Wie ein 20 Jahre alter Standard zur Gefahr für Banken wird

Olga Kochetova und ihr Team vom Kaspersky Lab haben sich Angriffe auf Bancomaten angeschaut. Sie analysierten die Attacken und führten Sicherheitseinschätzungen für Geldautomaten mehrerer Banken durch, wie Kaspersky mitteilt.

Kochetova und ihr Team kamen zu dem Schluss, dass zu viele Banken auf unsichere Automaten setzen. Unsicher, weil sie offenbar häufig unter veralteten Betriebssystemen laufen und einen nicht mehr ganz taufrischen Standard verwenden – den sogenannten XFS-Standard.

Über 20 Jahre alter Standard steuert Hardware

Der XFS-Standard wurde 1994 erstmals veröffentlicht. Er dient im Falle der Bancomaten zur Standardisierung der Software, die auf den Automaten läuft. Das Problem: XFS erfordert keine Autorisierung für Befehle, wie das Team um Kochetova schreibt.

Einfach ausgedrückt kann jede Anwendung, die auf einem Bancomaten installiert ist, jeder Hardwareeinheit des Geräts Befehle erteilen. Die Hardware stellt den Befehl nicht infrage. Sie führt ihn einfach aus.

Das betrifft den Kartenleser, das PIN-Pad und auch die Geldausgabe. Ein eingeschleustes Schadprogramm kann so Kartendaten speichern, Eingaben auf dem PIN-Pad auslesen oder beliebige Summen in bar auswerfen.

Kriminelle kontrollieren Bancomaten mit Blackboxen

Das Team um Kochetova bemängelt abseits dieses Softwareproblems fehlende physische Sicherheit. In vielen der untersuchten Fälle hätten Kriminelle gar keine Schadsoftware eingesetzt, sondern Schwachstellen an der Konstruktion ausgenutzt.

Über die Schwachstellen erhielten die Kriminellen Zugang zum im Gehäuse installierten PC oder zum Netzwerk, das den PC mit dem Internet verbindet. Haben die Kriminellen das geschafft, können sie laut Kaspersky sogenannte Blackboxen oder eine gefälschte Bankensoftware installieren. Beides lässt sie den Automaten kontrollieren.

Schweizer Banken nennen kaum Details

Die Sicherheitsexperten von Kaspersky sprechen von einem weltweiten Problem. Doch wie sieht die Lage in der Schweiz aus? Eine Studie zur Schweiz gibt es zumindest von Kaspersky nicht, wie das Unternehmen auf Anfrage mitteilt.

Was sagen also die potenziellen Opfer, die Schweizer Banken? Nicht viel.

Die Luzerner Kantonalbank nennt auf Anfrage nur den Hersteller ihrer Bancomaten: NCR Schweiz.

Unter welchem Betriebssystem laufen die Geräte? Keine Angaben.

Verwenden Sie den XFS-Standard? Keine Angaben.

Wie viele Angriffe gab es auf Ihre Bancomaten bisher? Keine Angaben.

Wie schützen Sie die Bancomaten vor Fremdeinwirkung? "Wir setzen eine breite Palette an Massnahmen ein", schreibt die Mediensprecherin der Luzerner Kantonalbank, Ursi Ineichen.

UBS-Sprecher Marco Tomasina ist noch wortkarger. "UBS gibt keine Details zur Sicherheit und Schutzmassnahmen von Bancomaten bekannt", schreibt er als einzige Antwort auf acht Fragen.

Bancomaten der ZKB laufen unter Windows 7

Katharina Wälchli, Mediensprecherin der Zürcher Kantonalbank, verrät immerhin, dass die Bancomaten der Bank unter Windows 7 laufen. Das ist aus Sicht von Kaspersky schon ein Fortschritt. Die Sicherheitsexperten bemängeln nämlich, dass die meisten Automaten noch Windows XP im Einsatz hätten.

Die Geräte der Zürcher Kantonalbank stammen von den Herstellern Glory Global Solutions und Wincor Nixdorf.

Raiffeisen erlebte Angriffe, nennt aber keine genauen Zahlen

Über Windows XP ist man bei der Raiffeisen Bank ebenfalls hinaus. "Unsere Bancomaten laufen unter Windows 7", schreibt Raiffeisen-Sprecherin Monika Waldburger. Den veralteten XFS-Standard setzt die Bank trotzdem ein.

Zu den Schutzvorkehrungen sagte Waldburger nichts. "Sicherheitsmassnahmen von Raiffeisen kommentieren wir nicht in der Öffentlichkeit."

Gab es Angriffe? Waldburger antwortet nicht direkt, sagt aber, dass die Raiffeisen in den vergangenen Jahren Ziel von Skimming- respektive physischen Attacken gewesen sei.

Die Raiffeisen setzt Automaten von Diebold und NCR ein.

Kriminelle versuchten, sieben Mal Migros-Bancomaten zu knacken

Urs Aeberli, Mediensprecher der Migros-Bank, nennt hingegen konkrete Zahlen. Insgesamt sieben Aufbruchversuche gab es bei der Bank im vergangenen Jahr. "Allesamt erfolglos dank unserer Massnahmen", schreibt Aeberli.

Welche sind das? "Umfassende aufeinander abgestimmte Massnahmen in physischer, technischer und organisatorischer Hinsicht."

Die Migros-Bank nutzt Geldautomaten von Wincor Nixdorf und NCR.

Wincor Nixdorf beliefert auch die Berner Kantonalbank, wie Kommunikationsleiter Alex Josty schreibt.

Unter welchem Betriebssystem laufen die? Keine Angabe.

Verwenden Sie den XFS-Standard? Keine Angabe.

BEKB setzt auf die "gängigen Sicherheitsmassnahmen der Branche"

Angriffe auf Automaten der Berner Kantonalbank habe es seit Jahren nicht gegeben. Sollte es zum Angriff kommen glaubt sich die Bank gewappnet. "Die Berner Kantonalbank schützt ihr Netzwerk und ihre Automaten mit den gängigen Sicherheitsmassnahmen der Branche", schreibt Josty. "Zu diesem Zweck tauschen wir uns mit dem Hersteller und anderen Banken aus."

Die Coop-Bank ist ebenfalls Kunde von Wincor Nixdorf. Laut Kommunikationsleiterin Natalie Waltmann laufen die Bancomaten der Bank "zurzeit" unter Windows 7 inklusive XFS-Standard. Waltmann sagt ausserdem, dass alle Banken in der Schweiz auf XFS setzen.

Wie die Sprecher der anderen Banken hält sich Waltmann sehr bedeckt. "Die Bank Coop nutzt verschiedene Soft- und Hardware-Schutzmassnahmen", schreibt sie.

Wie viele Angriffe gab es auf Ihre Bancomaten bisher? Keine Angabe.

Postomaten laufen unter einem Derivat von Windows XP

Wie sieht es bei der Post aus? Vorreiter im Mobile Payment, Gewinner des Digital Transformation Award 2016.

Die Postomaten, wie die Tochtergesellschaft Postfinance ihre Bancomaten nennt, laufen laut Sprecher Johannes Möri allesamt unter "Windows Embedded POSready 2009". Ein Derivat von Windows XP, wie Microsofts Website zu entnehmen ist.

Der Mainstream-Support für "Windows Embedded POSready 2009" endete 2014. Der Extended Support läuft noch bis April 2019.

Die Postomaten nutzen ebenfalls den von Kaspersky als unsicher eingestuften XFS-Standard. Die Automaten selbst stammen von Wincor Nixdorf und Glory Global Solutions.

Wie viele Angriffe auf Postomaten gab es? "Dazu machen wir aus sicherheitstechnischen Gründen keine Angaben", schreibt Möri.

Das Kaspersky-Team rät, den XFS-Standard zu überarbeiten

Man fühlt sich an das umstrittene Konzept "Security through obscurity" erinnert. Sicherheit durch Unklarheit. Man versucht, die Sicherheit eines Systems zu gewährleisten, indem man dessen Funktionsweise geheim hält.

Das Team von Olga Kochetova rät derweil, dass Hersteller von Geldautomaten den XFS-Standard überarbeiten sollten. Eine Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software sei denkbar. Das würde die Wahrscheinlichkeit einer nicht autorisierten Geldentnahme minimieren.

Ausserdem sollten die Hersteller Daten verschlüsseln. Die Identität der Daten, die zwischen Hardwareeinheiten und dem PC im Geldautomaten ausgetauscht werden, sollte jedes Mal kontrolliert werden. Eine Art authentifizierte Geldausgabe nennt Kaspersky das.

Anmerkung der Redaktion: Credit Suisse und der Bancomat-Hersteller Wincor Nixdorf reagierten nicht auf die Anfragen des Autors.