Abo
  • Services:
Anzeige
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Kaspersky-Analyse: Fast jeder Geldautomat lässt sich kapern

Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle.
Manche Geldautomaten erlauben einen leichten Zugriff für Kriminelle. (Bild: Kaspersky)

Immer wieder gibt es Berichte über gehackte Geldautomaten. In einer ausführlichen Analyse macht Kaspersky eine ganze Reihe von Sicherheitsdefiziten dafür verantwortlich.

Nach Ansicht des Sicherheitsunternehmens Kaspersky setzen Banken beim Einsatz von Geldautomaten häufig unsichere Technik ein. Fast jeder Geldautomat weltweit könne illegal gekapert werden, teilte das Unternehmen am Donnerstag mit. Das läge "an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten". Bei den Banken herrsche zudem der Irrglaube vor, Cyberkriminelle würden nur Online-Banking-Prozesse attackieren.

Anzeige

Dass es solche Defizite gibt, ist seit längerem bekannt. So liefen Anfang 2014 noch 95 Prozent aller Geldautomaten weltweit mit Windows XP. Laut Kaspersky verwendet die "überragende Mehrheit" der Geräte weiterhin dieses Betriebssystem, das seit zwei Jahren nicht mehr gepatcht wird. Zudem würden die Programmierer, die die Geldautomaten betreuten, lieber auf Updates verzichten, um die Geräte nicht anfassen zu müssen. "Die Folge ist, dass auf vielen Cash-Maschinen bis heute noch die ungepatchte kritische Sicherheitslücke MS08-067 zu finden ist, die das entfernte Ausführen von Code ermöglicht", schreibt Kaspersky.

Veralteter XFS-Standard

Problematisch sei zudem, dass die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie den Barauszahlungs- und Kreditkartenprozessen weiterhin auf dem XFS-Standard basiere. Die "veraltete und unsichere" Technik erfordere keine Autorisierung der durchzuführenden Befehle. Das bedeute: "Jede Anwendung, die auf einem Geldautomaten installiert und ausgeführt wird, kann jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen - inklusive dem Kartenleser und der Bargeldausgabe." Ein installierter Schädling erhalte daher nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.

Wie solche Hacks funktionieren, hatte im vergangenen Jahr ein Vorfall in Deutschland gezeigt. Dabei war es einem unbekannten Täter gelungen, mit Hilfe eines USB-Sticks an einem Tag an zwei weit voneinander entfernten Orten zwei Automaten zu plündern. Laut Kaspersky wird dies durch Schwachstellen der "physischen Security" ermöglicht. "Die Konstruktion und Installation von Geldautomaten ermöglicht sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum Netzwerk, das die Maschine mit dem Internet verbindet", schreiben die Sicherheitsexperten.

Geräte nicht ausreichend gesichert

In einer ausführlichen Analyse zu dem Thema weist Kaspersky darauf hin, dass die Steuerungskomponenten anders als die Geldausgabeeinheit meist nur unzureichend mit einem einfachen Schloss gesichert seien. "Übrigens kann man sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert."

Das ermögliche es den Kriminellen, entweder speziell programmierte Minicomputer (Black-Box) im Geldautomaten zu installieren, um die Fernkontrolle über den Automaten zu bekommen, oder den Geldautomaten mit einer gefälschten Prozesszentrale zu verbinden. Die gefälschte Prozesszentrale imitiere die Banksoftware und könne Zahlungsdaten anleiten. Mit Hilfe einer solchen Software könnten die Angreifer jedwede Befehle ausführen.

Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem, den XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten erlangen wollten, minimiert. Zudem müsse eine Art "authentifizierte Geldausgabe" eingeführt werden, um die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausschließen zu können. Ebenfalls wird empfohlen, einen Verschlüsselungsschutz und eine Identitätskontrolle von den Daten zu implementieren, die zwischen Hardware-Einheiten und den PCs im Geldautomaten übertragen werden.

Wenige Fälle von Jackpotting bekannt

Der vor drei Jahren gestorbene Barnaby Jack hatte auf der Black-Hat-Konferenz im Jahr 2010 mehrere Verfahren zum Hacken von Geldautomaten präsentiert. Dabei hatte er unter anderem eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion ausgenutzt, um eine präparierte Firmware zu installieren. Ein Geldautomat des Herstellers Triton hatte eine Sicherheitslücke, die sich über einen Standardschlüssel ausnutzen ließ, der im Internet zum Kauf stand. Danach akzeptierte der Geldautomat die Hackersoftware als autorisiertes Update.

Trotz der genannten Sicherheitsdefizite kommen Geldautomaten-Hackings jedoch recht selten vor. Bis zum vergangenen Oktober soll es rund 20 Fälle in Europa gegeben haben, bei denen die Methode mit dem USB-Stick eingesetzt wurde.


eye home zur Startseite
tingelchen 30. Apr 2016

Ich hab zuerst gefragt ;) Nein hat es nicht. Oder, nicht nur. Wenn der Automat...

FreiGeistler 30. Apr 2016

Umleitungsfehler :-( Sind die SBB gerade am Umrüsten? Das war an einem Automat in...

Spiritogre 29. Apr 2016

Geldautomaten sind nicht mit dem Internet verbunden.



Anzeige

Stellenmarkt
  1. AKDB, München
  2. Rohde & Schwarz GmbH & Co. KG, München
  3. MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin
  4. Engelhorn KGaA, Mannheim


Anzeige
Spiele-Angebote
  1. 19,99€ - Release 19.10.
  2. 22,99€
  3. 9,99€

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

  1. Re: "IT-News für Profis"-Bashing in 3,2,1...

    olus87 | 19:40

  2. Opps

    slead | 19:36

  3. Re: SUbventionen sind unsinnig

    bombinho | 19:32

  4. Re: Der starke Kleber

    ArcherV | 19:11

  5. Re: Und bei DSL?

    sneaker | 19:10


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel