• Deutschlandfunk bei Facebook
  • Deutschlandfunk bei Twitter
  • Deutschlandfunk bei Instagram

 
 
Seit 05:05 Uhr Informationen am Morgen
StartseiteComputer und KommunikationVerseuchte Geldautomaten03.12.2016

IT-SicherheitVerseuchte Geldautomaten

Teil 2 der Serie "Die apokalyptischen Reiter der IT"

Jahrzehnte hat es gedauert, bis Geldhäuser ein einigermaßen sicheres Online-Banking angeboten haben. Doch weiterhin unsicher ist die Infrastruktur mit den oft antiquierten Geldautomaten. Sicherheitsforscher sagen den Angriff der Cyberkriminellen auf die Bankautomaten apokalyptisch voraus.

Von Achim Killer

Eine Hand nimmt Geld aus einem Geldautomaten. (dpa/picture alliance/epa Peter Hudec)
Ein Problem der Banken: Geldautomaten werden mit Schadsoftware infiziert. (dpa/picture alliance/epa Peter Hudec)
Mehr zum Thema

IT-Sicherheit Angriff auf das Internet der Dinge

Mühselig und beladen sind sie, die Räuber - die Online-Bankräuber. Misstrauen hat die Bankkunden erfasst. Der, der hat, der passt auf PC und Konto auf. Und der, der nicht hat – von dem ist eh nichts zu holen. Deshalb gehen die Räuber jetzt an die besonders reich sprudelnden Quellen – die Geldquellen: Sie infizieren Bankenrechner und Geldautomaten mit ihrer Malware-Brut. Und dann tun sie, was schon der biblische Prophet den Eroberern der assyrischen Stadt Ninive angeraten hat:

"Raubet Silber, raubet Gold, denn ihres Vorrates ist kein Ende" – Zwölf-Propheten-Buch: Nahm, Kapitel 2, Vers 9

"Um 81 Millionen Dollar haben Internetkriminelle Anfang des Jahres die Zentralbank von Bangladesch geschädigt. Über infizierte digitale Formulare drangen sie ins Netz ein, hangelten sich bis zu den Buchungsrechnern vor und manipulierten sie. Das ist eine Möglichkeit, um Geld direkt von der Quelle abzuschöpfen. Eine andere besteht darin, Geldautomaten mit Schadsoftware zu infizieren. Christian Funk vom IT-Sicherheitsunternehmen Kaspersky Labs:

"Dabei wird der Geldautomat geöffnet. Das passiert sogar oftmals über einen Generalschlüssel, der auch über dunkle Ecken bezogen werden kann. Damit wird dann direkt ein Zugriff zum Rechner in diesem Geldautomaten erlangt. Und man kann dann beispielsweise über ein CD-ROM oder einen USB-Stick die Schad-Software auf diesen Rechner spielen."

Eingeschleuste Trojaner

Dann spuckt der Automat auf Befehl – eingegeben per Magnet-Streifenkarte – die Scheine aus, bis er leer ist. Ein immer größer werdendes Problem der Geldhäuser – aber auch ihrer Kunden. Denn der eingeschleuste Trojaner gehorcht nicht nur Ausgabe-Befehlen durch die Kriminellen, sondern ist auch sonst noch aktiv:

"Ein infizierter Geldautomat ist damit in der Lage, die Daten von EC- und Kreditkarten mitzuschneiden. Damit hat man natürlich alle Daten an der Hand, um diese Konten auch weiterhin zu schröpfen. Und die Cyberkriminellen benutzen dabei blanke, das heißt: leere, EC-Karten, die dann eben mit diesen Kundendaten befüllt werden. Und dann werden diese Karten zusammen mit den PIN-Codes auf anderen nicht-infizierten Geldautomaten eingesetzt, um den Profit zu steigern."

Mit einer Magnet-Streifenkarte können Kriminelle also nicht nur manipulierte Geldautomaten leeren, sie können sich auch noch die ausspionierten Kundendaten ausgeben lassen. Technisch ist das kein Problem. Denn die Software der Geld-Automaten ist häufig veraltet. Die meisten laufen unter Windows XP. Christian Funk erwartet, dass sich solche Fälle im nächsten Jahr häufen werden. Computer-Betrüger geben sich nicht mehr damit zufrieden, unbedarfte Bankkunden zu prellen, sondern sie gehen direkt zur Bank, dahin, wo das Geld herkommt.

2017 wird wohl wieder ein gutes Jahr für Online-Bankräuber

Kunden gewinnen! Kosten senken! Rendite machen! Das sind die Imperative im Bankgeschäft. Sicherheit bleibt da oft auf der Strecke. Jahrzehnte hat es gedauert, bis die Geldhäuser ihrer Kundschaft ein einiger Maßen sicheres Online-Banking am PC mit TAN-Generator oder Mobil-TAN angeboten haben. Weiterhin unsicher ist ihre Infrastruktur, wie man an den oft antiquierten Geldautomaten unschwer erkennen kann. Und schon reißen die Geldhäuser ein neues Loch auf. Sie offerieren Banking ausschließlich per unsicherem Smartphone. Das wird böse enden. Eine Apokalypse auf dem Handy und am Geldautomaten. 2017 wird wohl wieder ein gutes Jahr für Online-Bankräuber. Das vorherzusagen, bedarf es keiner Prophetie.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk