Experten warnen: Fast jeder Geldautomat kann gehackt werden

29. April 2016, 12:10
50 Postings

Kaspersky übt scharfe Kritik an mangelnder Sicherheit – Allermeiste Geräte laufen weiter mit Windows XP

Deutliche Worte findet der Sicherheitsdienstleister Kaspersky zum Status Quo von Geldautomaten. Beinahe jeder Geldautomat weltweit lasse sich auf elektronischem Wege knacken, lautet das Verdikt einer aktuellen Untersuchung des Unternehmens.

Windows XP

Grund dafür sei eine auf vielen Ebenen mangelhafte Sicherheitspolitik der Anbieter solcher Geräte. Bereits Anfang 2014 hatte ein Statistik belegt, dass 95 Prozent aller Geldautomaten mit Windows XP laufen, seitdem habe sich an dieser Situation wenig geändert. Da Microsoft schon seit zwei Jahren keine Updates mehr für Windows XP liefere, gebe es mittlerweile einige bekannte Lücken, über die das System angegriffen werden könne. Darunter etwa MS08-067, ein Fehler, der das Ausführen von Code aus der Ferne ermögliche.

Standard

Ein weiteres Problem sei, dass Geldautomaten bis heute den veralteten XFS-Standard benutzen, der aktuellen Sicherheitsansprüchen schon lange nicht mehr genüge. Dadurch sei es jeder auf einem Geldautomaten installierten Anwendung möglich, beliebige Befehle an eine beliebige Hardwareeinheit auszugeben – also etwa die Bargeldausgabe zu steuern oder auch am Kartenleser die entsprechenden Informationen abzufragen. Auch die PIN-Ausgabe ließe sich damit natürlich leicht überwachen.

Annäherung

Die Hersteller solcher Geräte argumentieren gerne damit, dass Geldautomaten physisch gut abgesichert sind. Dieser Behauptung widerspricht Kaspersky allerdings ebenfalls. In vielen Fällen sei es sehr einfach, an den im Gehäuse installierten PC zu gelangen, da die Hersteller hier offenbar keinen sonderlichen Wert auf Sicherheit gelegt hätten. Entsprechend Schlüssel ließen sich leicht über das Internet besorgen, da die Anbieter gleichartige Schlösser verbaut haben. Die Geldausgabeeinheit sei zwar physisch besser abgesichert, dies bringe aber wenig, wenn sie sich elektronisch steuern lasse.

Beispielhaft

Dass es sich bei all dem nicht bloß um reine Theorie handelt, hatte sich im Vorjahr in Deutschland gezeigt, wie Golem.de anfügt. Damals war eines einem unbekannten Täter gelungen zwei Geldautomaten mittels eines USB-Sticks zu knacken und ihn zur Herausgabe des gesamten Kasseninhalts zu bringen.

Aufforderung

Kaspersky sieht jedenfalls dringenden Handlungsbedarf bei den Anbietern solcher Geräte. Der XFS-Standard müsse endlich überarbeitet werden, auch die Nutzung von Zwei-Faktor-Authentifizierung sei notwendig, um die Ausführung illegitimer Software zu verhindern. Außerdem brauche es eine "authentifizierte Geldausgabe", um zu verhindern, dass gefälschte Prozesszentralen einen Angriff durchführen können.

Einschätzung

Zu befürchten bleibt allerdings, dass die Warnungen von Kaspersky ungehört verhallen werden. Immerhin sind viele dieser Defizite seit längerem bekannt, eine Reaktion der Hersteller gab es bisher nur in den seltensten Fällen. Dabei verweist man zudem lieber auf Zahlen, die zeigen, dass bisher gerade einmal 20 Fälle bekannt sind, in denen Geldautomaten mittels USB-Stick gehackt wurden. (red, 29.4.2016)

  • Geldautomaten bieten ein einfaches Ziel für Hacker, meint er Sicherheitsdienstleister Kaspersky.
    foto: apa/helmut fohringer

    Geldautomaten bieten ein einfaches Ziel für Hacker, meint er Sicherheitsdienstleister Kaspersky.

Share if you care.