Anzeige
SECURITY20. November 2018

Gängige Geldautomaten lassen sich innerhalb weniger Minuten hacken

vverve / Bigstock

Weniger als 20 Minuten, in einigen Fällen sogar nur 10 Minuten – und der Geldautomat ist gehackt und spuckt ohne PIN und Banking- oder Giro-Card Geldscheine aus. Die IT-Sicherheitsfirma Positive Technologies hat 26 Geldautomaten gängiger Hersteller untersucht und zahlreiche Schwachstellen gefunden. Besonders alarmierend: 69 Prozent der Geldautomaten waren anfällig für Black-Box-Angriffe und Kriminelle können sich mit dem Geldausgabemechanismus eines Geldautomaten binnen weniger Minuten verbinden und diesen Geld ausspucken lasen.

Angriffe auf Automaten unterschiedlicher Hersteller sind weltweit zu einem immer größeren Problem geworden. Im Januar 2018 warnten der US-Geheimdienst sowie die großen Geldautomatenhersteller Diebold Nixdorf, GRGBanking und NCR dringend vor der Bedrohung durch Angriffe auf Geldautomaten. Laut NCR-Berichten wurden erste Black Box-Angriffe 2017 in Mexiko aufgedeckt. Im Jahr 2018 breitete sich diese Welle auf die USA aus. Die ersten Berichte über ATM-Malware-Angriffe gehen auf das Jahr 2009 zurück, als Skimer entdeckt wurde, ein Trojaner, der Geld und Bankkartendaten stehlen kann. Seitdem sind Logikangriffe bei Cyber-Kriminellen immer beliebter geworden.

Gravierende Sicherheitslücken bei Geldautomaten

Experten von Positive Technologies haben jetzt ermittelt, dass die meisten Geräte (85 Prozent der Geräte) nur unzureichend vor Netzwerkangriffen wie dem Spoofing des Rechenzentrums geschützt waren. Infolgedessen könnten Kriminelle den Transaktionsbestätigungsprozess stören und eine Antwort des Rechenzentrums vortäuschen, um jeden Auszahlungsantrag zu genehmigen oder die Anzahl der auszugebenden Banknoten zu erhöhen. Der Bericht beschreibt auch Szenarien mit Angriffen auf GSM-Modems, die mit den Geräten verbunden sind. Ein Angreifer könnte sich so auf einfache Weise Zugang zu einem GSM-Modem verschaffen und damit andere Geldautomaten im gleichen Netzwerk und sogar im internen Netzwerk der Bank angreifen.

Ein Fehler bei der Implementierung der Festplattenverschlüsselung macht stolze 92 Prozent der Geldautomaten anfällig für eine Reihe von Angriffsszenarien. Ein Angreifer könnte sich direkt mit einer Festplatte des Geldautomaten verbinden und, sofern die Inhalte nicht verschlüsselt sind, diese mit Malware infizieren und Sicherheitsmechanismen deaktivieren. Dadurch kann der Angreifer den Geldautomaten steuern. Dass diese Inhalte nicht verschlüsselt sind, ist kaum zu glauben angesichts der Privatheit solcher Daten, aber in vielen Banking-Umfeldern durchaus nicht ungewöhnlich.

Der Kiosk-Modus des Betriebssystems war bei 76 Prozent der getesteten Geldautomaten möglich, was ein Problem darstellt. Denn wenn Einschränkungen für normale Benutzer umgangen werden, kann ein Angreifer Befehle im Betriebssystem des Geldautomaten ausführen. Experten von Positive Technologies schätzen die für diesen Angriff erforderliche Zeit auf 15 Minuten und für gut vorbereitete Angreifer, die die Automatisierung nutzen, noch weniger.

Veraltete Technik macht es den Angreifern unnötig leicht

Wer einen Geldautomaten beim Booten sieht, ist ohnehin oft überrascht über das Alter des jeweiligen Betriebssystems. Offenbar hat es in vielen Fällen ausgereicht, den Geldautomaten mit einem Kleincomputer wie dem Raspberry Pi einer Black-Box-Attacke auszusetzen. Die Geldautomaten liefen dabei unter Windows XP, das security-technisch nicht mehr mit Updates versorgt wird, Windows 7 und 10. Laut einer ähnlichen Analyse des IT-Security-Spezialisten Kaspersky aus dem Jahr 2016 liefen zumindest damals noch rund 90 Prozent aller Geldautomaten unter Windows XP – so dass man auch heute noch davon ausgehen kann, relativ viele Geräte unter dem inzwischen 17 Jahre alten Betriebssystem vorzufinden. Die Verbindung zum Gerät wurde dabei unter anderem über ein aufgebohrtes Gehäuse realisiert. Oftmals waren die Geräte auch über handelsübliche USB-Devices steuerbar, was es Angreifern noch leichter macht, selbst wenn die USB-Ports geschützt angebracht sind.

Unsere Untersuchung zeigt, dass die meisten Geldautomaten keine Beschränkungen haben, um die Verbindung von unbekannten Hardware-Geräten zu unterbrechen. So kann ein Angreifer eine Tastatur oder andere Geräte anschließen, um Benutzereingaben zu imitieren. Bei den meisten Geldautomaten ist es nicht verboten, einige der üblichen Tastenkombinationen für den Zugriff auf gängige Betriebssystemfunktionen zu verwenden. Darüber hinaus waren lokale Sicherheitsrichtlinien häufig falsch konfiguriert oder fehlten ganz. Bei 88 Prozent der Geldautomaten konnten Application Control-Lösungen aufgrund schlechter Whitelists und Schwachstellen umgangen werden.”

Leigh-Anne Galloway, Head of Cyber-Resilience-Technologie bei Positive Technologies

Obwohl die Geldautomatenbesitzer die Hauptlast der Bedrohung durch logische Angriffe tragen, können  auch Bankkunden unter den Geschädigten sein. Das Unternehmen entdeckt nach eigenen Angaben regelmäßig Schwachstellen im Zusammenhang mit der Netzwerksicherheit, unsachgemäßer Konfiguration und schlechtem Schutz von Peripheriegeräten – teure Fehler, für die im Zweifelsfall eine Bank haften muss oder die auf Kosten sämtlicher Kunden gehen. Diese Fehler ermöglichen es Kriminellen, Geldautomaten zu stehlen und Karteninformationen zu erhalten. Doch der finanzielle Schaden ist nur eine Komponente des Ganzen. Was viel wichtiger ist, ist der Vertrauensverlust seitens der Kunden und der damit verbundene Image-Schaden für das Bankhaus, aber auch für terminalgebundene Bankgeschäfte generell.

Um das Angriffsrisiko zu verringern und die Reaktion auf Bedrohungen zu beschleunigen, sollte der erste Schritt die physische Sicherung von Automaten sowie die Implementierung der Protokollierung und Überwachung von Sicherheitsereignissen auf dem Geldautomaten und der zugehörigen Infrastruktur sein. Eine regelmäßige Sicherheitsanalyse von ATMs ist wichtig für die rechtzeitige Erkennung und Behebung von Schwachstellen. In diesem Zusammenhang sollten Bankhäuser sich auch mit Schutzvorrichtungen gegen Sprengungen von Bankautomaten beschäftigen, einem weiteren (eher physischem) Sicherheitsproblem, das in den letzten Jahren in Deutschland häufiger geworden ist.

Ein (englischsprachiges) Paper zu den gängigsten IT-basierten Sicherheitsproblemen bei Bankautomaten steht zum kostenlosen Download bereit. tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert