Wegen Windows XP Fast alle Geldautomaten lassen sich kapern
Windows XP und alte Software auf fast allen Bankomaten laden Hacker zur Selbstbedienung ein – einen Internetanschluss braucht es dazu nicht, warnt Kaspersky Lab. Für Kriminelle ist es ein Leichtes, Kundendaten am Geldautomat abzugreifen oder den Bargeldbestand zu leeren.
Der russische Antiviren-Spezialist Kaspersky hat die Sicherheit von Geldautomaten untersucht und kommt zu einem vernichtenden Ergebnis: Fast alle Bankomaten weltweit sind überhaupt nicht gegen Hackerangriffe geschützt. Der Grund dafür sind veraltete Software und Mängel bei der Anschluss-Sicherheit.
Auf fast 95 Prozent aller Maschinen läuft das Uraltsystem Windows XP. Sicherheitsupdates für das Betriebssystem und zuverlässige Drittsoftware gibt es aber seit mehr als einem Jahr nicht mehr, teilte Kaspersky mit. Als Folge gebe es auf vielen Automaten Sicherheitslücken, die das entfernte Ausführen von Schadcode ermöglichen würden, heißt es in dem Analysetext.
Zehn Jahre alter Adobe Reader auch ein Problem
Viele Geldautomaten verfügen zudem über eine Fernwartungsoftware, und auch eine über zehn Jahre alte und als unsicher eingestufte Version des Adobe Readers konnten die Experten auf vielen Geräten ausmachen.
Dem alten Betriebssystem Windows XP geschuldet sei auch der noch immer verwendete XFS-Standard. Dieser steuert die Interaktion zwischen der Infrastruktur, der Hardware sowie den Barauszahlungs- und Kreditkartenprozess. Er sei hoffnungslos veraltet und unsicher, schreiben die Sicherheitsexperten. Eine Autorisierung von Befehlen sei nicht erforderlich. Das habe zur Folge, dass ein Hacker nahezu die komplette Kontrolle über Geräte erhalten kann. PIN-Pad-Eingaben oder Kartendaten könnten so ausgelesen und Geld ausgeworfen werden.
Mängel bei der Anschluss-Sicherheit
Für Kriminelle ist es offenbar keine Herausforderung, die Geldautomaten direkt vor Ort anzuzapfen. Denn die dafür nötigen Anschlüsse waren häufig frei zugänglich gewesen, was Kaspersky Lab mit Fotos belegt.
Dass Bankräuber heutzutage lieber zum USB-Stick statt zur Pistole greifen, zeigt ein Fahndungsaufruf der Berliner Polizei im Herbst 2015. In der Bundeshauptstadt knackte ein Mann mit dem USB-Stick zwei Geldautomaten und hob höhere Geldbeträge ab. In Europa sollen bislang 15 dieser sogenannten "Jackpot-Angriffe" erfolgt sein, zitiert der Sicherheits-Journalist Brian Krebs den aktuellen ATM-Malware-Bericht von Trend Micro und European Cybercrime Center (EC3).
Hersteller sollen Geldautomaten absichern
Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem, den veralteten XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und Software einzuführen. Die Experten raten außerdem zu einer Art "authentifizierter Geldausgabe", gehen dabei aber nicht weiter ins Detail. Auch raten sie zu einer "Implementierung von Verschlüsselungsschutz und Identitätskontrolle von Daten". Dies soll unterbinden, dass Bankräuber ihre Einbruchswerkzeuge etwa von einem USB-Stick auf den PC im Geldautomat übertragen können.