Sie sind seit Jahrzehnten die etablierte Lösung für Bargeld "on the go", rund um die Uhr. Das macht sie auch zu einem beliebten Angriffsziel, liefern Bankkunden doch wichtige Daten, wenn sie eine Abhebung durchführen.

Die Hersteller haben zwar Sicherheitsmechanismen implementiert, doch diese sind oft nicht ausreichend. Diesen Schluss lässt ein Testlauf des Security-Unternehmens Positive Technologies (PDF) zu. Sie haben 26 Bankomaten der Hersteller GRG Banking, NCR und Diebold Nixdorf getestet und festgestellt, dass sich viele in weniger als 20 Minuten gefährlich manipulieren lassen, fasst Heise zusammen.

Auch drahtloser Zugriff gelang

Dabei geht es nicht nur um das Anbringen eigener Kartenleser und Kameras, die die PIN-Eingabe aufzeichnen. Auch tiefergehende Manipulationen sind geglückt. Man konnte etwa Authentifizierungs-Mechanismen überlisten oder sogar Befehle an den Geldautomaten schicken. Teilweise war das auch möglich, ohne sich physischen Zugriff auf die Hardware zu verschaffen, wenn der Automat drahtlos kommunizierte – dank Schwachstellen in Routern und Modems.

Gleich bei 92 Prozent stellte man eine mangelhafte Verschlüsselung der internen Festplatte oder ein schwaches BIOS-Passwort fest. 69 Prozent der Geräte konnte man via einer "Black Box"-Attacke fernsteuern. Dabei gelang es, einen zweiten Rechner an den Automaten anzuschließen und eine Freigabe von Banknoten zu erwirken. Ein Angriff, der im Schnitt nur zehn Minuten gedauert haben soll. Bei 19 Prozent mussten dafür auch keinerlei Schutzmechanismen überwunden werden.

Viele Geldautomaten noch mit Windows XP

In rund 20 Minuten konnten die Forscher bei einigen Geräten auch die Kontrolle über das installierte Betriebssystem übernehmen. Erschwerend kommt hier hinzu, dass gleich 15 der 26 überprüften Geldmaschinen noch mit dem längst veralteten Windows XP laufen. Die anderen Maschinen setzten auf Windows 7 und Windows 10. Lücken fand man allerdings auch in vorinstallierten Sicherheitslösungen von Drittherstellern.

Bankomaten sind üblicherweise Embedded-Systeme, die im Kiosk-Modus laufen, der den Funktionsumfang auf Geldausgabe, Kontostandsanzeige und ähnliches beschränkt. Bei vielen Geräten konnten die Forscher aber via USB einfach ein Keyboard anschließen und den beschränkten Modus einfach über Tastenkombinationen wie "Alt + F4" verlassen.

Bemängelt wird auch die Sicherheit der Datenübertragung zwischen dem integrierten Kartenlesegerät und dem Betriebssystem. Diese sei bei jedem der geprüften Bankomaten anzapfbar gewesen – was Angreifern den Zugriff auf Kartendaten bescheren kann. (21.11.2018)