Aufrufe
vor 2 Jahren

Netzwoche 09/2016

  • Text
  • Schweiz
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Webcode
  • Laut
  • Swiss
  • Mitarbeiter
  • Industrie
  • Microsoft

32 Technology

32 Technology Nachgefragt Eine Gefahr für Banken Einer Kaspersky-Sicherheitsexpertin zufolge könnte fast jeder Geldautomat weltweit gehackt werden. Wie sieht es in der Schweiz aus? Kaum eine Schweizer Bank will offen darüber sprechen. Autor: David Klier «Angriffe auf Automaten der Berner Kantonalbank hat es seit Jahren nicht gegeben.» Alex Josty, Kommunikationsleiter, Berner Kantonalbank Olga Kochetova und ihr Team vom Kaspersky Lab haben sich Angriffe auf Bancomaten angeschaut. Sie analysierten die Attacken und führten Sicherheitseinschätzungen für Geldautomaten mehrerer Banken durch, wie Kaspersky mitteilt. Kochetova und ihr Team kamen zu dem Schluss, dass zu viele Banken auf unsichere Automaten setzen. Unsicher, weil sie offenbar häufig unter veralteten Betriebssystemen laufen und einen nicht mehr ganz taufrischen Standard verwenden – den sogenannten XFS-Standard. Über 20 Jahre alter Standard steuert Hardware Der XFS-Standard wurde 1994 erstmals veröffentlicht. Er dient im Falle der Bancomaten zur Standardisierung der Software, die auf den Automaten läuft. Das Problem: XFS erfordert keine Autorisierung für Befehle, wie das Team um Kochetova schreibt. Einfach ausgedrückt kann jede Anwendung, die auf einem Bancomaten installiert ist, jeder Hardwareeinheit des Geräts Befehle erteilen. Die Hardware stellt den Befehl nicht infrage. Sie führt ihn einfach aus. Das betrifft den Kartenleser, das PIN-Pad und auch die Geldausgabe. Ein eingeschleustes Schadprogramm kann so Kartendaten speichern, Eingaben auf dem PIN-Pad auslesen oder beliebige Summen in bar auswerfen. Das Team um Kochetova bemängelt abseits dieses Softwareproblems fehlende physische Sicherheit. In vielen der untersuchten Fälle hätten Kriminelle gar keine Schadsoftware eingesetzt, sondern Schwachstellen an der Konstruktion ausgenutzt. Über die Schwachstellen erhielten die Kriminellen Zugang zum im Gehäuse installierten PC oder zum Netzwerk, das den PC mit dem Internet verbindet. Haben die Kriminellen das geschafft, können sie laut Kaspersky sogenannte Blackboxen oder eine gefälschte Bankensoftware installieren. Beides lässt sie den Automaten kontrollieren. Schweizer Banken nennen kaum Details Die Sicherheitsexperten von Kaspersky sprechen von einem weltweiten Problem. Doch wie sieht die Lage in der Schweiz aus? Eine Studie zur Schweiz gibt es zumindest von Kaspersky nicht, wie das Unternehmen auf Anfrage mitteilt. Was sagen also die potenziellen Opfer, die Schweizer Banken? Nicht viel. Die Luzerner Kantonalbank nennt auf Anfrage nur den Hersteller ihrer Bancomaten: NCR Schweiz. Unter welchem Betriebssystem laufen die Geräte? Keine Angaben. Verwenden Sie den XFS-Standard? Keine Angaben. Wie viele Angriffe gab es auf Ihre Bancomaten bisher? Keine Angaben. Wie schützen Sie die Bancomaten vor Fremdeinwirkung? «Wir setzen eine breite Palette an Massnahmen ein», schreibt die Mediensprecherin der Luzerner Kantonalbank, Ursi Ineichen. UBS-Sprecher Marco Tomasina ist noch wortkarger. «UBS gibt keine Details zur Sicherheit und Schutzmassnahmen von Bancomaten bekannt», schreibt er als einzige Antwort auf acht Fragen. Bancomaten der ZKB laufen unter Windows 7 Katharina Wälchli, Mediensprecherin der Zürcher Kantonalbank, verrät immerhin, dass die Bancomaten der Bank unter Windows 7 laufen. Das ist aus Sicht von Kaspersky schon ein Fortschritt. Die Sicherheitsexperten bemängeln nämlich, dass die meisten Automaten noch Windows XP im Einsatz hätten. Die Geräte der Zürcher Kantonalbank stammen von den Herstellern Glory Global Solutions und Wincor Nixdorf. Raiffeisen erlebte Angriffe, nennt aber keine genauen Zahlen. Über Windows XP ist man bei der Raiffeisen Bank ebenfalls hinaus. «Unsere Bancomaten laufen unter Windows 7», schreibt Raiffeisen-Sprecherin Monika Waldburger. Den veralteten XFS-Standard setzt die Bank trotzdem ein. Zu den Schutzvorkehrungen sagte Waldburger nichts. «Sicherheitsmassnahmen von Raiffeisen kommentieren wir nicht in der Öffentlichkeit.» Gab es Angriffe? Waldburger antwortet nicht direkt, sagt aber, dass Raiffeisen in den vergangenen Jahren Ziel von Skimming- respektive physischen Attacken gewesen sei. Raiffeisen setzt Automaten von Diebold und NCR ein. Kriminelle versuchten, sieben Mal Migros-Bancomaten zu knacken Urs Aeberli, Mediensprecher der Migros-Bank, nennt hingegen konkrete Zahlen. Insgesamt sieben Aufbruchversuche habe es bei der Bank im vergangenen Jahr gegeben. «Allesamt erfolglos dank unserer Massnahmen», schreibt Aeberli. Welche sind das? «Umfassende aufeinander abgestimmte Massnahmen in physischer, technischer und organisatorischer Hinsicht.» Die Migros-Bank nutzt Geldautomaten von Wincor Nixdorf und NCR. Wincor Nixdorf beliefert auch die Berner Kantonalbank, wie Kommunikationsleiter Alex Josty schreibt. Unter welchem Betriebssystem laufen die? Keine Angabe. Verwenden Sie den XFS-Standard? Keine Angabe. Bild: Fotolia 09 / 2016 www.netzwoche.ch © netzmedien ag

Technology Nachgefragt 33 Sicherheitsexperten sehen im XFS-Standard, der in Bancomaten eingesetzt wird, ein Sicherheitsrisiko. Angriffe auf Automaten der Berner Kantonalbank habe es seit Jahren nicht gegeben. Sollte es zum Angriff kommen glaubt sich die Bank gewappnet. «Die Berner Kantonalbank schützt ihr Netzwerk und ihre Automaten mit den gängigen Sicherheitsmassnahmen der Branche», schreibt Josty. «Zu diesem Zweck tauschen wir uns mit dem Hersteller und anderen Banken aus.» Die Coop-Bank ist ebenfalls Kunde von Wincor Nixdorf. Laut Kommunikationsleiterin Natalie Waltmann laufen die Bancomaten der Bank «zurzeit» unter Windows 7 inklusive XFS-Standard. Waltmann sagt ausserdem, dass alle Banken in der Schweiz auf XFS setzen würden. Wie die Sprecher der anderen Banken hält sich Waltmann bedeckt. «Die Bank Coop nutzt verschiedene Softund Hardware-Schutzmassnahmen», schreibt er. Wie viele Angriffe gab es auf Ihre Bancomaten bisher? Keine Angabe. Wie sieht es bei der Post aus? Vorreiter im Mobile Payment, Gewinner des Digital Transformation Award 2016. Die Postomaten, wie die Tochtergesellschaft Postfinance ihre Bancomaten nennt, laufen laut Sprecher Johannes Möri allesamt unter «Windows Embedded POSready 2009». Ein Derivat von Windows XP, wie Microsofts Website zu entnehmen ist. Der Mainstream-Support für «Windows Embedded POSready 2009» endete 2014. Der Extended Support läuft noch bis April 2019. Die Postomaten nutzen ebenfalls den von Kaspersky als unsicher eingestuften XFS-Standard. Die Automaten selbst stammen von Wincor Nixdorf und Glory Global Solutions. Wie viele Angriffe auf Postomaten gab es? «Dazu machen wir aus sicherheitstechnischen Gründen keine Angaben», schreibt Möri. Das Kaspersky-Team rät, den XFS-Standard zu überarbeiten Man fühlt sich an das umstrittene Konzept «Security through obscurity» erinnert. Sicherheit durch Unklarheit. Man versucht, die Sicherheit eines Systems zu gewähr leisten, indem man dessen Funktionsweise geheim hält. Das Team von Olga Kochetova rät derweil, dass Hersteller von Geldautomaten den XFS-Standard überarbeiten sollten. Artikel online auf www.netzwoche.ch Webcode 7942 www.netzwoche.ch © netzmedien ag 09 / 2016

Archiv