Geldautomaten brauchen besseren Schutz vor Cyberkriminellen

GeldautomatEnde des Jahres werden die Zahlungen von Kredit- oder Bankkarten erstmals in der Geschichte die Verwendung von Bargeld übersteigen. Obwohl die Popularität der elektronischen Zahlungen weiter wächst, wird uns das Bargeld noch lange erhalten bleiben.

Da die Banken ihr Netz an Filialen immer weiter reduzieren, werden immer häufiger Automaten diese Lücke füllen. So werden Geldautomaten (ATM) auch weiterhin Bestandteil des Bankenökosystems sein. Daher ist eine Diskussion darüber nötig, wie sie besser gegen IT-Kriminelle geschützt werden können.

Anzeige
Geldautomaten immer beliebter als Angriffsziel

Zu ersten physischen Angriffen auf Geldautomaten kam es schon in den späten 1960er Jahren. In jüngerer Zeit wurden ATMs auch logischen Angriffen ausgesetzt. Die ersten gemeldeten Fälle von Malware auf Geldautomaten traten im Jahr 2009 auf, als Skimer in Europa auftauchte. Seit 2013 ist ATM-Malware bei den Kriminellen immer beliebter geworden. Padpin/Tyupkin, NeoPocket, Suceful, GreenDispenser und Ripper machten Schlagzeilen. Meist ist es das Ziel der Angreifer, Karteninhaberinformationen zu stehlen oder Bargeld direkt abzugeben.

Im Juli 2016 wurden über zwei Millionen US-Dollar von Geldautomaten einer großen Bank in Taiwan gestohlen. Dabei wurde angeblich Malware verwendet, um Bargeld abzuheben. Kurz darauf wurden auch 400.000 US-Dollar an Diebstählen von Geldautomaten in Thailand gemeldet. Die Ripper-Malware ermöglichte es den Dieben, Bargeld mit Hilfe einer speziellen EMV-Chipkarte abzuheben. In beiden Fällen mussten die Banken ihre Geldautomaten deaktivieren, während Untersuchungen stattfanden. Dies sorgte für Unannehmlichkeiten für deren Kunden und führte zu negativer Werbung für die betroffenen Banken.

Aktueller Schutz von Geldautomaten unzureichend

„In den meisten Fällen sind Geldautomaten eine Erweiterung des internen Netzes einer Bank. Einige sind über einen Drittanbieter angebunden, während andere nur ein Teil des Firmennetzwerks der Bank sind. In viel zu vielen Fällen besteht keine echte Trennung des ATMs vom internen Netzwerk“, erklärt Josip Benkovic, Director Public Sector bei Palo Alto Networks. „Folglich kann jeglicher Datenverkehr frei zu und von den Geldautomaten fließen. Beim Angriff in Thailand, so wurde berichtet, wurde das interne Banknetzwerk kompromittiert und eines der eigenen Software-Distributions-Tools der Bank wurde gekapert, um die Malware an die Geldautomaten auszuliefern.“

Best Practices, die von Herstellern und Industriegruppen (z.B. ATM Industry Association, European ATM Security Team) angeboten werden, fordern generell die Verwendung von Sicherheitsfunktionen wie Anti-Virus, Anti-Malware und Whitelisting zum Schutz der Geldautomaten. Zusätzlich werden auch eine Härtung des zugrundeliegenden Betriebssystems, die Verschlüsselung der Kommunikation und der Einsatz von Firewalls empfohlen. Die Realität ist, dass nicht alle Maßnahmen überall konsequent umgesetzt werden. Darüber hinaus haben sich herkömmliche Anti-Virus-Programme in vielen Fällen in Unternehmensnetzwerken als unwirksam erwiesen. Das Anwendungs-Whitelisting zum Beispiel hätte nicht die Bereitstellung von Malware über den legalen Software-Verteilungsserver bei dem Fall in Thailand verhindert.

Neue Sicherheitsansätze sind erforderlich

Da uns Geldautomaten noch viele Jahre erhalten bleiben werden, muss sich deren Schutz verbessern. Anstatt sich auf ältere Anti-Virus- und Anti-Malware-Lösungen zu verlassen, ist ein erweiterter, intelligenter Endpunktschutz erforderlich. Die aktuellen Empfehlungen von ATM-Herstellern werden den heutigen Bedrohungsszenarien nicht mehr gerecht. Banken sowie ATM-Eigentümer und -Betreiber sollten ihre Zulieferer dazu zwingen, anspruchsvollere Lösungen einzuführen und zu zertifizieren, um zu verhindern, dass Malware und Exploits diese Geräte gefährden. Diese Lösungen können auch Sicherheitsmaßnahmen für den Startvorgang des Geräts oder für Software, die von Wechselmedien ausgeführt wird, einschließen und die Ausführung nur auf autorisiertevSoftware beschränken.

„Allerdings fällt nicht die gesamte Verantwortung auf die ATM-Hersteller und ihre Geräte. Banken, Geldautomatenbesitzer und Betreiber müssen einen mehrschichtigen Schutz für die Geldautomaten bereitstellen. Als externes System sollte der Geldautomat vom internen Firmennetzwerk getrennt werden. Ein gewisses Maß an Netzwerksegmentierung würde bereits die Kommunikation auf bekannte und erwartete Elemente im internen Netzwerk begrenzen. Dies verhindert durchaus effektiv eine seitliche Bewegung der Angreifer von kompromittierten Firmengeräten zu den Geldautomaten. Diese Netzwerksegmentierung ist eine der wichtigsten, aber oft vernachlässigten Praktiken für die Cybersicherheit – und sollte bei ATM-Sicherheit oberstes Gebot sein“, fasst Josip Benkovic abschließend zusammen.

www.paloaltonetworks.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.