Verwundbare Geldautomaten

Spielautomaten beinhalten mehrere Schutzlösungen, aber es gibt auch Schwachstellen.

Laut in den USA veröffentlichten Presseberichten gelang es Hackern zwischen Oktober 2007 und März 2008, sich Zugang zu den Geldautomaten der Citibank zu verschaffen. Mindestens zwei Millionen US-Dollar erbeuteten die Diebe, indem sie PINs ausspionierten, bevor sie sie erbeuteten. Dr. Klaus Gheri, Mitbegründer des Strategischen Produktmanagements von Phion, kommentiert die Gefahren von Spielautomaten.

„ATM selbst ist im physikalischen Sinne ein gut gesichertes System. Das aus dem Gerät austretende Netzkabel jedoch nicht. Daher ist es aus Sicherheitsgründen unerlässlich, dass die Kommunikation zwischen dem Geldautomaten und dem zentralen Serversystem verschlüsselt wird. Der Angriff auf den Beitritt wäre wahrscheinlich nicht erfolgreich gewesen, wenn diese einfache Methode verwendet worden wäre. Zu diesem Zweck müssen Banken wie Unternehmen mit mobilem Personal ein virtuelles privates Netzwerk (VPN) aufbauen, das sowohl verschlüsselte als auch sichere Kommunikation unterstützt.

Allerdings kann die Installation einer zusätzlichen Softwarelösung zur Verschlüsselung gegen bereits bestehende Service Level Agreements mit Automatenherstellern verstoßen. Daher ist die einzige mögliche Maßnahme, die Kommunikation innerhalb des Systems zu verschlüsseln und Schutz vor Angriffen aus dem Netzwerk durch die Firewall / VPN-Geräte zu bieten, glaubt Phion. Die Herausforderung für Banken besteht darin, VPN-Boxen direkt in Geldautomatenschränken zu installieren. Hier herrscht jedoch Platzmangel und im Freien aufgestellte Maschinen unterliegen je nach Jahreszeit starken Temperaturschwankungen. Darüber hinaus können herkömmliche VPN-Verwaltungslösungen eine große Anzahl von Standorten nicht bewältigen, und der Vor-Ort-Service kann zu kostspielig sein.

„Angriffe auf Geldautomaten erfordern fundiertes Fachwissen und enorme Anstrengungen. Privatkunden werden so viel seltener angegriffen als ein Kreditkartenbetrüger. Phions Spezialist hinzugefügt.

Der Fall Citibank wurde bisher nur im Rahmen eines Gerichtsverfahrens gegen die Angreifer veröffentlicht, ihre Betrugsmethoden sind noch nicht bekannt. Sie wissen nur, dass ihre Angriffe aus der Ferne durchgeführt wurden, ohne sich den Geldautomaten zu nähern. Die betroffenen Geldautomaten wurden von externen Unternehmen im Auftrag der Citibank betrieben.