HOME

Schlupflöcher für Kriminelle: Darum sind Geldautomaten so unsicher

Ein Sicherheitsunternehmen warnt vor unsicheren Geldautomaten. Immer wieder gelingt es Kriminellen, Geldautomaten mit Schadsoftware zu plündern und Daten der Bankkunden auszulesen.

Fast alle Geldautomaten sind unsicher, heißt es in einem Bericht des Sicherheitsunternehmens Kaspersky

Fast alle Geldautomaten sind unsicher, heißt es in einem Bericht des Sicherheitsunternehmens Kaspersky

In Deutschland stehen rund 60.000 Goldautomaten. Und ein Großteil davon ist extrem unsicher, wie das Security-Unternehmen Kaspersky in einem neuen Report schreibt. Demnach setzt fast jeder Geldautomat unsichere Technik ein, die mit oder ohne Hilfe eines Schadprogramms manipuliert werden kann - und die Banken und Hersteller sind sich dessen bewusst.

Die zwei Schwachstellen der Geldautomaten

Der Kaspersky-Bericht offenbart gleich mehrere Schwachstellen: So gibt es "eine weitverbreitete Nutzung veralteter und unsicherer Software, Fehler in der Netzwerkkonfiguration sowie Mängel bei der physischen Sicherheit von Geldautomaten", schreiben die Sicherheitsexperten. Vor allem zwei wunde Punkte bieten Kriminellen Angriffsfläche: die Software und die physische Sicherheit der Geldautomaten.

Zunächst zur Software. Ein Geldautomat besteht aus mehreren Modulen, etwa dem Tresor zur Bargeldaufbewahrung, der Tastatur zur Eingabe der Geheimdaten, dem Kartenleser und einem PC. Anfang 2014 liefen 95 Prozent der Geldautomaten mit Windows XP. Das Betriebssystem wird seit April 2014 nicht mehr mit Sicherheits-Updates versorgt. Jede neu entdeckte Sicherheitslücke wird so zum Einfallstor für Hacker. Trotzdem läuft Windows XP noch immer auf der "überragenden Mehrheit der Geldautomaten", schreibt Kaspersky.

Zudem basiere die Software, welche den Barauszahlungs- und Kreditkartenprozess steuert, auf dem veralteten und ebenfalls unsicheren XFS-Standard. Gelingt es einem Hacker, einen Schädling auf dem Automaten zu installieren, hat er nahezu auf das gesamte Gerät inklusive aller Module Zugriff. So könne man nicht nur Geld auswerfen, sondern auch die PIN-Feld-Eingaben auslesen und die Kartendaten speichern.

Unsichere Geräte

Doch Kriminelle verschaffen sich nicht nur mit Malware Zugriff auf die Automaten. Auch die Geräte selbst seien nicht ausreichend gegen Fremdzugriff gesichert, schreiben die Experten. Viele Steuerungskomponenten seien - anders als die Geldausgabeeinheit - meist mit einem einfachen Schloss gesichert. Man könne "sowohl Schlösser als Satz oder auch einzelne Schlüssel problemlos im Internet bestellen, da jeder Hersteller für seine Geräte gleichartige Schlösser installiert. Die meisten Banken kommen nicht auf die Idee, sie gegen individuelle auszutauschen", heißt es in dem Bericht.

Haben die Kriminellen Zugriff auf die Steuerungskomponenten, können sie einen speziellen Minicomputer (eine sogenannte Black-Box) installieren, um die Fernkontrolle über den Automaten zu erlangen.

Wenige Fälle von Geldautomat-Hacking

Sollte der Kaspersky-Bericht der Wahrheit entsprechen, wäre das ein Armutszeugnis für die Banken. Dabei würden bereits einfache Schritte helfen: So müsste der unsichere XFS-Standard "mit einem Schwerpunkt auf dem Bereich physische Sicherheit überarbeitet und Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software eingeführt werden", raten die Experten. Außerdem müsste es eine "authentifizierte Geldausgabe", eine Implementierung von Verschlüsselungsschutz und Identitätskontrollen von Daten geben.

Trotz der massiven Sicherheitslücken wurden bislang nur vergleichsweise wenige Geräte auf diese Weise gehackt. Laut dem Technikportal "Golem" gab es bis vergangenen Oktober etwa 20 Fälle von Geldautomaten-Hacking in Europa, bei denen die Sicherheitsbarrieren der Automaten durch einen USB-Stick überlistet wurden.