Geldautomaten und die Sicherheit des IoT – aktiv für Schutz sorgen
Erkenntnisse der NCR Innovation Conference 2018
Innovation trifft auf Sicherheit
Das Online-Banking hat unser Miteinander verändert. Das Kundenerlebnis soll immer besser werden. Infolgedessen gibt es mittlerweile Apps für Mobilgeräte, die Möglichkeit des kontaktlosen Bezahlens und zahlreiche andere neue Technologien. Der gemeinsame Nenner ist hier die Benutzerfreundlichkeit.
Wir dürfen jedoch nicht vergessen, dass es heutzutage so viele Datenschutzverletzungen und damit verbundene finanzielle Einbußen gibt wie nie zuvor. Warum? Striktere Compliance-Vorgaben und die Nutzung von Verbraucherdaten zum Voranbringen des Geschäftswachstums setzen Sicherheitsexperten immens unter Druck.
Ende August durfte ich auf der Innovation Conference 2018 einen Vortrag halten. Das Event wird von einem unserer wichtigsten Partner im Bereich Finanzdienstleistungen organisiert: NCR. NCR ist führend im Bereich Online-Banking und wickelt täglich über 700 Millionen Transaktionen in nahezu allen Branchen ab. Viel wichtiger dabei ist, dass das Unternehmen großen Wert darauf legt, diese Transaktionen durch den Schutz von Benutzern, Geräten und Anwendungen abzusichern.
Sicherheit und Risikomanagement ist nicht mehr nur Sache der IT, sondern längst auch eine eigene Geschäftsstrategie. Die Frage ist doch: Wie können wir ohne Sicherheit für Innovation sorgen? Heutzutage kann das Wachstum schnell durch gesetzliche Hürden und das Risikobewusstein der Verbraucher beeinträchtigt werden. Daher muss der Schutz des Unternehmens und der Verbraucher im Zentrum der Innovation stehen. Das gilt insbesondere dann, wenn es darum geht, immer mehr Transaktionen über Geldautomaten, POS-Terminals und mit dem Internet der Dinge (IoT) verbundene Geräte auszuführen.
Ausgereifte Bedrohungen für Geldautomaten
Verbraucher nutzen Bezahl-Apps und Online-Banking mit wachsender Begeisterung. Aber auch Geldautomaten sind nach wie vor gängig für Transaktionen. Das ist insbesondere in Wachstumsmärkten der Fall, in denen der Zugang zu Bargeld enorm wichtig ist. Das Problem dabei ist, dass es immer mehr Kriminelle auf Geldautomaten abgesehen haben. Wie viele andere IoT-Geräte sind auch Geldautomaten für fast jedermann ohne vertrauenswürdigen Benutzer zugänglich. Das macht sie angreifbar.
Was bedeutet angreifbar? Es gibt unzählige Bedrohungsarten, die sich in drei Kategorien einteilen lassen: physische Angriffe, Finanzbetrug und logische Angriffe.
- Physische Angriffe – Es handelt sich um Versuche, das Bargeldfach eines Geldautomaten aufzubrechen oder sich physischen Zugang zu anderen wertvollen Medien im Inneren des Geräts zu verschaffen.
- Finanzbetrug – Hier wird versucht, Karteninhaberdaten zu stehlen und eine Karte zu fälschen, z. B. durch Skimming (das Auslesen von Kartendaten am Geldautomaten) oder das Einbehalten der Karte.
- Logische Angriffe – Es ist der Versuch, Karteninhaberdaten zu stehlen, die Geldausgabe zu kontrollieren oder aber den Geldautomaten mithilfe von externen Geräten oder Schadsoftware zu entleeren.
Wie können Sie sich gegen solche Angriffe schützen? Wenn es ein Angreifer auf Bargeld abgesehen hat oder – was heute wahrscheinlicher ist – auf Daten, wählt er immer den Weg des geringsten Widerstands. Da Geldautomaten immer besser gegen Finanzbetrug und physische Angriffe geschützt sind, nehmen Anzahl und Umfang der logischen Angriffe immer mehr zu.
Logische Angriffe zielen auf die Firmware oder Software des Geldautomaten ab, um sie für den jeweiligen Zweck zu manipulieren. Üblicherweise ist das die nicht autorisierte Auszahlung von Bargeld, die auch als Jackpotting bezeichnet wird. Wenn man bedenkt, dass manche Geldautomaten einen Bargeldbestand von bis zu 180.000 EUR haben – üblich sind maximal 9.000 EUR – lohnt sich das für Kriminelle, denn der Gewinn ist höher als an jedem Spielautomaten.
