Viel Beachtung fand vor einigen Jahren das "ATM Chashing" bei einer Veranstaltung des Bochumer Antivirenherstellers G Data: Ein Sicherheitsexperte zeigte, wie leicht sich mittels eines USB-Sticks Schadsoftware auf einen Geldautomaten bringen lässt, den man dann bequem zum Ausspucken seines Inhalts bringen lassen kann – nahezu ohne Spuren einer Manipulation zu hinterlassen. Die Schwachstellen sind seit Jahres bekannt, nur abgestellt sind sie nicht, wie ein neuer Test der IT-Sicherheitsfirma Positive Technologies zeigt.
26 Geldautomaten der Hersteller NCR, Diebold Nixdorf und GRGBanking haben sich die Experten vorgenommen und waren dabei höchst erfolgreich. Die Methoden, wie sich die Automaten austricksen lassen, sind je nach Modell verschieden. Skimming oder Spoofing heißen die Fachbegriffe dafür.
85 Prozent der Automaten waren gegen Netzwerkattacken nur unzureichend geschützt. Man konnte entweder die Ethernetverbindung physisch manipulieren oder die Funkverbindung zu den Routern angreifen und die Geräte aus der Ferne steuern. Weniger als 15 Minuten haben die Experten dafür gebraucht.
Fünf Minuten weniger brauchten die Tester für so genannte "Black Box"-Angriffe. Gehäuse aufbohren, den Minicomputer Raspberry Pie über die am Geldausgabeschacht angebrachten Kabel anschließen, schon kann man den Automaten "chashen" – also einen Befehl zur Geldausgabe eingeben. Fast 70 Prozent der Automaten waren dafür anfällig.
Bei den meisten Geräten waren die Festplatten nicht verschlüsselt oder das BIOS im Speicher der Hauptplatine kaum geschützt. Da viele Automaten noch auf Windows XP laufen, für das Microsoft schon seit Jahren seine Sicherheitsupdates mehr zur Verfügung stellt, haben die Tester leichtes Spiel gehabt. Auch ein Angriff über die in den meisten Geldautomaten befindliche USB-Schnittstelle war oft erfolgreich. Gängige Tastenkombinationen wie Alt+F4 schlossen aktive Fenster und deaktivierten voreingestellte Modi. Zudem sei es bei fast jedem Automaten möglich gewesen, Kartendaten bei der Übertragung zum Betriebssystem abzufangen.
Zudem verwiesen die Experten auf eine besondere Nachlässigkeit: "Zero Days"-Schwachstellen in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore).
Fazit des Bundeskriminalamts aus dem Jahresbericht 2017: 268 Geldautomaten wurden bundesweit gesprengt, 500 dagegen per Skimming-Angriff geleert. Ein großes Geschäft für Hacker sind Geldautomaten-Angriffe trotzdem nicht. Zwischen 100.000 und 200.000 Euro befinden sich in einem Automaten, das komplette Chashing aller Geldscheine kann schon einmal mehr als eine halbe Stunde dauern, weshalb Hacker auch meist nur spät Nachts zuschlagen, wenn mit keinem Kundenbesuch zun rechnen ist. Laut BKA erbeuteten die Geldautomaten-Hacker vergangenes Jahr 2,2 Millionen Euro, Schwerpunk der Angriffe war Berlin.
Bildquelle: BKA
