Geldautomaten (GAA) sind attraktive Ziele für Cyberangriffe. Während des Lockdowns infolge der Corona-Pandemie sank die Zahl physischer Angriffe zwar, doch die der Malware-Attacken vervielfachte sich. So stieg die Zahl sogenannter Jackpotting- oder auch Black-Box-Angriffe im ersten Halbjahr 2020 um 269 Prozent (im Vergleich zum Vorjahr). Das entspricht einer Schadenssumme von über einer Million Euro - im Vorjahreszeitraum (H1/2019) waren es noch weniger als 1.000 Euro.
Geldautomaten - mehr Schutz notwendig
Angriffe auf Geldautomaten können auf verschiedene Weisen erfolgen, zum Beispiel physisch durch Skimming oder explosives Gas. Außerdem müssen sich Finanzinstitute gegen logische Angriffe absichern, wie zum Beispiel Malware, Software Skimming und Backbox. Hier droht eine Ausnutzung von Schwachstellen des Betriebssystems und Hacking in die XFS-Schicht eines Automaten. Dabei handelt es sich um die Standardschnittstelle für den Einsatz von Multivendor-Software. Standard-APIs zur Kommunikation mit Self-Service-Anwendungen erfordern keine automatische Authentifizierung - und dieser Umstand wird von Kriminellen ausgenutzt. Nachdem sich diese erfolgreich Zugang zur XFS-Schicht verschafft haben, können sie Auszahlungsbefehle aussenden oder vertrauliche Daten vom Pinpad sowie dem Kartenlesegerät abgreifen.
Lesetipp: Biometrische Authentifizierung - Sicherheit in der Finanzindustrie
Die GAA-Netzwerke sind oftmals die größte Schwachstelle in der Sicherheitsinfrastruktur einer Bank - und Cyberkriminelle wissen das. Bei einem Geldautomaten-Ökosystem handelt es sich um ein komplexes Gebilde, das aus heterogenen Hard- und Software-Komponenten besteht. Diese sind oftmals entweder veraltet oder der Hersteller stellt für das Betriebssystem keine Sicherheitsupdates mehr zur Verfügung. Die Einhaltung von PCI-Richtlinien ist so nicht möglich, obwohl die Banken rechtlich dazu verpflichtet sind.
Hinzu kommt, dass Geldautomaten oft schlecht überwacht werden und wenig logische Sicherheitsmaßnahmen zu ihrem Schutz ergriffen werden. Aktuell ist die Systemabwehr noch einmal zusätzlich geschwächt, denn Mitarbeiter sitzen im Homeoffice und können nur durch Remote Access auf ihre Systeme zugreifen - dadurch sind die Server stärker belastet als sonst. Neben diesem geringen Schutz verleiten die hohen Vermögenswerte zu Angriffen auf Automaten. Bei einer erfolgreichen Attacke kommen die Kriminellen an Bargeld, das direkt nutzbar ist. PINs sowie Kartennummern ermöhlichen weitere Diebstähle in der Zukunft.
Geldautomatensicherheit - kein Überblick, mangelnde Wartung
An der Installation, Wartung und Instandhaltung von Geldautomaten sind sowohl auf Hardware- als auch auf Software-Seite zahlreiche Akteure beteiligt. Neben den Finanzinstituten selbst haben oft Dienstleistungsanbieter, Entwickler, Installateure oder Cybersecurity-Firmen Admin-Rechte - und möglicherweise arbeitet nicht jede dieser Parteien so sorgfältig, wie es vonnöten ist. Darüber hinaus sind die einzelnen Teams, oft von Drittanbietern, die an Wartung und Instandhaltung beteiligt sind, wenig aufeinander abgestimmt. Ein Überblick über all ihre Aktivitäten ist oft nicht gegeben. So können die eigenen Reihen ebenfalls zum Einfallstor werden.
Lesetipp: IDG Research-Studie: IT-Sicherheit 2020
So lohnenswert Cyberangriffe auf Geldautomaten für Kriminelle sind, so herausfordernd gestaltet sich deren Schutz durch die Finanzinstitute. Während die Angriffsmethoden sich beständig weiterentwickeln, müssen Banken den Aufwand von Software-Bereitstellung und Hardware-Wartung möglichst gering halten. Doch Updates in beiden Bereichen sind kostenintensiv. Hinzu kommt die Umsetzung von Sicherheitsrichtlinien. Schließlich müssen die integrierte Sichtbarkeit und Verwaltung des GAA-Sicherheitsstatus stets gewährleistet sein.
Zudem sind Geldautomaten systemrelevant - sie können nicht einfach heruntergefahren und neu aufgesetzt werden, wenn ein Fehler auftritt. Da sie an 365 Tagen im Jahr 24 Stunden am Tag verfügbar sein müssen, müssen sie besonders umfangreich geschützt werden. Updates sollten möglichst nahtlos erfolgen, um den Geschäftsbetrieb nicht zu beeinträchtigen. Durch all diese Faktoren können Finanzinstitute oft schlichtweg den Überblick verlieren und die Kontrolle über Software und Hardware sowie Veränderungen daran - ebenso wie über proaktive Aktualisierungsrichtlinien und die Sicherheitsstruktur.
Geldautomaten-Hacks vorbeugen - Tipps für Banken
Bevor neue Schutzmaßnahmen implementiert werden, sollten sich Finanzinstitute Kenntnis über den Sicherheitsstatus ihrer gesamten Infrastruktur verschaffen. Ein Audit, das von Sicherheitsexperten durchgeführt wird, beinhaltet zum Beispiel Penetrationstests und Methoden zur Schwachstellenbewertung, um bestehende Prozesse und Pläne zu prüfen sowie zu bewerten. Anschließend können die notwendigen Sicherheitsmaßnahmen identifiziert werden.
Dies gestaltet sich nicht einfach, denn für Bankautomaten reichen Standard-Schutztechnologien wie Anti-Malware-Lösungen nicht aus. Diese wurden für PCs und Laptops entwickelt, nicht für Geldautomaten, die hochverfügbar sein müssen und dadurch einen proaktiven Ansatz erfordern. Hier kann eine zentrale Lösung, die Banken einen Überblick über ihr gesamtes Ökosystem verschafft und GAA-Netzwerke schützt, überwacht und kontrolliert, zur schnellen Aufdeckung und Verhinderung betrügerischer Aktivitäten dienen.
Im Bereich des Schwachstellenmanagements kann Cyber Threat Intelligence (CTI) eingesetzt werden, die frühzeitig Bedrohungen entdeckt. Sie hilft auch dabei, Attacken zu verhindern, indem Schwachstellen identifiziert und priorisiert werden. So können sich Teams um das Patchen oder die anderweitige Behebung von kritischen Sicherheitslücken kümmern, bevor diese überhaupt ausgenutzt werden. Die Technologie zeigt zudem, welche geschäftskritischen Auswirkungen ein Angriff auf eine Schwachstelle hätte.
Lesetipp: Threat Intelligence - wichtiger Baustein für die IT-Security
Mehrschichtiges Abwehrsystem
Plattformen zum Schutz von Geldautomaten verfügen über mehrere Schutzebenen, die diverse Angriffsarten abwehren können. Durch eine Schicht, die eine Whitelist von Prozessen definiert, die auf einem Geldautomaten ausgeführt werden dürfen, wird zum Beispiel die Ausführung von Malware oder anderer nicht autorisierter Software verhindert.
Zudem sollten Festplatten und andere Speichermedien vollständig verschlüsselt werden. Besteht für Angreifer die Möglichkeit, Hardware zu stehlen und Reverse Engineering damit durchzuführen, ist das Geldautomatennetzwerk nicht mehr sicher. Denn durch diese entwendeten Medien kann Malware eingeschleust werden - und das nicht nur an einem Automaten, sondern in jeder beliebigen Filiale.
Die dritte Schicht sollte die Integrität von Daten sicherstellen, indem jeder Versuch, kritische Informationen zu verändern, für jeden, der zugreift, blockiert wird - es sei denn, der Prozess wurde bei der letzten Software-Aktualisierung vordefiniert. Außerdem darf auch der Hardware-Schutz nicht vernachlässigt werden. Dieser bewirkt, dass angeschlossene betrügerische Komponenten blockiert werden, außer, sie wurden im Vorhinein in einer Whitelist autorisiert.
Business Continuity sicherstellen
Für den Fall, dass Angriffe auf das Geldautomatennetzwerk nicht abgewehrt werden können, muss proaktiv ein Geschäftskontinuitätsplan erarbeitet werden. Dieser definiert, wie auf Sicherheitsvorfälle zu reagieren ist, und wie im Notfall sämtliche Daten und Systeme wiederherzustellen sind, um die Hochverfügbarkeit der Automaten zu gewährleisten.
Zuletzt liegt der Schlüssel in der Kooperation. In der gesamten Organisation und bei allen beteiligten Akteuren muss der Sinn für verdächtige Aktivitäten geschärft und Sicherheitsdenken verankert werden. Nur wenn Banken, Hardware-Verantwortliche und Software-Entwickler, Instandhaltungsfirmen und Sicherheitsanbieter eng zusammenarbeiten, kann die Abwehr von Cyberangriffen gelingen. Schon während der Entwicklung neuer Hard- und Software-Komponenten muss der Schutz des gesamten Geldautomatennetzwerks beachtet werden. Dazu ist ein tiefgreifendes Verständnis auf Seiten der Anbieter nötig. (bw)