Von Aravinda Korala und Kit Patterson (von KAL)
mit der Unterstützung von Michael Moltke (FortConsult) und Alex Gherman
8. Januar 2018
„Meltdown“ und „Spectre“-Angriffe sind seit dem 3. Januar 2018 ein großes Thema. Möglich sind sie durch Sicherheitslücken in Prozessoren von Intel, AMD und ARM, auf die zuerst Anders Fogh auf einer deutschen Cyber-Webseite letzten Juli hingewiesen hat, die aber erst letzte Woche öffentlich als reale Bedrohung demonstriert wurden. Eine gute Nachricht ist dabei, dass die Informationen zunächst den wichtigsten Anbietern von Betriebssystemen (OS) geheim zur Verfügung gestellt wurden, sodass diese ihre Betriebssysteme patchen und schnelle Abhilfen zur Sicherung von PCs und Telefonen ersinnen konnten.
Wie sieht nun die Situation für Geldautomaten aus? Sind Geldautomaten potentiell anfällig für solche Angriffe? Die kurze Antwort lautet ja, aber es besteht noch kein Grund zur Panik.
Die unmittelbare Bedrohung ist der Meltdown-Angriff. Diese Angriffsmethode ermöglicht es Malware, potentiell beliebige Dateneinheiten auf einem Windows-PC auszulesen, einschließlich solcher aus dem Kernel-Speicher von Windows, aus beliebigen physikalischen Speichern und aus beliebigen Speichern, die zu anderen Prozessen auf dem gleichen PC gehören. Globale Geldautomaten basieren meistens auf Windows-PCs, die sorgfältig abgeriegelt sind. Sehen wir uns die Risiken an und was getan werden muss, um diese Risiken für Geldautomaten zu verringern.
Auf der ganzen Welt gibt es etwa 3 Millionen Bankautomaten, die meist unter Windows7 oder Windows XP laufen. Alle Arten von Geldautomaten sind gefährdet, da der Defekt in der Chip-Hardware begründet ist und nicht durch einen Schwachpunkt des Betriebssystems verursacht wird. In diesem Artikel konzentrieren wir uns auf Bankautomaten mit den Betriebssystemen Windows 7 oder Windows XP.
Beginnen wir mit den guten Neuigkeiten. Bei Geldautomaten werden die geheimen Daten zur Transaktionsabwicklung nicht im PC-Kern des Automaten gespeichert, sondern in Hardware-PIN-Pads mit Verschlüsselung (EPPs). Dies bedeutet, dass die von Geldautomaten genutzten Kodierungsschlüssel sicher im EPP gespeichert und somit von den neuen Angriffsmethoden nicht betroffen sind. Diese Schlüssel sind nicht nur im EPP geschützt, sondern das Verfahren zur Ferneinspeisung dieser Schlüssel in das EPP per sogenanntem „Remote Key Loading“ ist nach unserem Verständnis ebenfalls vor Meltdown-Angriffen sicher. EPPs haben eine isolierte sichere interne Umgebung, die durch diese Art von Angriffen nicht gefährdet ist.
Dies allein macht Geldautomaten jedoch noch nicht komplett sicher. Wenn ein Angreifer in der Lage ist, Malware in einen Geldautomaten zu bringen, wäre es möglich, auf vertrauliche Informationen (wie die Kontonummer auf einer Kundenkarte) zuzugreifen und potentiell auch auf bestimmte Arten von Passwörtern wie das Passwort für die Supervisor-Anmeldung, das möglicherweise vorübergehend im Speicher gehalten wird. Die Frage lautet also - kann ein Hacker lohne größere Schwierigkeiten einen Geldautomaten mit Malware infizieren?
Die meisten Geldautomaten sind gut vor Malware geschützt. Der Goldstandard ist die Verwendung der sogenannten „Whitelisting“-Technologie, die automatisch die Ausführung von nicht erkannten Programmen, Bibliotheken und Skripten auf dem Geldautomaten verhindert. Durch Whitelisting würde automatisch die Ausführung jeglicher neuer Malware auf dem Geldautomaten blockiert, und dies ist eine hervorragende erste Verteidigung.
Nicht alle Banken setzen jedoch Whitelisting für ihre Geldautomaten ein. Einige Banken verwenden Antivirensoftware und andere wiederum überhaupt keinen Malware-Schutz (was natürlich gar keinen Sinn ergibt). Antivirensoftware (AV) war noch nie die richtige Lösung für den Schutz von Geldautomaten, und diese spezielle Bedrohung zeigt dies überdeutlich. Da es sich um eine sehr neue Bedrohung handelt, hat die Antivirensoftware nicht die zu ihrer Identifizierung erforderlichen Signaturen. Zumindest müssten die Virenschutzsignaturen in den Geldautomaten aktualisiert werden, dies ist jedoch nicht ganz einfach, da wie bereits gesagt bisher noch keine tatsächlich zur Implementierung dieser Bedrohungen geschriebene Software festgestellt wurde. Schlimmer noch, es wird aktuell davon ausgegangen, dass Malware, die sich diese Technik zunutze macht, „normaler Software“ möglicherweise zu ähnlich und daher nur sehr schwer zu unterscheiden ist.
Dann gibt es noch eine finale Ironie für Banken, die Antivirensoftware für Bankautomaten einsetzen. Wie sich herausgestellt hat, wird der Sicherheitspatch für Meltdown tatsächlich von zahlreichen Virenschutzprodukten von Drittanbietern blockiert, da diese Produkte auf intrusiven Wegen auf die CPU zugreifen, die durch den neuen Patch unterbunden werden. Die Banken können daraus also eine Lehre in Sachen Geldautomatenschutz ziehen. Antivirensoftware war noch nie die richtige Lösung zum Schutz von Geldautomaten, und in diesem besonderen Fall kann sie die Automaten sogar anfälliger machen. Unser Rat an Banken lautet, ihre Geldautomaten umgehend auf Whitelisting umzustellen.
Dies ist jedoch nicht die einzige dringende Aufgabe beim Schutz von Geldautomaten einer Bank. Zum Schutz gegen Meltdown müssen Banken auch den neuen Sicherheitspatch von Microsoft mit der Datierung „1801“ verteilen. Es gab anfänglich einige Bedenken hinsichtlich Leistungseinbußen durch diesen Patch, aber die Benchmarks bestätigen diese nicht. Obwohl Whitelisting alleine schon ein wirksamer Schutz vor jeglicher neuer Malware wäre, empfehlen wir aus verschiedenen Gründen auch den „1801“-Patch als zusätzliche Sicherheitsmaßnahme. Einer dieser Gründe sind „interne Angriffe“. Whitelisting lässt sich durch betrügerische Bankmitarbeiter umgehen, die Whitelisting-Einstellungen verändern können. KAL empfiehlt immer wieder, dass überhaupt niemandem ein Administratorzugriff auf Geldautomaten gewährt werden sollte, einige Banken erlauben jedoch leider manchen Mitarbeitern einen solchen Zugriff. Dies ist eine Sicherheitsabwägung, die Banken vornehmen, aber Meltdown würde problemlos eine Beeinträchtigung der Geldautomatensoftware mithilfe von Admin-Privilegien zulassen.
Unsere zweite nachdrückliche Empfehlung an Banken lautet also, niemals irgendwelchen Mitarbeitern einen Administratorzugriff auf Geldautomaten zu gewähren. Es ist schlicht nicht erforderlich. Alle fundierten Wartungsmaßnahmen für Geldautomaten können mit Standarbenutzerrechten durchgeführt werden, während jeder Mitarbeiter mit Administratorzugriff auf einen Geldautomaten völlig problemlos jede beliebige Malware auf diesem Automaten installieren und ausführen kann.
Es gibt jedoch noch ein weiteres bisher nicht erwähntes Problemthema - bei manchen Banken laufen Geldautomaten noch unter Windows XP. Offiziell erstellt Microsoft keinerlei neue Sicherheitspatches für Windows XP mehr.
Wenn Sie in Ihrer Bank XP für die Geldautomaten verwenden, müssen Sie umgehend bei Microsoft nach einem Patch zur Behebung dieser Schwachstelle fragen.
Eine gute Neuigkeit ist, dass der Windows 10-Patch für Meltdown bereits für unterstützte Betriebssystemversionen verfügbar ist, die hier aufgeführt sind.
Insgesamt lässt sich also sagen, dass Meltdown und Spectre zwar ernst zu nehmen sind, dabei aber nicht in Vergessenheit geraten sollte, dass bei der Sicherheit von Geldautomaten eine breite Palette an spezifischen Aspekten zu beachten ist. Durch Konzentration auf die wirklich wichtigen Punkte und aktive Anwendung aller optimalen Sicherheitstechniken können die Bedrohungen im Griff gehalten werden, auch wenn neue wie die genannten auftreten.
Über KAL
KAL ist ein weltweit führendes Unternehmen für Geldautomatensoftware und der bevorzugte Lieferant für globale Großbanken wie Citibank, UniCredit, ING, Westpac und China Construction Bank. Mit Software von KAL haben Banken die vollständige Kontrolle über ihr Geldautomatennetzwerk und können Kosten reduzieren, alle Sicherheitsanforderungen erfüllen und ihre Wettbewerbsfähigkeit erhöhen. Rufen Sie uns an unter der Nummer +44 131 659 4900, oder senden Sie eine E-Mail an
Über FortConsult
FortConsult ist Teil der NEC-Gruppe und verfügt über eines der erfahrensten Teams von IT-Sicherheitsberatern weltweit. Zusammen mit der NEC-Gruppe beschäftigen wir über 1000 Berater und sind vertrauensvolle Ratgeber für mehr als 15.000 Kunden. Wir unterhalten mehr als 35 Bürostandorte auf der ganzen Welt und beraten Kunden in zahlreichen Branchen zu nahezu allen Fragen der IT-Sicherheit.