Bankraub auf die elegante Tour: So schützen Sie Geldautomaten vor Jackpotting

Ein Geldautomat, eine meist per USB aufgespielte Schadsoftware und ein sich füllendes Ausgabefach, das den Inhalt des Geräts ohne Eingabe einer Bankkarte ausspuckt. All das steht für einen Bankraub, wie er eleganter nicht sein könnte. Aktuell ermittelt eine auf Cyber-Kriminalität spezialisierte Staatsanwaltschaft in zehn Fällen von „Jackpotting“ in Deutschland – es geht allein in diesen Fällen um einen Schaden von 1,4 Millionen Euro.

Bankraub über den USB-Anschluss – was durch aktuelle Berichterstattung in der Tagesschau aktuell wieder vermehrt thematisiert wird, ist im Prinzip nicht neu: Bereits seit 2010 sind aus unterschiedlichen Ländern Fälle bekannt, in denen Angreifer mit Hilfe eines Notebooks und einer entsprechenden Serviceschnittstelle Zugang zu Geldautomaten gesucht haben. Und auch IT-Finanzmagazin hat bereits im vergangenen Jahr über Strategien rund um den Jackpotting genannten Bankraub via Geldautomat berichtet. Auch entsprechende Videos zeigen, dass und wie so etwas geht. Der Medienbericht thematisiert unter anderem Fälle der Santander-Bank, die dazu erwartungsgemäß keine Stellung nimmt, wobei eine Schadsoftware namens Cutlet Maker auf das System gespielt wurde.

Komplette Infrastruktur der Geldautomaten schützen

Für Sergey Golovanov, leitenden Sicherheitsforscher bei Kaspersky, ist all das kein neues Phänomen. Er kennt Carbanak, Cutlet Maker und ATMitch – drei Schadsoftware-Anwendungen, die allesamt Bankautomaten unterschiedlicher Hersteller und Modellreihen im Visier haben.

Wir von Kaspersky haben bereits seit 2009 auf die Bedrohung des Jackpottings aufmerksam gemacht. Banken und Finanzinstitute sollten neue Fälle von Angriffen auf Geldautomaten ernst nehmen und ihre Infrastruktur sowie ihre Kunden adäquat schützen – beispielsweise über passende Embedded Software am Automaten und den entsprechenden Schutz der kompletten Bankinfrastruktur.“

Sergey Golovanov, leitender Sicherheitsforscher, Kaspersky

Jackpotting: Mehr als zwei von drei Bankautomaten sind unsicher

Oft würde es, das hat im vergangenen Jahr eine Studie gezeigt, auch schon ausreichen, die Geldautomaten physisch abzusichern und beispielsweise die Serviceschnittstelle nicht zugänglich zu machen. Denn auch wenn ein Teil der Angriffe über das Netzwerk der Banken erfolgt, spielt die Serviceschnittstelle oft eine entscheidende Rolle. Und kaum einer schöpft Verdacht oder tut etwas dagegen, wenn ein vermeintlicher Mitarbeiter mit Notebook im Vorraum einer Bank beschäftigt ist.

Der Dienstleister Positive Technologies hat dazu 26 gängige Modelle von Bankautomaten unter die Lupe genommen. Das Ergebnis war überraschend und für die Hersteller beschämend: Mehr als zwei Drittel der Geräte waren für Blackbox-Angriffe empfänglich, so dass Betrüger sich beispielsweise mit dem Geldausgabeschacht verbinden konnten und teilweise nicht nur einen festen Betrag ausspucken lassen konnten, sondern auch einen frei definierbaren.

Wie das Unternehmen erklärt, seien die meisten der gängigen Geräte im In- und Ausland (die Rede ist von 85 Prozent) nur unzureichend vor Netzwerkangriffen wie dem Spoofing des Rechenzentrums geschützt. So können Kriminelle den „Transaktionsbestätigungsprozess“ stören und eine Antwort des Rechenzentrums vortäuschen, um einen höheren Auszahlungsantrag zu genehmigen oder die Anzahl der auszugebenden Banknoten zu erhöhen. Erstaunlich auch die Erkenntnis, dass viele der Geräte mit unverschlüsselten Daten arbeiten und unter Windows XP laufen – ein Betriebssystem, das immerhin schon die Volljährigkeit erreicht hat.

Zahl der Jackpotting-Fälle sinkt – kein Grund zur Beruhigung

Banken und Sparkassen sollten sich mit den Herstellern der Geldautomaten zusammensetzen und prüfen, wie man es Angreifern so schwer wie möglich machen kann. Denn meist sind die Angreifer auf Geldautomaten eines bestimmten Typs fokussiert, da auch softwareseitig zahlreiche Eigenheiten der Geräte zu beachten sind. Ein erster Schritt ist dabei die physische Absicherung der Zugänge und Schnittstellen, ein weiterer (softwareseitiger) Punkt die Absicherung der Windows-Oberfläche und das Verhindern, dass beliebige Programme auf dem System ausgeführt werden können. Auch die Absicherung der Kommunikation zwischen Ausgabeeinheit und Geldautomaten-UI sowie die Verschlüsselung der Festplatte können ein Mehr an Sicherheit bringen.

Wie gravierend ist die Bedrohung durch Jackpotting einzuschätzen? Das Bundeskriminalamt warnte schon 2018 vor einem „signifikanten Anstieg“ und das LKA kennt seit Anfang 2018 alleine für Berlin 36 Fälle. Auch wenn das BKA für die ersten neun Monate 2019 „nur“ auf 22 Fälle kommt, heißt das nicht, dass die Gefahr gebannt ist. Denn zum einen kann man von einer gewissen Dunkelziffer ausgehen – Banken und Sparkassen reden über so etwas naturgemäß nicht gern – und insbesondere in den USA ist offenbar durchaus eine größere Zahl an Angriffen zu beobachten. tw