Anzeige

Anzeige

VERANSTALTUNGEN

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

GeldautomatEnde des Jahres werden die Zahlungen von Kredit- oder Bankkarten erstmals in der Geschichte die Verwendung von Bargeld übersteigen. Obwohl die Popularität der elektronischen Zahlungen weiter wächst, wird uns das Bargeld noch lange erhalten bleiben.

Da die Banken ihr Netz an Filialen immer weiter reduzieren, werden immer häufiger Automaten diese Lücke füllen. So werden Geldautomaten (ATM) auch weiterhin Bestandteil des Bankenökosystems sein. Daher ist eine Diskussion darüber nötig, wie sie besser gegen IT-Kriminelle geschützt werden können.

Geldautomaten immer beliebter als Angriffsziel

Zu ersten physischen Angriffen auf Geldautomaten kam es schon in den späten 1960er Jahren. In jüngerer Zeit wurden ATMs auch logischen Angriffen ausgesetzt. Die ersten gemeldeten Fälle von Malware auf Geldautomaten traten im Jahr 2009 auf, als Skimer in Europa auftauchte. Seit 2013 ist ATM-Malware bei den Kriminellen immer beliebter geworden. Padpin/Tyupkin, NeoPocket, Suceful, GreenDispenser und Ripper machten Schlagzeilen. Meist ist es das Ziel der Angreifer, Karteninhaberinformationen zu stehlen oder Bargeld direkt abzugeben.

Im Juli 2016 wurden über zwei Millionen US-Dollar von Geldautomaten einer großen Bank in Taiwan gestohlen. Dabei wurde angeblich Malware verwendet, um Bargeld abzuheben. Kurz darauf wurden auch 400.000 US-Dollar an Diebstählen von Geldautomaten in Thailand gemeldet. Die Ripper-Malware ermöglichte es den Dieben, Bargeld mit Hilfe einer speziellen EMV-Chipkarte abzuheben. In beiden Fällen mussten die Banken ihre Geldautomaten deaktivieren, während Untersuchungen stattfanden. Dies sorgte für Unannehmlichkeiten für deren Kunden und führte zu negativer Werbung für die betroffenen Banken.

Aktueller Schutz von Geldautomaten unzureichend

„In den meisten Fällen sind Geldautomaten eine Erweiterung des internen Netzes einer Bank. Einige sind über einen Drittanbieter angebunden, während andere nur ein Teil des Firmennetzwerks der Bank sind. In viel zu vielen Fällen besteht keine echte Trennung des ATMs vom internen Netzwerk“, erklärt Josip Benkovic, Director Public Sector bei Palo Alto Networks. „Folglich kann jeglicher Datenverkehr frei zu und von den Geldautomaten fließen. Beim Angriff in Thailand, so wurde berichtet, wurde das interne Banknetzwerk kompromittiert und eines der eigenen Software-Distributions-Tools der Bank wurde gekapert, um die Malware an die Geldautomaten auszuliefern.“

Best Practices, die von Herstellern und Industriegruppen (z.B. ATM Industry Association, European ATM Security Team) angeboten werden, fordern generell die Verwendung von Sicherheitsfunktionen wie Anti-Virus, Anti-Malware und Whitelisting zum Schutz der Geldautomaten. Zusätzlich werden auch eine Härtung des zugrundeliegenden Betriebssystems, die Verschlüsselung der Kommunikation und der Einsatz von Firewalls empfohlen. Die Realität ist, dass nicht alle Maßnahmen überall konsequent umgesetzt werden. Darüber hinaus haben sich herkömmliche Anti-Virus-Programme in vielen Fällen in Unternehmensnetzwerken als unwirksam erwiesen. Das Anwendungs-Whitelisting zum Beispiel hätte nicht die Bereitstellung von Malware über den legalen Software-Verteilungsserver bei dem Fall in Thailand verhindert.

Neue Sicherheitsansätze sind erforderlich

Da uns Geldautomaten noch viele Jahre erhalten bleiben werden, muss sich deren Schutz verbessern. Anstatt sich auf ältere Anti-Virus- und Anti-Malware-Lösungen zu verlassen, ist ein erweiterter, intelligenter Endpunktschutz erforderlich. Die aktuellen Empfehlungen von ATM-Herstellern werden den heutigen Bedrohungsszenarien nicht mehr gerecht. Banken sowie ATM-Eigentümer und -Betreiber sollten ihre Zulieferer dazu zwingen, anspruchsvollere Lösungen einzuführen und zu zertifizieren, um zu verhindern, dass Malware und Exploits diese Geräte gefährden. Diese Lösungen können auch Sicherheitsmaßnahmen für den Startvorgang des Geräts oder für Software, die von Wechselmedien ausgeführt wird, einschließen und die Ausführung nur auf autorisiertevSoftware beschränken.

„Allerdings fällt nicht die gesamte Verantwortung auf die ATM-Hersteller und ihre Geräte. Banken, Geldautomatenbesitzer und Betreiber müssen einen mehrschichtigen Schutz für die Geldautomaten bereitstellen. Als externes System sollte der Geldautomat vom internen Firmennetzwerk getrennt werden. Ein gewisses Maß an Netzwerksegmentierung würde bereits die Kommunikation auf bekannte und erwartete Elemente im internen Netzwerk begrenzen. Dies verhindert durchaus effektiv eine seitliche Bewegung der Angreifer von kompromittierten Firmengeräten zu den Geldautomaten. Diese Netzwerksegmentierung ist eine der wichtigsten, aber oft vernachlässigten Praktiken für die Cybersicherheit – und sollte bei ATM-Sicherheit oberstes Gebot sein“, fasst Josip Benkovic abschließend zusammen.

www.paloaltonetworks.com
 

GRID LIST
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…
Richterhammer

Cybersecurity Act - Auf dem Weg zu höherer Cybersicherheit

Gestern stimmte das Europäische Parlament über den "Rechtsakt zur Cybersicherheit", den…