News

Eleganter Bankraub – manche Geldautomaten lassen sich in weniger als 20 Minuten hacken

Viele Geldautomaten weisen Sicherheitslücken auf. (Bild: Andrey Arkusha / Shutterstock)

Innerhalb weniger Minuten lassen sich viele gängige Geldautomaten hacken. Eine Studie eines IT-Sicherheitsunternehmens hat jetzt aufgedeckt, dass dahinter oftmals Leichtsinn der Banken steckt.

Es klingt wie in einem zweitklassigen Film oder einer Vorabendserie: Einen kleinen Computer anschließen und der Geldautomat spuckt Scheine aus. Doch genau das geht mit entsprechendem Know-how und reichlich krimineller Energie, wie die IT-Sicherheitsfirma Positive Technologies erklärt. Das Unternehmen hat 26 Geldautomaten gängiger Hersteller auf Schwachstellen getestet und viele gefunden. Unterm Strich waren 69 Prozent der Geldautomaten für Blackbox-Angriffe empfänglich. Kriminelle konnten sich beispielsweise mit dem Geldausgabemechanismus der Geräte verbinden und dafür sorgen, dass diese Geldscheine rausrücken. Wahlweise konnte dabei der Ausgabebetrag manipuliert werden oder gänzlich ohne Karte gearbeitet werden.

Wie das Unternehmen mitteilt, seien die meisten der gängigen Geräte im In- und Ausland (die Rede ist von 85 Prozent) nur unzureichend vor Netzwerkangriffen wie dem Spoofing des Rechenzentrums geschützt. So können Kriminelle den Transaktionsbestätigungsprozess stören und eine Antwort des Rechenzentrums vortäuschen, um einen höheren Auszahlungsantrag zu genehmigen oder die Anzahl der auszugebenden Banknoten zu erhöhen.

Banking 2018: Unverschlüsselte Festplatten und unsichere Windows-Versionen

Benötigt würden für solche Angriffe einfache Kleincomputer wie ein Raspberry Pi. Der Bericht beschreibt auch Szenarien mit Angriffen auf GSM-Modems, die mit den Geräten verbunden sind. Dabei geht es nicht nur um einen bestimmten Geldautomaten – Angreifer können sich auch Zugang zu anderen Automaten im gleichen Netzwerk verschaffen. Oftmals waren die Geräte auch über handelsübliche USB-Devices steuerbar, was es Angreifern noch leichter macht, selbst wenn die USB-Ports geschützt angebracht sind. In anderen Fällen wurden die Gehäuse angebohrt, was sicherlich selbst außerhalb der Öffnungszeiten mehr Aufsehen verursacht. Nachdem man aber weiß, dass selbst einer gestürzten Person im Eingang einer Bank unter Umständen über längere Zeit nicht geholfen wird, ist es unwahrscheinlich, dass bei ein paar geschäftigen Personen in Monteurskleidung schnell Verdacht geschöpft würde.

Eine Reihe von Angriffsszenarien funktioniere auch aufgrund von Fehlern bei der Implementierung der Festplattenverschlüsselung. Dabei wäre es möglich, auf die Festplatte des Geldautomaten zuzugreifen und die dort gespeicherten persönlichen Daten der letzten Kunden abzugreifen. Zusätzlich ließe sich hier Malware einschleusen. Allerdings ist das schon sehr leichtsinnig, wenn solche Inhalte nicht verschlüsselt sein sollten. In welchem Umfang das bei deutschen Banken möglich ist, schlüsselt das Unternehmen freilich nicht genauer auf. Möglich war laut Positive Technologies auch der Zugriff über den Kiosk-Mode des Betriebssystems – und das immerhin bei drei von vier untersuchten Geräten. So könnte ein Angreifer Befehle im Betriebssystem des Geldautomaten ausführen.

Wer einen Geldautomaten sieht, der gerade bootet, trifft oftmals auf reichlich alte Betriebssysteme, etwa Windows XP, das security-technisch nicht mehr mit Updates versorgt wird. Laut einer ähnlichen Analyse des IT-Security-Spezialisten Kaspersky aus dem Jahr 2016 liefen zumindest damals noch rund 90 Prozent aller Geldautomaten unter dem Betriebssystem, das inzwischen immerhin 17 Jahre auf dem Buckel hat.

Unsichere Geldautomaten: Datendiebstahl kann teuer werden

Die Geschädigten sind in solchen Fällen die Banken selbst, aber auch die Bankkunden, insbesondere wenn deren Daten abgegriffen und anderweitig genutzt oder gar weiterverkauft wurden. Doch auch die Bank hätte in einem solchen Fall ein veritables Imageproblem, insbesondere dann, wenn es sich um mehr als nur Einzelfälle handeln würde. Erschreckend ist es in diesem Zusammenhang, wie einfach es den Kriminellen in vielerlei Hinsicht offenbar gemacht wird. Hier würde es den Banken und den Herstellern von Geldautomaten gut zu Gesicht stehen, wenn sie sich auf eine Checkliste oder Selbstverpflichtung einigen könnten, es den Kriminellen zumindest so schwer wie möglich machen, Schäden anzurichten. Schließlich haben bereits im Januar der US-Geheimdienst sowie die großen Geldautomatenhersteller vor der Bedrohung gewarnt. Die ersten Berichte über ATM-Malware-Angriffe gehen auf das Jahr 2009 zurück.

Das könnte dich auch interessieren:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung