Urlauber sollten sich über die Spesen im Ausland bei ihrer Hausbank erkundigen
Urlauber sollten sich über die Spesen im Ausland bei ihrer Hausbank erkundigen
© APA/HELMUT FOHRINGER

Sicherheit

Kaspersky: Fast jeder Geldautomat unsicher

In den vergangenen Jahren kam es immer wieder zu Angriffen auf Geldautomaten. Laut einer in der vergangenen Woche veröffentlichten Analyse von Kaspersky Lab sind dafür vor allem Software-Probleme und Schwachstellen in der physischen Sicherheit der Automaten verantwortlich.

Windows XP auf vielen Maschinen

Auf Geldautomaten würden häufig veraltete Versionen von Betriebssystemen zum Einsatz kommen, schreiben die Sicherheitsexperten von Kaspersky. Bei der überwiegenden Mehrheit der Automaten komme nach wie vor Windows XP zum Einsatz, Sicherheitsupdates für das Betriebssystem gebe es aber seit mehr als einem Jahr nicht mehr. Als Folge gebe es auf vielen Automaten Sicherheitslücken, die das entfernte Ausführen von Code ermöglichen würden, heißt es in dem Analysetext.

Veralteter Standard

Auch der XFS-Standard, der die Interaktion zwischen der Infrastruktur und weiteren Hardwareeinheiten sowie den Barauszahlungs- und Kreditkartenprozess steuere, sei veraltet und unsicher. Eine Autorisierung von Befehlen sei nicht erforderlich. Das habe zur Folge, dass Schadsoftware nahezu die komplette Kontrolle über Geräte erhalten kann. PIN-Pad-Eingaben oder Kartendaten könnten so ausgelesen und Geld ausgeworfen werden.

Mängel bei der physischen Sicherheit

Daneben gebe es Mängel bei der physischen Sicherheit der Automaten, so die Experten von Kaspersky Lab. Angreifer könnten sich einfach Zugang zu im Gehäuse der Geräte installierten PCs oder zur Netzverkverbindung der Maschinen verschaffen und so die Bankomaten aus der Ferne kontrollieren.

Kaspersky empfiehlt den Herstellern von Geldautomaten unter anderem den veralteten XFS-Standard zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und Software einzuführen. Die Experten raten den Herstellern auch zu einer Art „authentifizierter Geldausgabe“ und zur „Implementierung von Verschlüsselungsschutz und Identitätskontrolle von Daten, die zwischen Hardware-Einheiten und den PCs im Geldautoamt übertragen werden“.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare