Kaspersky-Analyse: Fast jeder Geldautomat lässt sich kapern

Immer wieder gibt es Berichte über gehackte Geldautomaten. In einer ausführlichen Analyse macht Kaspersky eine ganze Reihe von Sicherheitsdefiziten dafür verantwortlich.

Artikel veröffentlicht am ,
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Nach Ansicht des Sicherheitsunternehmens Kaspersky setzen Banken beim Einsatz von Geldautomaten häufig unsichere Technik ein. Fast jeder Geldautomat weltweit könne illegal gekapert werden, teilte das Unternehmen am Donnerstag mit. Das läge "an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten". Bei den Banken herrsche zudem der Irrglaube vor, Cyberkriminelle würden nur Online-Banking-Prozesse attackieren.

Stellenmarkt
  1. Spezialist*in für Monitoring, Evaluierung und Informationssysteme
    GIZ Deutsche Gesellschaft für Internationale Zusammenarbeit GmbH, Eschborn
  2. IT-Systemadministrator Production (m/w/d)
    cadooz rewards GmbH, München
Detailsuche

Dass es solche Defizite gibt, ist seit längerem bekannt. So liefen Anfang 2014 noch 95 Prozent aller Geldautomaten weltweit mit Windows XP. Laut Kaspersky verwendet die "überragende Mehrheit" der Geräte weiterhin dieses Betriebssystem, das seit zwei Jahren nicht mehr gepatcht wird. Zudem würden die Programmierer, die die Geldautomaten betreuten, lieber auf Updates verzichten, um die Geräte nicht anfassen zu müssen. "Die Folge ist, dass auf vielen Cash-Maschinen bis heute noch die ungepatchte kritische Sicherheitslücke MS08-067 zu finden ist, die das entfernte Ausführen von Code ermöglicht", schreibt Kaspersky.

Veralteter XFS-Standard

Problematisch sei zudem, dass die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie den Barauszahlungs- und Kreditkartenprozessen weiterhin auf dem XFS-Standard basiere. Die "veraltete und unsichere" Technik erfordere keine Autorisierung der durchzuführenden Befehle. Das bedeute: "Jede Anwendung, die auf einem Geldautomaten installiert und ausgeführt wird, kann jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen - inklusive dem Kartenleser und der Bargeldausgabe." Ein installierter Schädling erhalte daher nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.

Wie solche Hacks funktionieren, hatte im vergangenen Jahr ein Vorfall in Deutschland gezeigt. Dabei war es einem unbekannten Täter gelungen, mit Hilfe eines USB-Sticks an einem Tag an zwei weit voneinander entfernten Orten zwei Automaten zu plündern. Laut Kaspersky wird dies durch Schwachstellen der "physischen Security" ermöglicht. "Die Konstruktion und Installation von Geldautomaten ermöglicht sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum Netzwerk, das die Maschine mit dem Internet verbindet", schreiben die Sicherheitsexperten.

Geräte nicht ausreichend gesichert

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

In einer ausführlichen Analyse zu dem Thema weist Kaspersky darauf hin, dass die Steuerungskomponenten anders als die Geldausgabeeinheit meist nur unzureichend mit einem einfachen Schloss gesichert seien. "Übrigens kann man sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert."

Das ermögliche es den Kriminellen, entweder speziell programmierte Minicomputer (Black-Box) im Geldautomaten zu installieren, um die Fernkontrolle über den Automaten zu bekommen, oder den Geldautomaten mit einer gefälschten Prozesszentrale zu verbinden. Die gefälschte Prozesszentrale imitiere die Banksoftware und könne Zahlungsdaten anleiten. Mit Hilfe einer solchen Software könnten die Angreifer jedwede Befehle ausführen.

Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem, den XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten erlangen wollten, minimiert. Zudem müsse eine Art "authentifizierte Geldausgabe" eingeführt werden, um die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausschließen zu können. Ebenfalls wird empfohlen, einen Verschlüsselungsschutz und eine Identitätskontrolle von den Daten zu implementieren, die zwischen Hardware-Einheiten und den PCs im Geldautomaten übertragen werden.

Wenige Fälle von Jackpotting bekannt

Der vor drei Jahren gestorbene Barnaby Jack hatte auf der Black-Hat-Konferenz im Jahr 2010 mehrere Verfahren zum Hacken von Geldautomaten präsentiert. Dabei hatte er unter anderem eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion ausgenutzt, um eine präparierte Firmware zu installieren. Ein Geldautomat des Herstellers Triton hatte eine Sicherheitslücke, die sich über einen Standardschlüssel ausnutzen ließ, der im Internet zum Kauf stand. Danach akzeptierte der Geldautomat die Hackersoftware als autorisiertes Update.

Trotz der genannten Sicherheitsdefizite kommen Geldautomaten-Hackings jedoch recht selten vor. Bis zum vergangenen Oktober soll es rund 20 Fälle in Europa gegeben haben, bei denen die Methode mit dem USB-Stick eingesetzt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /