Von Sprengung bis Hacking

Neue Bedrohungen für Geldautomaten

| Autor / Redakteur: Lars Bösel* / Peter Schmitz

Geldautomaten müssen heute physischen und digitalen Bedrohungen standhalten. Von sprengen bis hacken reichen die Angriffe; Banken brauchen deshalb ganzheitliche Sicherheitskonzepte.
Geldautomaten müssen heute physischen und digitalen Bedrohungen standhalten. Von sprengen bis hacken reichen die Angriffe; Banken brauchen deshalb ganzheitliche Sicherheitskonzepte. (Bild: Pixabay / CC0)

Geldautomaten sind aus dem täglichen Leben nicht mehr wegzudenken. Seit ihrer flächendeckenden Einführung Anfang der 1980er Jahre haben sie das Abheben oder Einzahlen von Bargeld für den Bankkunden enorm erleichtert und es Finanzinstituten ermöglicht, Standardprozesse zu automatisieren. Aktuell werden Geldautomaten aber immer häufiger Gegenstand von physischen und digitalen Angriffen.

Derzeit gibt es in Deutschland rund 58.000 Bankautomaten, die 2,1 Milliarden Abhebungen im Jahr abwickeln. Im Durchschnitt gibt jeder Automat 5,5 Millionen Euro im Laufe eines Jahres an Kunden aus. Kein Wunder also, dass Geldautomaten im Visier von Verbrechern stehen. Dabei werden Manipulation, Angriffe und Betrugsversuche auf und über die Infrastruktur der Bankautomaten immer ausgeklügelter und vielfältiger.

Aktuell werden Geldautomaten immer häufiger Gegenstand physischer Angriffe. Eine der Methoden, der sich Kriminelle bedienen, ist das Sprengen von Geldautomaten. Dabei gehen die Täter auf zwei Arten vor: Entweder mit außen am Gerät angebrachten Sprengsätzen oder mit Gas, das nach innen in den Automaten eingeleitet wird. Neuere Geldautomaten halten solchen Angriffe stand, da sie mit sogenannten Ex-Gas-Tresoren ausgestattet sind. Selbst wenn der Geldautomat bei der Sprengung zerstört wird, kommen Angreifer nicht an den Inhalt des Safes. Für ältere Geldautomaten gibt es eine Reihe von Technologien und Maßnahmen, mit denen ein Raubzug erschwert werden kann. So wird mit Gegengas das eingeleitete Gas im Automaten neutralisiert oder mit Piezozündern durch viele kleine Zündungen verpufft. Als wirksames Gegenmittel erweist sich auch der Einsatz von Farbpatronen, die die Geldscheine bei gewaltsamer Öffnung des Tresors einfärben und damit unbrauchbar machen sowie das Auslegen des Tresors mit Dämmmatten, die die Stärke der Explosion mindern sollen.

Wie man einen Bankautomaten hackt

SANS@Night

Wie man einen Bankautomaten hackt

11.05.15 - Bankautomaten, auch als Automated Teller Machine oder ATM bekannt, sind seit jeher ein beliebtes Angriffsziel. Dies ist eine Geschichte von Angriffen auf Bankautomaten, die beim bloßen Aufsprengen beginnt und sich bis hin zu aktuellen Malware-Attacken zieht. lesen

Eine Aufstellung von Geldautomaten in schlecht zu sichernden Bereichen gibt Kriminellen die Möglichkeit, an Kabel zu gelangen und so beispielsweise den PC des Automaten abzukoppeln und einen eigenen Rechner anzuschließen, die so genannte Black-Box. So können sie das Ausgabemodul direkt ansteuern und eine Auszahlung initiieren. Als Gegenmaßnahme empfiehlt sich die Verschlüsselung der Datenübertragung vom Gerät ins Netzwerk sowie die Kommunikation vom PC mit dem Ausgabemodul. Am System selbst sollte zusätzlich eine physische Authentifizierung der Geldausgabe implementiert werden, damit eine Auszahlung über betrügerische Kommandos verhindert wird.

Skimming weiterhin auf hohem Niveau

Neben den rabiaten physischen Anschlägen auf Geldautomaten, bleibt Skimming, wobei illegal Daten von Bankkarten ausgespäht werden, eine der größten Gefahrenquellen. Neuestes Beispiel dafür sind sogenannte Deep Insert Skimmer, die in den Kartenschlitz der Bankautomaten eingeführt werden und von außen nicht zu erkennen sind. Die Skimming-Geräte übertragen die Daten drahtlos oder enthalten einen kleinen Speicherchip, auf dem die Kartendaten gespeichert werden. Oft werden zusätzlich kleine Kameras an der PIN-Eingabe angebracht, um den zur Karte gehörigen PIN-Code zu erfassen. Auch wenn das noch Einzelfälle sind: Laut dem European ATM Security Team (EAST), einer Organisation, die Geldautomaten-Betreiber in 22 Europäischen Ländern vertritt, nahmen die Schäden durch Skimming-Angriffe weltweit ungebremst zu. Seit der Einführung des EMV-Chips auf Bankkarten verlagern sich die Skimming-Angriffe in Länder, in denen der Standard noch nicht eingeführt wurde oder die in Europa erbeuteten Kartendaten werden auf die Magnetstreifen von gefälschten Karten aufgespielt und im Ausland genutzt.

Als Gegenmaßnahme sollten Automatenbetreiber dringend die neuesten Anti-Skimming-Lösungen einsetzen und immer die neuesten Software-Updates aufspielen, die Attacken erkennen und abwehren. Auch Geo-Blocking kann hier Risiken verkleinern. Dabei setzen Finanzinstitute entweder ein Limit für Transaktionen im Ausland oder sperren Buchungsanfragen aus bestimmten Ländern komplett. Das heißt allerdings, dass Bankkunden gegebenenfalls ihre Kreditkarte vor einer Reise ins Ausland erst entsperren lassen müssen.

Darüber hinaus enthalten die neusten Generationen der Geldautomaten neuere IT-Komponenten und bieten damit verbesserte Schutzmaßnahmen. Finanzinstitute sollten daher ihre Hardware in kürzeren Zyklen auf den neusten technologischen Stand bringen.

Endanwender können auch etwas zu ihrem Schutz tun. Manche Skimming-Geräte werden außen an den Automaten angebracht. Bankkunden können prüfen, ob am Kartenleser etwas lose ist oder aussieht, als würde es nicht dorthin gehören. Darüber hinaus sollte die PIN-Eingabe immer sorgfältig abgedeckt werden.

Digitale Transaktionen sind im Trend

Auch wenn Bargeld immer noch eines der beliebtesten Zahlungsmittel in Deutschland ist, finden digitale Transaktionen und Zahlungen immer mehr Akzeptanz, elektronische Geldbörsen liegen voll im Trend. Vernetzte Geräte wie Smartphone oder Tablets bieten neue Einsatzmöglichkeiten, beispielsweise mit Technologien wie NFC (Near Field Communication). NFC erlaubt den blitzschnellen Datenaustausch zwischen zwei Geräten wie zum Beispiel Smartphone oder Kredit- oder EC-Karte mit einem Zahlungsterminal. Die Daten werden über eine kurze Distanz von bis zu zehn Zentimetern per Funk übertragen. Die Sparkassen planen noch in diesem Jahr sieben Millionen Kunden mit NFC-Girokarten auszustatten, die Volks- und Raiffeisenbanken beabsichtigen, drei Millionen Exemplare auszugeben.

Das Token: zuverlässiger Schutz vor Hackern

Die rasante Verbreitung von E-Payment Technologien und die ständige Konnektivität erfordern die vertrauliche Behandlung und Sicherung personenbezogener Daten, Betrugsversuche stellen jedoch auch hier ein großes Bedrohungspotential dar. Dabei hat sich die Tokenisierung zu einer sicheren Lösung für kontaktlose Zahlungen entwickelt. Es handelt sich um ein Verfahren, das die vertraulichen Daten nicht weitergibt. Dabei wird die Kreditkartennummer, PAN genannt, durch ein Token ersetzt, das bei Angriffen den Schaden begrenzt, denn Hacker können die Originaldaten daraus nicht ablesen. Das Format, die Größe und die Merkmale der Token entsprechen zwar den ursprünglichen Daten, sie basieren jedoch auf Zufallszahlen und -zeichen.

Es gibt immer mehr Zahlungsmodelle, die nach einem ähnlichen Prinzip funktionieren. Damit wächst der Druck auf die Autorisierung auf Bankenseite. Um Transaktionen mit gestohlenen Kartendaten zu verhindern, muss eine einwandfreie Validierung der hinterlegten Karte sichergestellt werden. Dazu müssen neue Autorisierungsstufen eingeführt werden, die Transaktionen je nach Transaktionsart und -quelle bewerten.

Mehr Sicherheit durch das Bayes-Modell

Je mehr Zahlungen nur mit Kartendaten und ohne die eigentliche Karte abgewickelt werden, desto wichtiger ist es, Betrug zu erkennen und zu verhindern. Auf 958 Millionen Euro summierten sich die Betrugsfälle bei Zahlungen ohne physische Karte laut den aktuellsten Untersuchungen der Europäischen Zentralbank.

Um Betrugsszenarien zu erkennen, werden seit Jahren Algorithmen auf Basis neuronaler Netze eingesetzt, die Angriffe anhand von Verhaltens- und Ablaufmustern erkennen. Diese Methode ist bewährt, hat aber ihre Schwächen. So können oft nur begrenzte Datenmengen zur Mustererkennung ausgewertet werden.

Weicht der Angriff von bekannten Mustern ab, wird er nicht als solcher erkannt. Ein Lernen von neuen Mustern erfolgt erst durch umfassendes Training. Bei komplexen neuronalen Netzen kann das mehrere Monate dauern. Abgesehen von dem hohen Personalaufwand können sich Finanzinstitute heute solche Reaktionszeiten kaum noch leisten.

Eine Alternative zu der oben beschriebenen Methode stellt das Bayes-Modell dar, das die Implementierung flexiblerer und wartbarerer Modelle ermöglicht, die in realen Umgebungen andere bekannte Lösungen bei der Erkennungsrate übertreffen und erheblich weniger Fehlalarme auslösen. Ergänzt um selbstlernende Funktionen, kann sich das Modell automatisch auf neue Betrugsszenarien einstellen. Das Bayes-Modell arbeitet auf Grundlage einer bekannten Vorverteilung, so wird im Vorfeld abgeschätzt, wie hoch ein eventuelles Risiko ist und mit welcher Sicherheit es zu einem Betrugsfall kommen wird. Im Rahmen eines Meta-Learning Ansatzes hat sich diese Strategie als äußerst erfolgreich erwiesen, da sie es ermöglicht, sich dem schnellen Concept Drift äußerst schnell anzupassen, der die Betrugserkennung durch ständige Veränderungen in Betrugstechniken und Verhaltensweisen erschwert.

Dabei wird für jede Transaktion anhand von statistischen Informationen, Annahmen und Erfahrungswerten bewertet, mit welcher Wahrscheinlichkeit es sich um eine betrügerische Transaktion handelt, unabhängig davon, ob sie im Internet, Online-Banking, am POS-Terminal oder Geldautomaten initiiert wurde. Auf Basis der bewerteten Erkenntnisse werden automatisch vordefinierte Aktionen ausgelöst und Transaktionen entweder genehmigt, abgewiesen oder zurückgestellt. Handelt es sich beispielsweise um eine ungewöhnlich hohe Transaktion für ein bestimmtes Kundenprofil, kann die Bank den Kunden per SMS oder E-Mail über die verdächtige Transaktion informieren und deren Authentizität abfragen.

Auch der NCR-Lösung Fractals liegt das Bayes-Modell zugrunde. Betrugsversuche können damit sehr viel akkurater mit Datensätzen jeder Größe identifiziert werden und können noch während der Autorisierungsabfrage aufgedeckt werden. Dazu kombiniert die skalierbare Lösung lernfähige analytische Modelle mit benutzerdefinierten Regeln, die auch ohne Programmierkenntnisse von den Anwendern unmittelbar und damit schnell und zeitnah erstellt werden können. Der Bayes‘sche Modellansatz hilft Fractals außerdem, aus neuen und veränderten Betrugsversuchen zu lernen und sich anzupassen. So wird die Anzahl der Fehlalarme – und damit die Zahl fälschlich geblockter Transaktionen – enorm reduziert.

Physische und digitale Bedrohungen – ganzheitlicher Ansatz hilft

Finanzinstitute stehen im Wettbewerb unter einem hohen Handlungsdruck und greifen oft zu einer Teillösung. Jedoch sollte die Entwicklung und Implementierung von ganzheitlichen Sicherheitsstrategien, die immer wieder neue Attacken antizipieren, im Vordergrund stehen. Denn nur durch ein Zusammenspiel unterschiedlicher Maßnahmen erreichen die Unternehmen ein hohes Maß an Sicherheit egal ob die Bedrohungen sich auf physische oder digitale Systeme beziehen. Dazu gehören eine kontinuierliche Aktualisierung der Software und das Auswechseln veralteter Hardware, sowie bei kontaktlosen Bezahlmodellen, eine Kombination von Betrugserkennung und Autorisierung. Damit wird das Aufdecken von Angriffen so weit wie möglich automatisiert und Banken verringern ihr Risiko bei Kartenzahlungen. Zudem werden online Zahlungen für die Kunden und Händler günstiger und sicherer.

* Lars Bösel ist Director IT Services Provider bei NCR.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44350177 / Intrusion-Detection und -Prevention)