95 Prozent aller Geldautomaten laufen mit Windows XP
Seit einiger Zeit versucht Microsoft seine Windows-XP-Anwender fĂĽr ein Upgrade auf eine aktuellere Windows-Version zu gewinnen. Neben den updateunwilligen Normalanwendern scheint es aber eine noch standfestere Klientel zu geben: Die Banken.
Laut einem Bericht der Businessweek laufen immer noch 95 Prozent aller etwa drei Millionen Geldautomaten weltweit mit Windows XP. Das Aktualisieren der Geräte geht nur langsam voran, obwohl Microsoft bereits mehrfach ein Ende des Supports für Windows XP angedroht und wieder verschoben hat. Anfang April 2014 ist nun endgültig "End of Life" für das bald 13 Jahre alte Betriebssystem und das bedeutet, es wird keine Systemaktualisierungen oder Hot-Fixes für Sicherheitslücken mehr geben. Anders als ursprünglich geplant will Microsoft jedoch Signatur-Updates für seine Virenscanner wie Microsoft Security Essentials bis zum 14. Juli 2015 ausliefern.
Aravinda Korala, CEO eines Softwareentwicklers für Geldautomaten, schätzt, dass die US-Geldinstitute bis zur April-Deadline nur etwa 15 Prozent der Automaten auf Windows 7 aktualisiert haben werden. Bei vielen Maschinen wird ein einfaches Upgrade auf Windows 7 nicht klappen, da die Hardware-Resourcen ungenügend sind. Wo ein Aufrüsten nicht möglich ist, bleibt oft nur ein kompletter Austausch.
Eine Sprecherin der deutschen Kreditwirtschaft sagte der Nachrichtenseite Golem, dass ihr keine bundesweite Statistik darüber vorliege, welche Betriebssysteme auf den Geld-Spendern laufen würden. "Da die Geldautomaten in Deutschland nicht am Internet hängen, spielt die Art des Betriebssystem aber auch keine Rolle. Alle Geldautomaten, die die Deutsche Kreditwirtschaft nutzt, sind von dieser geprüft und abgenommen." Ein Heise-Online vorliegendes Dokument der Deutschen Kreditwirtschaft über die zugelassenen Geldautomaten (Stand Ende November 2013) legt den Schluss nahe, dass praktisch alle Automaten in Deutschland mit Windows 2000 oder Windows XP betrieben werden.
Die Aussage der Sprecherin lässt aufhorchen, denn es gibt auch andere Wege, um einen PC zu kompromitieren. Einfallstor kann beispielsweise der USB-Anschluss sein, den der Automat für Drucker und Webcam benötigt. Kriminelle haben bereits bewiesen, wie raffiniert sie solche Schwachstellen nutzen. Der Bericht zweier namentlich nicht genannter Forscher auf dem 30. Chaos Communication Congress (30C3) von Anfang des Jahres zeigt es. Die Anschlüsse sind normalweise durch das Gehäuse vor Zugriffen geschützt. Die Täter schnitten ein Loch in die Plastikverkleidung, um einen präparierten USB-Stick mit Schadcode anzuschliessen. Anschließend restaurierten sie den Geldautomaten so gut, dass der Bank die Manipulation monatelang nicht auffiel.
Angst vor Geldverlusten muss man als Bankkunde dennoch nicht haben, die Geldhäuser haften grundsätzlich bei manipulierten Geldautomaten.
Update 20.01.2014, 17:30:
Ein Kenner der IT-Infrastruktur deutscher Geldautomaten relativierte Heise Online gegenüber mögliche Sicherheitsgefahren. Es sei zwar zutreffend, dass viele Automaten noch mit Windows 2000 und Windows XP liefen, der auf der Sicherheitskonferenz beschriebene USB-Hack könne in Deutschland so aber nicht funktionieren. Die Schnittstellen befinden sich hierzulande ausschließlich im rückwärtigen Bereich des Automaten. Der ist nicht ohne weiteres zugänglich, da die Geräte in Deutschland meist nicht alleine stehen, sondern in eine Wand integriert sind.
Die Automaten sind zudem so stabil, dass man schon Sprengstoff braucht, um an die Innereien zu kommen. Angebunden sind die Geräte über eine komplett eigene Leitung ohne Verbindungen ins Internet. Technische Arbeiten an den Geld-Spendern werden durch Sicherheitsleute streng überwacht, die ausgetauschen Bauteile werden eingesammelt und funktionsunfähig gemacht. Bei einer Tastatur würde beispielsweise der Steuerchip zerstört.
Wenn man in Deutschland einen Automaten "knacken" will, mĂĽssten sich schon Techniker und Sicherheitspersonal mit krimineller Energie vereinigen. Ohne Insiderwissen gehe es nicht. Das Betriebssystem spiele fĂĽr Fragen der Sicherheit nur eine untergeordnete Rolle, es werden die Systeme aber nach und nach aktualisiert. (thk)