibt, ist seit längerem bekannt. So liefen Anfang 2014 noch 95 Prozent aller Geldautomaten weltweit mit Windows XP. Laut Kaspersky verwendet die "überragende Mehrheit" der Geräte weiterhin dieses Betriebssystem, das seit zwei Jahren nicht mehr gepatcht wird. Zudem würden die Programmierer, die die Geldautomaten betreuten, lieber auf Updates verzichten, um die Geräte nicht anfassen zu müssen. "Die Folge ist, dass auf vielen Cash-Maschinen bis heute noch die ungepatchte kritische Sicherheitslücke MS08-067 zu finden ist, die das entfernte Ausführen von Code ermöglicht", schreibt Kaspersky.

Veralteter XFS-Standard

Problematisch sei zudem, dass die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie den Barauszahlungs- und Kreditkartenprozessen weiterhin auf dem XFS-Standard basiere. Die "veraltete und unsichere" Technik erfordere keine Autorisierung der durchzuführenden Befehle. Das bedeute: "Jede Anwendung, die auf einem Geldautomaten installiert und ausgeführt wird, kann jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen - inklusive dem Kartenleser und der Bargeldausgabe." Ein installierter Schädling erhalte daher nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.

Wie solche Hacks funktionieren, hatte im vergangenen Jahr ein Vorfall in Deutschland gezeigt. Dabei war es einem unbekannten Täter gelungen, mit Hilfe eines USB-Sticks an einem Tag an zwei weit voneinander entfernten Orten zwei Automaten zu plündern. Laut Kaspersky wird dies durch Schwachstellen der "physischen Security" ermöglicht. "Die Konstruktion und Installation von Geldautomaten ermöglicht sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum Netzwerk, das die Maschine mit dem Internet verbindet", schreiben die Sicherheitsexperten.

Geräte nicht ausreichend gesichert

In einer ausführlichen Analyse zu dem Thema weist Kaspersky darauf hin, dass die Steuerungskomponenten anders als die Geldausgabeeinheit meist nur unzureichend mit einem einfachen Schloss gesichert seien. "Übrigens kann man sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert."

Das ermögliche es den Kriminellen, entweder speziell programmierte Minicomputer (Black-Box) im Geldautomaten zu installieren, um die Fernkontrolle über den Automaten zu bekommen, oder den Geldautomaten mit einer gefälschten Prozesszentrale zu verbinden. Die gefälschte Prozesszentrale imitiere die Banksoftware und könne Zahlungsdaten anleiten. Mit Hilfe einer solchen Software könnten die Angreifer jedwede Befehle ausführen.

Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem, den XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten erlangen wollten, minimiert. Zudem müsse eine Art "authentifizierte Geldausgabe" eingeführt werden, um die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausschließen zu können. Ebenfalls wird empfohlen, einen Verschlüsselungsschutz und eine Identitätskontrolle von den Daten zu implementieren, die zwischen Hardware-Einheiten und den PCs im Geldautomaten übertragen werden.

Wenige Fälle von Jackpotting bekannt

Der vor drei Jahren gestorbene Barnaby Jack hatte auf der Black-Hat-Konferenz im Jahr 2010 mehrere Verfahren zum Hacken von Geldautomaten präsentiert. Dabei hatte er unter anderem eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion ausgenutzt, um eine präparierte Firmware zu installieren. Ein Geldautomat des Herstellers Triton hatte eine Sicherheitslücke, die sich über einen Standardschlüssel ausnutzen ließ, der im Internet zum Kauf stand. Danach akzeptierte der Geldautomat die Hackersoftware als autorisiertes Update.

Trotz der genannten Sicherheitsdefizite kommen Geldautomaten-Hackings jedoch recht selten vor. Bis zum vergangenen Oktober soll es rund 20 Fälle in Europa gegeben haben, bei denen die Methode mit dem USB-Stick eingesetzt wurde.


eye home zur Startseite
tingelchen 30. Apr 2016

Ich hab zuerst gefragt ;) Nein hat es nicht. Oder, nicht nur. Wenn der Automat...

FreiGeistler 30. Apr 2016

Umleitungsfehler :-( Sind die SBB gerade am Umrüsten? Das war an einem Automat in...

Spiritogre 29. Apr 2016

Geldautomaten sind nicht mit dem Internet verbunden.



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. LEW Verteilnetz GmbH, Augsburg
  3. über Ratbacher GmbH, Raum Frankfurt am Main
  4. Allianz Deutschland AG, München-Unterföhring


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 18,99€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

  1. Re: Von Trump ist keine Rede

    torrbox | 03:37

  2. Re: Mahngebühren und Zahlungsverzug stecken...

    torrbox | 03:29

  3. Re: Es wird immer was vergessen

    wasdeeh | 03:28

  4. Re: Gefällt mir

    Cohaagen | 03:08

  5. Re: Naja, ganz so klar ist das auch nicht

    logged_in | 02:50


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel