7 Gründe warum es nur allzu leicht ist einen Geldautomaten zu hacken

Wie steht es um die Sicherheit von Geldautomaten und was können Banken tun?

Geldautomaten sind seit jeher ein beliebtes Ziel von Kriminellen. Früher kamen beim Bankraub schwere Geschütze wie Schneidbrenner oder Sprengstoff zum Einsatz. Mit dem Anbruch des digitalen Zeitalters, hat sich diesbezüglich einiges geändert. Heute können Täter einen Bankautomaten ganz ohne Spezialeffekte „leerräumen“.

Auf der SAS 2016 hat Olga Kochetova, Penetrationstest-Spezialistin bei Kaspersky Lab, in ihrem Vortrag „Malware- und Hardware-Möglichkeiten einen Bankautomaten zu knacken“ erklärt, warum Geldausgabeautomaten so leicht angreifbar sind.

1. Zunächst einmal sind Geldautomaten im Wesentlichen Computer. Sie bestehen aus mehreren elektronischen Untersystemen, einschließlich einiger ungeläufiger Industrieregler, aber das Herzstück jedes Bankautomaten ist immer ein herkömmlicher PC.

2. Dieser PC wird höchstwahrscheinlich von einem relativ alten Betriebssystem wie Windows XP aus gesteuert. Und wie Sie wahrscheinlich wissen, gibt es ein Problem mit Windows XP: Das Betriebssystem wird nicht mehr von Microsoft unterstützt, so dass jegliche Sicherheitsschwachstellen, die entdeckt wurden, nachdem der Service eingestellt worden ist, dauerhaft bestehen bleiben und nicht behoben werden.

3. Darüber hinaus ist es sehr wahrscheinlich, dass anfällige Software auf dem Betriebssystem installiert ist. Das reicht von veralteten Flash Playern mit über 9000 weitbekannten Sicherheitslücken zu Fernverwaltungsprogrammen und viel mehr.

4. Hersteller von Geldautomaten gehen davon aus, dass ihre Geräte immer unter „normalen Bedingungen“ in Betrieb sind und nie etwas schief geht. Daher ist auf den Automaten oftmals kein Kontrollsystem installiert, das überprüft, dass Programme fehlerfrei sind, keine Antivirensoftware und keine Authentifizierung von Applikationen, die Befehle an Geldausgabeautomaten schicken.

5. Im Gegensatz zur Bareinzahlungs- und Geldausgabevorrichtung, die grundsätzlich sorgfältig gepanzert und verschlossen ist, ist der PC-Teil eines Geldautomaten leicht zugänglich. Das Gehäuse ist in der Regel aus Plastik gefertigt, oder bestenfalls aus dünnem Metall, und mit Schlössern abgesichert, die zu simpel sind, um Kriminelle tatsächlich abzuhalten. Hersteller von Bankautomaten scheinen der Auffassung zu sein, dass wo kein Geld enthalten ist, auch keine spezielle Sicherheitsvorrichtung notwendig sei.

6. Die Module von Geldautomaten sind über Standardschnittstellen wie COM und USB miteinander verbunden. Diese Schnittstellen sind mitunter von außerhalb des Gehäuses zugänglich. Und selbst wenn das nicht der Fall ist, besteht immer noch das zuvor genannte Sicherheitsrisiko.

7. Geldautomaten müssen zwangsläufig miteinander verbunden sein und sind es dementsprechend auch. Da das Internet in der heutigen Zeit die kostengünstigsten Kommunikationsmöglichkeiten bietet, vernetzen Banken Geldautomaten über das Internet mit den Bearbeitungszentren. Und — hätten Sie’s gedacht? — man kann Geldautomaten über Shodan finden!

Wenn man alle oben genannten Punkte bedenkt, bieten Bankautomaten eine Vielzahl an Möglichkeiten für Kriminelle. Sie können beispielsweise eine Malware programmieren, sie auf dem System des Geldautomaten installieren und abkassieren. Trojaner dieser Art, die speziell für Bankautomaten entwickelt wurden, kommen regelmäßig auf. Vor einem Jahr haben wir beispielsweise einen Trojaner namens Tyupkin entdeckt.

Eine andere Möglichkeit, einen Geldautomaten zu hacken, ist zusätzliche Hardware einzusetzen, die über die USB-Schnittstelle mit dem Bankautomaten verbunden wird. Den Machbarkeitsnachweis lieferten Olga Kochetova und Alexey Osipov mithilfe eines günstigen kleinen Einplatinencomputers — einem Raspberry Pi mit Wi-Fi-Adapter und Batterie. Sehen Sie im Video unten, was daraufhin passiert.

Attacken über das World Wide Web sind sogar noch gefährlicher. Täter können Fake-Bearbeitungszentren schaffen oder ein tatsächliches Bearbeitungszentrum besetzen. Auf diese Weise können Kriminelle viele Geldautomaten ausrauben, ohne sich physisch Zugang zu deren Hardware zu verschaffen. Und genau das haben die Hacker der Carbanak-Gruppe geschafft: sie haben Zugriff auf kritische PCs in den Netzwerken der Banken erlangt und konnten daraufhin Befehle direkt an die Geldautomaten schicken.

Alles in allem sollten sich Banken und Hersteller von Geldautomaten mehr Gedanken über die Sicherheit von Geldausgabeautomaten machen. Dabei sollten sie sowohl bezüglich der Software- als auch bezüglich der Hardwareprobleme entsprechende Sicherheitsmaßnahmen treffen, eine sicherere Netzwerkinfrastruktur schaffen und so weiter. Ebenso ist es wichtig, dass Banken und Hersteller schneller auf Bedrohungen reagieren und enger mit Strafverfolgungsbehörden und Sicherheitsfirmen zusammnarbeiten.

 

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.