Ältere Geldautomaten unter Beschuss – IoT zeigt erste Auswirkungen

In ihren globalen Bankautomatennetzen haben Banken einige der dienstältesten Geräte, die über das Internet zugänglich sein sollen. Der erste Geldautomat ging im Jahr 1967 in Betrieb. Einige der ältesten, heute noch im Dienst befindlichen Bankautomaten datieren zurück in eine Zeit weit vor der Jahrtausendwende, als die Netzwerksicherheit noch relativ unausgereift war. Der Schutz von Verbindungen zwischen einer großen Anzahl separater Geldautomaten und den Datenverarbeitungszentren der Banken mithilfe von Virtual Private Networks (VPNs) ist für gewöhnlich der erste Schritt. Dennoch haben etliche Banken noch nicht einmal diese grundlegenden Sicherheitsmaßnahmen ergriffen. Während das Internet der Dinge (IoT) beginnt, sämtliche Geschäftsbereiche zu durchdringen, wird die Notwendigkeit einer Absicherung der Kommunikation von Maschinen – sowohl alter als auch neuer – immer dringender. Beispielsweise gelangen Cyberkriminellen in den vergangenen zwölf Monaten erfolgreiche Remote-Angriffe auf Bankautomaten. Dies zeigt deutlich, wie wichtig eine sichere Fernanbindung für M2M-Umgebungen (Machine-to-Machine) geworden ist.

Technologie aus dem 20. Jahrhundert

Der allererste Geldautomat wurde vor 50 Jahren in einer Londoner Filiale der Barclays Bank enthüllt. In all den darauffolgenden Jahren haben sich die Grundelemente, aus denen ein Geldautomat besteht, kaum verändert. Noch immer sind Bankautomaten aus dem 20. Jahrhundert bei vielen Banken in täglichem Gebrauch. Die Verwendung veralteter, unsicherer Software ist weitverbreitet und Fehler bei der Netzwerkkonfiguration sind üblich. Gleichzeitig sind entscheidende physische Komponenten häufig nicht ordnungsgemäß abgesichert.Derweil werden immer mehr Geldautomaten ins Internet der Dinge eingebunden. Angreifbare Geräte sind leicht zu finden, wenn man weiß, wo man suchen muss – etwa über eine IoT-Suchmaschine wie zum Beispiel Shodan. Ohne adäquat geschützte Verbindungen ist Gelddiebstahl vom Bankautomaten ein Kinderspiel.

Remote-Angriffe auf Bankautomaten

Im Jahr 2016 gab es Malware-Angriffe auf Banken in Großbritannien, Russland, den Niederlanden und in Malaysia. Dadurch konnten Cyberkriminelle die Kontrolle über Bankautomaten übernehmen. Die Technik dabei, das sogenannte Touchless Jackpotting, erfordert keine physische Manipulation der Geräte. Sie erlaubt Cyberkriminellen die Ausführung von Remote-Angriffen auf mangelhaft geschützte Geldautomaten über das globale Geldautomatennetz von überall auf der Welt – vollends unentdeckt von Sicherheitsdiensten. Die Anzahl der berührungslosen Angriffe auf Geldautomaten steigt ständig. Laut European ATM Crime Report wurden in der ersten Jahreshälfte von 2016 28 Vorfälle gemeldet – ein Anstieg gegenüber dem gleichen Zeitraum in 2015, in dem fünf Vorfälle zu verzeichnen waren.

Netzwerkschutz

Die Sicherheitsbedrohung für Geldautomaten gleicht allen anderen Netzwerkbedrohungen mit einer Ausnahme: Die Diebe suchen aktiv nach Geräten, die in irgendeiner Weise angreifbar sind. Insbesondere ältere, erst kürzlich in M2M-Umgebungen eingebundene Bankautomaten sind gefährdet. Ungeachtet der überaus strengen regulatorischen Auflagen und der Attraktivität für Cyberkriminelle scheint das Retail Banking sich hinsichtlich der schnellen Umsetzung von IoT bei einem gleichzeitigen Hinterherhinken umfassender Sicherheitsmaßnahmen nicht von anderen Geschäftssegmenten zu unterscheiden. Einige der für Bedrohungen anfälligsten Geldautomaten verfügen aus den unterschiedlichsten Gründen immer noch über keinerlei Netzwerkschutz. Es gibt viele Möglichkeiten zur Absicherung der Verbindungen zwischen Bankautomaten und den Datenverarbeitungszentren der Banken. Zu den Optionen gehören unter anderem auch die Absicherung mithilfe von Firewalls oder MAC-Authentifizierung (Nachrichtenauthentifizierungscode) und natürlich VPNs.

Sicherung der Geldautomatenanbindung mithilfe von VPN

Im Allgemeinen wird in Geldautomatennetzen eine erweiterte Verschlüsselung verwendet, um den Austausch sensibler Finanzdaten zu schützen. Hingegen zeigt die Zunahme der Betrugsdelikte im Zusammenhang mit Geldautomaten, dass etliche Banken diesbezüglich noch viel Arbeit vor sich haben. Die Absicherung von Geldautomaten mit VPNs beinhaltet vier wesentliche Faktoren:

Automatische bzw. Always-On-Konnektivität: Dabei verbindet sich der VPN-Client automatisch mit dem VPN und diese Verbindung bleibt bestehen. Sollte die Verbindung unterbrochen werden — beispielsweise aufgrund von Netzwerkproblemen — versucht der VPN-Client, die Sitzung wieder herzustellen, sobald die Datenverbindung erneut verfügbar ist.

Authentifizierung: Bekanntermaßen erfolgt die Autorisierung von Transaktionen an Geldautomaten durch Authentifizierung mit zwei oder drei menschlichen Faktoren, und zwar der Bankkarte des Kunden, seiner einzigartigen PIN und manchmal seinem Fingerabdruck oder Retina-Scan. Bei modernen Bankautomaten bietet die Smartcard des Kunden – in Verbindung mit einem in der Maschine installierten Smartcard-Reader – eine zusätzliche Sicherheitsschicht zur Unterstützung der digitalen Komponente im Authentifizierungsprozess.

Management: Äußerst wünschenswert ist ein zentrales Management der VPN-Verbindungen von Geldautomaten. Mit einem VPN-Management-Tool können Konfigurations-Updates, Software-Upgrades sowie die Verwaltung von Zertifikaten durch IT-Administratoren remote durchgeführt werden. Die einzige Alternative ist eine manuelle Aktualisierung mithilfe eines Speichersticks oder einer CD. Dies erfordert, dass jemand physikalischen Zugang zu jeder Maschine erhält. Damit wird eventuell jemandem mit kriminellen Absichten eine Gelegenheit gegeben, Zugriff auf die Maschine zu bekommen, schädliche Software einzuschleusen oder ein Gerät im Inneren der Maschine anzubringen und so die Kontrolle über sie zu übernehmen.

Hohe Verfügbarkeit: Es darf niemals zu einem Ausfall der Verbindungen zwischen in Bankfilialen oder in Einzelhandelsgeschäften befindlichen Geldautomaten und dem Hauptnetzwerk kommen. Ein professionelles, durch mehrere Backup-Systeme gestütztes VPN-System sorgt für hohe Netzwerkverfügbarkeit.

Fazit: Die weltweiten Bankautomatennetze entwickeln sich schnell zu Machine-to-Machine-Umgebungen. Das Alter einiger Geldautomaten und die auf ihnen installierte primitive Software machen sie angreifbar. Mit dieser Kombination wird riskiert, dass Sicherheitslücken bestehen bleiben, die von Cyberkriminellen ausgenutzt werden. Network Access Control mittels VPN-Anwendung in Verbindung mit einer zeitnahen Behebung von Schwachstellen an jedem Netzwerk-Server ist für die Eliminierung von IoT-Sicherheitsbedrohungen unabdingbar. Zur Verwaltung und zur Gewährleistung von sicheren Interaktionen zwischen Tausenden von Geldautomaten, die mit ihren Rechenzentren kommunizieren, kann die zentral gemanagte VPN-Software einfach skaliert werden.

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha: *