Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Kaspersky: Fast alle Geldautomaten unsicher

02.05.2016

 zur Newsdatenbank home

Die Sicherheit von Geldautomaten wurde vom Anti-Viren-Spezialist Kaspersky Lab untersucht: Fast alle Geräte sind sowohl für einen direkten physischen Zugriff als auch für entfernte Angriffe anfällig.

Laut der Analyse, die auch in deutsch veröffentlicht wurde, kommt Windows XP auf fast 95 Prozent aller Geräte zum Einsatz. Allerdings wird Windows XP von Microsoft schon seit 2014 nicht mehr mit Sicherheitsupdates versorgt. Daher bieten die seitdem entdeckten Sicherheitslücken (Zero-Day-Exploits) Angreifern die Möglichkeit, Zugriff auf das Betriebssystem und somit auch auf die Steuersoftware zu erlangen. Außerdem seien auf vielen Geldautomaten unnötige Programme installiert, welche weitere Angriffsmöglichkeiten bieten wie zum Beispiel Adobes Acrobat Reader.

Oftmals sei auch die Verbindung zwischen PC und Tastatureingabefeld nur unzureichend geschützt. Die Sicherheitstastaturen würden zwar die Eingaben noch verschlüsseln, bevor diese an die Steuersoftware übergeben werden, allerdings könnten sich Angreifer per Man-in-the-Middle-Attacke als Geldautomaten-PC ausgeben. Mit einem Befehl könnte dann das Pin-Pad angewiesen werden, fortan alle Tasteneingaben im Klartext zu übergeben.

Zudem sind laut Kaspersky manipulierte Versionen der Analyse-Tools im Umlauf, die Ingenieure für die Wartung der Geldautomaten einsetzen. So könnten sich Angreifer sogar Zugang zum "Safe" genannten Teil des Geldautomaten verschaffen, also jenem besonders geschützten Bereich, der das Bargeld sowie das Ein- und Auszahlmodul enthält.

Kaspersky bemängelt neben weiteren Sicherheitsrisiken außerdem die nicht selten unverschlüsselten Datenverbindungen zwischen Geldautomaten und Bank-Servern, worüber auch Kundendaten im Klartext übertragen würden. Für Kriminelle sei der Zugriff auf die Netzwerkschnittstellen ebenfalls keine Herausforderung, da die Schnittstellen häufig frei zugänglich seien.

Kaspersky schlägt zur Verbesserung der Sicherung von Geldautomaten Herstellern und Banken vor, den XFS-Standard mit Schwerpunkt auf physischer Sicherheit zu überarbeiten und eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software einzuführen.

Der Weiteren rät Kaspersky zu einer Art "authentifizierter Geldausgabe" und zur "Implementierung von Verschlüsselungsschutz und Identitätskontrolle von Daten, die zwischen Hardware-Einheiten und den PCs im Geldautomat übertragen werden".

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89