Wie funktioniert das? Es gibt zwei Methoden. Die gängigste ist laut NCR der Offline-Angriff. Dabei wird ein Wechseldatenträger (z. B. eine CD, DVD oder ein USB-Gerät) mit dem Automaten verbunden. Der Geldautomat startet dann über ein auf dem Wechseldatenträger gespeichertes Betriebssystem. Zu diesem Zeitpunkt ist der Automat quasi wehrlos. Der Angreifer kann Anti-Malware-Software deaktivieren, Malware auf die Festplatte des Automaten aufspielen und das Gerät nach dem Trennen vom USB-Gerät wieder in den normalen Betriebszustand versetzen. Durch die nun installierte Malware kann der Code aktiviert und der gesamte Bargeldbestand ausgezahlt werden.
Sind auch Ihre Geldautomaten bedroht? Das ist eine berechtigte Frage, wenn Sie ein Netzwerk an Geldautomaten betreiben. Sicherlich haben Sie so einige Prioritäten, von denen ein paar auch mit der Sicherheit zu tun haben. Das Jackpotting von Geldautomaten ist kein neues Phänomen. Diese Angriffe kamen vor rund fünf Jahren in Mexiko zuerst auf und sind seither in bestimmten Ländern Europas und Asiens zu finden. Im Frühjahr dann das: NCR erhielt Berichte des US-Geheimdienstes über den ersten Jackpotting-Angriff überhaupt in den USA.
Malware-Varianten hatten es bisher nur auf Geldautomaten abgesehen, die nicht Eigentum von NCR sind. Netzwerkbetreiber müssen aktiv werden, wenn sie diese Art Angriffe in Zukunft verhindern wollen. Kriminelle sind oft „faul“ und wählen immer den Weg des geringsten Widerstands. Abhängig von Standort, Zeit und Sicherheit des Geldautomaten finden Betrüger immer einen Weg, um ihr Ziel zu erreichen.
Schützen Sie Ihre Investitionen.
Die Verschlüsselung von PIN-Pads ist unumgänglich. Warum aber sollte man Festplatten verschlüsseln? Diese Fragen hören wir oft, und sie ist durchaus berechtigt. Ist die Festplattenverschlüsselung nicht eigentlich für Notebooks und Desktop-PCs gedacht? PCI DSS untersagt die Speicherung vertraulicher Karteninhaberdaten im Geldautomaten. Warum also sollten man das Laufwerk verschlüsseln? Was schützen Sie?
Bei Geldautomaten spielt die Festplattenverschlüsselung eine ganz andere Rolle. Es geht weniger um den Schutz von Daten als vielmehr um den Schutz Ihrer Investitionen. Die Festplattenverschlüsselung ist die einfachste und effizienteste Methode, sich gegen Offline-Malware-Angriffe zu schützen. Wie geht das? Durch die Festplattenverschlüsselung wird sichergestellt, dass keine Daten – einschließlich Betriebssystem und anderer Software – manipuliert werden können, wenn der Geldautomat offline ist. Auf diese Weise bleibt Angreifern der Zugriff verwehrt, und Anti-Malware-Lösungen können nicht deaktiviert, Malware nicht aufgespielt und Daten nicht ausgelesen werden. Darüber hinaus werden auch PCI DSS-Anforderungen für die sichere Entsorgung von Laufwerken und darauf gespeicherten Daten eingehalten, z. B. JPEGs zur Scheckannahme, wenn der Geldautomat außer Betrieb genommen oder gewartet wird.
Die nackte Wahrheit
Aus dem Blickwinkel der Sicherheit ergibt das Sinn. Die nackte Wahrheit ist jedoch, dass die meisten IT-Experten aus betrieblicher Sicht die Verschlüsselung nur allzu bereitwillig umgehen. Bei meinem Vortrag fragte ich das Publikum: „Wie viele von Ihnen haben mit dem Thema Verschlüsselung zu tun?“ Von den 40–50 Teilnehmern hob rund die Hälfte die Hand. Meine nächste Frage war: „Und wem macht das Spaß?“ Nicht ein einziges Handzeichen. Für die meisten ist das vielleicht offensichtlich, aber so ist die Situation heute.
2015 hat sich NCR mit WinMagic zusammengetan und die sichere NCR-Festplattenverschlüsselung (NCR Secure HDE) ins Leben gerufen. Warum? Weil WinMagic überzeugt ist, dass die Sicherheit weder die Produktivität noch die Benutzerproduktivität beeinträchtigen sollte. Die Verschlüsselung ist von Natur aus oft störend. Für die Betreiber von Geldautomatennetzwerken ist das nicht akzeptabel. Die NCR Secure HDE wurde speziell für Geldautomaten entwickelt und geht keine Kompromisse ein.
Fazit: Warten Sie nicht, bis Angreifer die Schwachstellen in Ihrem Unternehmen finden. Ähnlich wie bei Geldautomaten haben Sie wahrscheinlich mehrere Plattformen ohne vertrauenswürdige Benutzer, die authentifiziert werden müssen, darunter Server, Cloud-Workloads und mit dem IoT verbundene Geräte. Bedenken Sie also im Zuge des Wachstums Ihres Unternehmens und Ihrer IT-Infrastruktur, dass Innovation und Sicherheit Hand in Hand gehen müssen.
Leave a Reply
Your email is safe with us.