Bankautomaten führender Hersteller bieten noch immer zahlreiche Angriffsflächen, die von Kriminellen innerhalb weniger Minuten vor Ort oder aus der Ferne ausgenutzt werden können. Dies hat die IT-Sicherheitsfirma Positive Technologies in einem Test von 26 Geldausgabemaschinen der Produzenten NCR, Diebold Nixdorf und GRGBanking herausgefunden.

Die entdeckten Schwachstellen stehen im Zusammenhang mit Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder einem mangelnden Schutz von Schnittstellen. Die getesteten Angriffsmethoden umfassten mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden ("Skimming").

Weniger als 15 Minuten

85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Dazu war teils ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen.

Insgesamt solle es möglich gewesen sein, bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte ließen sich fernsteuern. Um die entsprechenden Angriffe auf das Netzwerk durchzuführen, hätten die Prüfer in der Regel weniger als 15 Minuten gebraucht.

Windows XP

Mit durchschnittlich zehn Minuten gelangen den IT-Spezialisten nach eigenen Angaben "Black Box"-Attacken. Dabei verknüpfen Angreifer das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware können sie Befehle an die Kontrolleinheit schicken, damit diese Banknoten freigibt. 69 Prozent der einbezogenen Automaten waren für derlei Angriffe anfällig, bei 19 Prozent soll es gar keinen Schutz dagegen gegeben haben.

Bei 92 Prozent der Geräten war dem Bericht nach die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. So sei es möglich gewesen, innerhalb von weniger als 20 Minuten den internen Rechner über eine eigene Festplatte zu starten und das Betriebssystem zu kontrollieren. Damit habe sich Geld abheben oder Skimming durchführen lassen. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt, Windows 7 und Windows 10.

Angriff über USB

Den "Kiosk-Modus" mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und so ebenfalls eigene Befehle an das Betriebssystem senden. Die meisten Automaten erlaubten es, eigene Geräte oder Tastaturen etwa über USB-Schnittstellen anzuschließen. Über die Eingabe gängiger Tastenkombinationen wie Alt+F4 zum Schließen eines aktiven Fensters habe sich darüber der voreingestellte Modus deaktivieren lassen. Auch Software von Drittanbietern habe Fehler enthalten, die man mit entsprechenden Ergebnissen habe ausnutzen können. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurde.

Während der Analyse stießen die Tester ihren Angaben zufolge auf besonders gravierende "Zero Days"-Schwachstellen in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore). Der russische Anti-Viren-Spezialist Kaspersky hatte 2016 in einem eigenen Bericht darauf hingewiesen, dass fast alle gängigen Bankautomaten unsicher seien.

Laut Positive Technologies sind die darauf eingesetzten Sicherheitsmechanismen nicht mehr als ein "Ärgernis" für Angreifer, da sie fast immer in recht kurzer Zeit zu umgehen seien. Da Banken die Geräte oft in großer Zahl gleich konfigurierten, könne eine erfolgreiche Attacke einfach im großen Maßstab wiederholt werden. Die Spezialisten raten Finanzinstituten, vor allem den physischen Zugriff auf die Automaten zu erschweren. Zudem sollten Sicherheitsvorfälle zumindest besser protokolliert werden, um schneller darauf reagieren zu können. (vbr)