Elida Policastro, Regional Vice President – Cybersecurity Division bei Auriga, erklärt im Gespräch, wie es aktuell um die Sicherheit von Geldautomaten steht und was Geldinstitute tun können, um ihre Geräte zu schützen und Finanzbetrug vorzubeugen.

1. Wie ist der aktuelle Stand der Cybersicherheit bei Geldautomaten?

Cyber-Angriffe auf Geldautomaten und die Systeme, die Geldautomaten steuern, wie z.B. zentrale Server, stellen weltweit eine akute und wachsende Bedrohung dar. Einige Formen von Cyber-Angriffen führen zum Diebstahl persönlicher Daten wie Kontonummern und PIN-Codes. Um diese Daten jedoch in Geld umzuwandeln, sind weitere Anstrengungen nötig. So ist es für Cyber-Kriminelle, die es auf Geldautomaten abgesehen haben, viel attraktiver, sich das Bargeld direkt an dem Geldautomaten zu beschaffen. Sogenannte „Jackpotting“-Angriffe auf Geldautomaten, bei denen physische und softwarebasierte Schwachstellen ausgenutzt werden, um den Geldautomaten zur Bargeldausgabe zu überlisten, sind beliebt, da sie eine sofortige Belohnung bieten. Finanzinstitute auf der ganzen Welt haben allein in den letzten fünf Jahren Millionen durch Jackpotting verloren. So hat beispielsweise die Bankautomaten-Malware Ploutus, die erstmals 2013 in Mexiko entdeckt wurde, weltweit Verluste von über 450 Millionen Dollar (ca. 398 Millionen Euro) verursacht.

2. Wie groß sind die Schwachstellen bei Geldautomaten für Cyber-Angriffe?

Auf Geldautomaten werden sowohl physische (z.B. Skimming, Gas) als auch logische Angriffe (z.B. Malware, Blackbox) verübt. Sie sind für Angreifer aus verschiedenen Gründen ein attraktives Ziel: Zum einen ist das enthaltene Bargeld ein Anreiz sowie die vertraulichen Informationen (Kredit-/Debitkarten und PINs), die ebenfalls in Geld umgewandelt werden können.

Zum anderen haben die Geräte einige Schwachstellen, die Kriminelle für ihre Zwecke ausnutzen. Geldautomaten sind oftmals schlecht überwacht und es werden wenige logische Maßnahmen ergriffen, um die Sicherheit der Daten zu gewährleisten. Eine weitere Schwachstelle sind die zahlreichen Akteure (Finanzinstitute, Dienstleistungsanbieter, Entwickler, Installateure…), die im Bereich Cybersecurity tätig sind. Nicht alle Beteiligten arbeiten zuverlässig und auch, dass zu viele Akteure Admin-Rechte besitzen, kann eine potenzielle Gefahrenquelle sein.

Das Ökosystem „Geldautomaten“ ist komplex, es besteht aus heterogener Hardware und Software und oftmals fehlen in den Organisationen proaktive Aktualisierungsrichtlinien und ein zentraler Überblick über die Sicherheitsstruktur.  Veraltete Hardware und Software können sogar dazu führen, dass die PCI-Regeln nicht 100% erfüllt werden, obwohl Banken dazu verpflichtet sind.

Finanzinstitute stehen vor einer Vielzahl von Herausforderungen, um Geldautomaten rund um die Uhr verfügbar zu machen und gleichzeitig die größtmögliche Sicherheit zu gewährleisten. Einerseits gilt es, den Aufwand der SW-Bereitstellung und der HW-Wartung zu reduzieren und den Überblick und die Kontrolle über Änderungen der Software und der Hardware zu behalten. Andererseits müssen Sicherheitsrichtlinien umgesetzt und eingehalten werden und die integrierte Sichtbarkeit und Verwaltung des GAA-Sicherheitsstatus gewährleistet werden.

3. Wie aktiv sind Cyberkriminelle beim Angreifen von Geldautomaten und wie erfolgreich sind sie?

Cyberkriminelle haben erkannt, dass Geldautomatennetzwerke oft eine Schwachstelle in der Sicherheitsinfrastruktur einer Bank sind. Einer der Hauptgründe dafür ist, dass es in Geldautomatennetzwerken eine Menge veralteter Hard- und Software gibt, weil diese sehr teuer und schwer zu aktualisieren ist. Leider heißt das auch, dass diese Systeme wahrscheinlich unsicher sind. Viele Geldautomaten laufen noch unter Windows 7 oder sind dabei, auf Windows 7 zu migrieren, das von Microsoft nicht mehr unterstützt wird. Das bedeutet, dass Windows-7-Nutzer anfällig für Angriffe sind, da sie keine Updates von Microsoft mehr erhalten, die sie vor neuen Bedrohungen schützen. Wir schätzen, dass etwa 40 Prozent der Geldautomaten weltweit mit einem noch älteren Betriebssystem (OS) arbeiten, das von Microsoft seit 2014 nicht mehr unterstützt wird, nämlich Windows XP. Diese Geräte sind dann noch anfälliger für Angriffe.

Neben den Schwachstellen des Betriebssystems ist einer der Hauptangriffsvektoren auf Geldautomaten die XFS-Schicht, die Standardschnittstelle, die es Multivendor-Software ermöglichen soll, auf den Geldautomaten und anderer Hardware der Hersteller zu laufen. Die XFS-Schicht verwendet Standard-APIs zur Kommunikation mit Self-Service-Anwendungen. Es gibt jedoch keinen automatischen Authentifizierungsprozess, der damit einhergeht, so dass Kriminelle in der Lage sind, diese Schwachstelle auszunutzen. Cyber-Kriminelle setzen Malware auf Hardware-Geräten wie Geldautomaten ein, um „Auszahlungsbefehle“ anzufordern und Bargeld auszugeben, auf dem Kartenlesegerät, um Kartennummern zu stehlen, und auf dem Pinpad, um Pin-Nummern zu erhalten. Das macht die XFS-Schicht zu einem sehr attraktiven Ziel.

4. Was sind Ihre Top-Tipps für Banken, bei denen ein hohes Risiko für Finanzbetrug besteht?

Die Bank sollte sich Expertenwissen von Spezialisten einholen, um ihre Sicherheitspläne und -prozesse zu überprüfen und beispielsweise Penetrationstests durchzuführen.

Wichtig ist auch die Implementierung eines umfassenden Cyber-Sicherheitsbewusstseinsprogramms für Bankmitarbeiter und Kunden sowie regelmäßige Schulungen. Obwohl Banken viele Anstrengungen unternehmen, ihre Sicherheit zu verbessern, sind die Angreifer ständig auf der Suche nach Innovationen. Die Bedrohungslandschaft verändert sich ständig und entwickelt sich immer weiter. Das bedeutet, dass die Organisationen bei der Implementierung und Prüfung ihrer Cyberabwehr proaktiv vorgehen müssen.

Cyber Threat Intelligence (CTI) kann als Frühwarnsystem genutzt werden, um potenzielle Bedrohungen zu erkennen und einzudämmen, bevor sie zu Vorfällen werden. Dieses Programm ist für jedes Unternehmen von zentraler Bedeutung, da Bedrohungen der Cybersicherheit zunehmend wahllos auftreten.

Sobald relevante Bedrohungen und Schwachstellen identifiziert werden, wird deutlich, wo und wie diese ausgenutzt werden können und welche Auswirkungen dies sowohl auf das Unternehmen als auch auf Einzelpersonen haben kann. CTI gibt Organisationen Einblick in die Gefahren und zeigt auf, welche Bereiche vorrangig behandelt werden müssen.

Während Banken sich mit der neuesten Art von Schadsoftware befassen müssen, werden viele der Angriffe versuchen, bestehende Schwachstellen auszunutzen, die möglicherweise bereits gepatcht wurden. Ein großer erster Schritt im Rahmen eines präventiven Ansatzes ist die Kombination von Schwachstellenmanagement und Aufklärung über Bedrohungen.

Wenn es um Geldautomaten geht, reichen generische Technologien zum Schutz der Endpunkte, wie Anti-Malware-Lösungen, nicht aus, da solche Technologien zum Schutz von PCs und Laptops entwickelt wurden.

Man benötigt eine zentralisierte Sicherheitslösung, die GAA-Netzwerke schützt, überwacht und kontrolliert, damit Finanzinstitute das gesamte Geldautomatennetzwerk an einem Ort verwalten können, um Malware-Versuche oder betrügerische Aktivitäten an infizierten Geldautomaten zu verhindern. Das spart wiederum Zeit und Geld.

Leider wird es immer wieder Fälle geben, in denen Ransomware erfolgreich ist. Es ist daher von entscheidender Bedeutung, dass Banken ein tragfähiges Konzept zur Geschäftskontinuität und Wiederherstellung im Katastrophenfall haben, das Teil eines umfassenden operationellen Systems der Widerstandsfähigkeit ist. Darin sollte auch enthalten sein, wie auf solche Vorfälle zu reagieren ist, sowie Möglichkeiten zur schnellen Wiederherstellung betroffener Daten und Systeme mit minimalen Auswirkungen auf den Geschäftsbetrieb.

Effektive Cybersicherheit wird immer wichtiger werden. Angesichts der Tatsache, dass Finanzinstitutionen ein ständiges Ziel von Kriminellen sind, müssen sie ihre Anstrengungen maximieren, um mit dieser dynamischen Bedrohung Schritt zu halten und um zu verhindern, dass durch Angriffe auf große Datenbanken die Daten Hunderttausender Menschen in die falschen Hände geraten.

Da Banken zunehmend auf Cloud-Technologien setzen, ist es wichtiger denn je, dass auch Cloud-Dienste den Cyber-Sicherheitsstandards entsprechen müssen, die die Integrität der Daten der Nutzer und Unternehmen, die die Dienste in Anspruch nehmen, garantieren.