Der russische Anti-Viren-Spezialist Kaspersky Lab hat die Sicherheit von Geldautomaten untersucht und kommt zu einem vernichtenden Ergebnis: Demnach sind fast alle Geräte aus einer Reihe von Gründen sowohl für einen direkten physischen Zugriff als auch für entfernte Angriffe anfällig.

Ein wesentlicher Grund ist laut der auch auf deutsch veröffentlichten Analyse, dass auf fast 95 Prozent aller Geräte Windows XP zum Einsatz kommt. XP wird von Microsoft allerdings schon seit 2014 nicht mehr mit Sicherheitsupdates versorgt. Seitdem entdeckte Sicherheitslücken (Zero-Day-Exploits) bieten Angreifern daher die Möglichkeit, Zugriff auf das Betriebssystem und somit auch auf die Steuersoftware zu erlangen. Zudem seien auf vielen Geldautomaten unnötige Programme installiert, die weitere Angriffsmöglichkeiten bieten, etwa Adobes Acrobat Reader.

Außer der Software sei oftmals auch die Verbindung zwischen PC und Tastatureingabefeld nur unzureichend geschützt. Zwar würden die Sicherheitstastaturen die Eingaben noch verschlüsseln, bevor diese an die Steuersoftware übergeben werden, doch könnten sich Angreifer per Man-in-the-Middle-Attacke als Geldautomaten-PC ausgeben und das Pin-Pad per Befehl anweisen, fortan alle Tasteneingaben im Klartext zu übergeben.

Laut Kaspersky sind zudem manipulierte Versionen der Analyse-Tools im Umlauf, die Ingenieure für die Wartung der Geldautomaten einsetzen. Damit könne man sich sogar Zugang zum "Safe" genannten Teil des Geldautomaten verschaffen, also jenem besonders geschützten Bereich, der das Bargeld sowie das Ein- und Auszahlmodul enthält.

Neben weiteren haarsträubenden Sicherheitsrisiken bemängelt Kaspersky außerdem die nicht selten unverschlüsselten Datenverbindungen zwischen Geldautomaten und Bank-Servern, worüber auch Kundendaten im Klartext übertragen würden. Der Zugriff auf die Netzwerkschnittstellen sei für Kriminelle ebenfalls keine Herausforderung, da die Schnittstellen häufig frei zugänglich seien.

Zur Verbesserung der Sicherung von Geldautomaten schlägt Kaspersky Banken und Herstellern vor, den XFS-Standard mit Schwerpunkt auf physischer Sicherheit zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen.

Darüber hinaus rät der AV-Hersteller zu einer Art "authentifizierter Geldausgabe" sowie zur "Implementierung von Verschlüsselungsschutz und Identitätskontrolle von Daten, die zwischen Hardware-Einheiten und den PCs im Geldautomat übertragen werden". (jra)