“Der Geldautomat ist sicher, das Kabel nicht”
Laut US-Medienberichten haben sich Hacker von Oktober 2007 bis März 2008 Zugriff auf Geldautomaten verschafft, die für die Citibank betrieben wurden.
Über das Ausspionieren von PIN-Nummern konnten sie mindestens zwei Millionen Dollar stehlen, ehe sie gestellt wurden. Der Fall wurde erst jetzt im Rahmen des Gerichtsverfahrens gegen die drei Täter publik und es ist noch unbekannt, wie sie bei dem Betrug vorgegangen sind. Sicher ist lediglich, dass sie ihre Angriffe aus der Ferne durchführten, ohne Hand an die Automaten zu legen. Die betroffenen Automaten wurden im Auftrag der Citibank von Fremdfirmen betrieben.
“Der Geldautomat selbst ist ein physikalisch gut gesichertes System”, sagte dazu Klaus Gheri, Chief Technology Officer beim Sicherheitsunternehmen Phion. Das Netzwerkkabel, das den Geldautomaten verlässt, sei schon nicht mehr sicher. Aus diesem Grund sei es unabdingbar, die Kommunikation zwischen dem Geldautomaten und den zentralen Serversystemen zu verschlüsseln. “Mit dieser einfachen Methode wäre ein Angriff auf die Verbindung wahrscheinlich nicht erfolgreich verlaufen”, so Gheri. Zu diesem Zweck müsse die Bank ein Virtual Private Network (VPN) einrichten, mit dem eine verschlüsselte Kommunikation möglich ist.
Doch eine Zusatzsoftware zur Verschlüsselung einzuspielen, könne bestehende Service Level Agreements mit den Herstellern der Automaten verletzen. Die einzig verbleibende Maßnahme sei daher oft, die Kommunikation der Systeme zu verschlüsseln und sie gegen Angriffe aus dem Netzwerk durch eine Firewall/VPN-Box zu schützen. Phion bietet entsprechende Lösungen an.
“Die Herausforderung für Banken ist es, eine solche VPN-Box direkt im Gehäuse von Geldautomaten unterzubringen”, sagte Gheri. Der Platz sei beschränkt, die Temperaturen bei Automaten, die im Freien stehen, schwankten je nach Jahreszeit enorm. Dazu komme, dass bei der großen Zahl von Standorten die herkömmlichen VPN-Managementansätze versagten – ein Vor-Ort-Service sei bei über 50.000 Geldautomaten in Deutschland einfach zu aufwändig. Daher seien Geldautomaten oder Foyerautomaten ein bekanntes Sicherheitsrisiko.
Die Verbraucher brauchten jedoch nicht um ihre Ersparnisse bangen. “Ein Angriff auf das Netzwerkkabel, das den Geldautomaten verlässt, erfordert Expertenwissen und einen hohen Aufwand. Es ist unwahrscheinlicher, als Privatperson von einer solchen Attacke in Mitleidenschaft gezogen zu werden, als von einem Kreditkartenbetrug.”