Abo
  • Services:
Anzeige
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Kaspersky-Analyse: Fast jeder Geldautomat lässt sich kapern

Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Immer wieder gibt es Berichte über gehackte Geldautomaten. In einer ausführlichen Analyse macht Kaspersky eine ganze Reihe von Sicherheitsdefiziten dafür verantwortlich.

Nach Ansicht des Sicherheitsunternehmens Kaspersky setzen Banken beim Einsatz von Geldautomaten häufig unsichere Technik ein. Fast jeder Geldautomat weltweit könne illegal gekapert werden, teilte das Unternehmen am Donnerstag mit. Das läge "an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten". Bei den Banken herrsche zudem der Irrglaube vor, Cyberkriminelle würden nur Online-Banking-Prozesse attackieren.

Anzeige

Dass es solche Defizite gibt, ist seit längerem bekannt. So liefen Anfang 2014 noch 95 Prozent aller Geldautomaten weltweit mit Windows XP. Laut Kaspersky verwendet die "überragende Mehrheit" der Geräte weiterhin dieses Betriebssystem, das seit zwei Jahren nicht mehr gepatcht wird. Zudem würden die Programmierer, die die Geldautomaten betreuten, lieber auf Updates verzichten, um die Geräte nicht anfassen zu müssen. "Die Folge ist, dass auf vielen Cash-Maschinen bis heute noch die ungepatchte kritische Sicherheitslücke MS08-067 zu finden ist, die das entfernte Ausführen von Code ermöglicht", schreibt Kaspersky.

Veralteter XFS-Standard

Problematisch sei zudem, dass die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie den Barauszahlungs- und Kreditkartenprozessen weiterhin auf dem XFS-Standard basiere. Die "veraltete und unsichere" Technik erfordere keine Autorisierung der durchzuführenden Befehle. Das bedeute: "Jede Anwendung, die auf einem Geldautomaten installiert und ausgeführt wird, kann jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen - inklusive dem Kartenleser und der Bargeldausgabe." Ein installierter Schädling erhalte daher nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.

Wie solche Hacks funktionieren, hatte im vergangenen Jahr ein Vorfall in Deutschland gezeigt. Dabei war es einem unbekannten Täter gelungen, mit Hilfe eines USB-Sticks an einem Tag an zwei weit voneinander entfernten Orten zwei Automaten zu plündern. Laut Kaspersky wird dies durch Schwachstellen der "physischen Security" ermöglicht. "Die Konstruktion und Installation von Geldautomaten ermöglicht sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum Netzwerk, das die Maschine mit dem Internet verbindet", schreiben die Sicherheitsexperten.

Geräte nicht ausreichend gesichert

In einer ausführlichen Analyse zu dem Thema weist Kaspersky darauf hin, dass die Steuerungskomponenten anders als die Geldausgabeeinheit meist nur unzureichend mit einem einfachen Schloss gesichert seien. "Übrigens kann man sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert."

Das ermögliche es den Kriminellen, entweder speziell programmierte Minicomputer (Black-Box) im Geldautomaten zu installieren, um die Fernkontrolle über den Automaten zu bekommen, oder den Geldautomaten mit einer gefälschten Prozesszentrale zu verbinden. Die gefälschte Prozesszentrale imitiere die Banksoftware und könne Zahlungsdaten anleiten. Mit Hilfe einer solchen Software könnten die Angreifer jedwede Befehle ausführen.

Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem, den XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten erlangen wollten, minimiert. Zudem müsse eine Art "authentifizierte Geldausgabe" eingeführt werden, um die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausschließen zu können. Ebenfalls wird empfohlen, einen Verschlüsselungsschutz und eine Identitätskontrolle von den Daten zu implementieren, die zwischen Hardware-Einheiten und den PCs im Geldautomaten übertragen werden.

Wenige Fälle von Jackpotting bekannt

Der vor drei Jahren gestorbene Barnaby Jack hatte auf der Black-Hat-Konferenz im Jahr 2010 mehrere Verfahren zum Hacken von Geldautomaten präsentiert. Dabei hatte er unter anderem eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion ausgenutzt, um eine präparierte Firmware zu installieren. Ein Geldautomat des Herstellers Triton hatte eine Sicherheitslücke, die sich über einen Standardschlüssel ausnutzen ließ, der im Internet zum Kauf stand. Danach akzeptierte der Geldautomat die Hackersoftware als autorisiertes Update.

Trotz der genannten Sicherheitsdefizite kommen Geldautomaten-Hackings jedoch recht selten vor. Bis zum vergangenen Oktober soll es rund 20 Fälle in Europa gegeben haben, bei denen die Methode mit dem USB-Stick eingesetzt wurde.


eye home zur Startseite
tingelchen 30. Apr 2016

Ich hab zuerst gefragt ;) Nein hat es nicht. Oder, nicht nur. Wenn der Automat...

FreiGeistler 30. Apr 2016

Umleitungsfehler :-( Sind die SBB gerade am Umrüsten? Das war an einem Automat in...

Spiritogre 29. Apr 2016

Geldautomaten sind nicht mit dem Internet verbunden.



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart-Fellbach
  2. IT-Dienstleistungszentrum Berlin, Berlin
  3. German RepRap GmbH, Feldkirchen bei München
  4. Osmo Holz und Color GmbH & Co. KG, Göttingen


Anzeige
Hardware-Angebote
  1. (Core i7-6700HQ + GeForce GTX 1070)
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Spielebranche

    Shadow Tactics gewinnt Deutschen Entwicklerpreis 2016

  2. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  3. Final Fantasy 15

    Square Enix will die Story patchen

  4. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  5. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  6. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  7. Weltraumroboter

    Ein R2D2 für Satelliten

  8. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  9. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  10. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Bald auf RTL: Robot Wars - Space Edition. kwT

    ChristianKG | 01:00

  2. Re: Wir haben den auch direkt eingestellt...

    procrash | 00:59

  3. Re: CPU Entwicklung eh lächerlich...

    sg-1 | 00:57

  4. Einnahmen durch Werbung

    Hades85 | 00:54

  5. Re: Die sollten noch mehr Gebühren nehmen

    sg-1 | 00:52


  1. 22:00

  2. 18:47

  3. 17:47

  4. 17:34

  5. 17:04

  6. 16:33

  7. 16:10

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel