Frage: „Vor einiger Zeit hörte man immer wieder von Betrügereien rund um Geldautomaten – jetzt kaum noch. Haben die Banken das Problem in den Griff bekommen?“
Antwort: Geldautomaten sind für Betrüger immer noch ein lohnenswertes Ziel. Denn theoretisch passen in einen Geldautomaten bis zu 500.000 Euro Bargeld. Die tatsächliche Summe variiert von Standort zu Standort, im Schnitt sollen zwischen 50.000 bis 200.000 Euro drinstecken, also jede Menge Zaster. Das zieht Gesindel magisch an. Lange Zeit war in der Tat das sogenannte Skimming bei Spitzbuden sehr beliebt, also die Manipulation von Geldautomaten durch ausgetauschte Kartenleser und Tastenfelder. Die Täter arbeiten dabei mit gestohlenen Originalteilen, die kaum zu entdecken sind. Einziger Unterschied: Statt der Bank lesen die Täter die Daten von den Magnetstreifen der Karten genau wie eingetippte PINs. Damit lassen sich dann neue Kartenklone herstellen, mit den die Ganoven dann bis zum Limit Kasse machen.
Skimming hat ausgedient
Doch die Banken haben auf diese Bedrohung reagiert und auf die EMV-Technik gesetzt. Die nutzen hierzulande inzwischen fast alle EC-Karten und Geldautomaten. Eine Art Mini-Computer verschlüsselt den Datensatz und prüft die Karte bei jedem Einsatz auf Echtheit. Dadurch können die Betrüger die „Klone“ in immer weniger Ländern gebrauchen. Dementsprechend kommt es zu immer weniger Skimming-Attacken. Aus dem Lagebericht des Bundeskriminalamts geht zwar hervor, dass 2017 130 mehr dieser sogenannten Skimming-Angriffe in Deutschland erfolgt sind als im Vorjahr. Der Trend zeigt aber auf lange Sicht nach unten.
Dafür haben Hacker Geldautomaten als Angriffsziel entdeckt. Schließlich handelt es sich bei Geldautomaten um nichts Anderes als einen Computer mit angeschlossenem Tresor. Und genau wie bei jedem anderen Computer gibt es Schwachstellen. Vor allem wenn veraltete Betriebssysteme zum Einsatz kommen. Genau das ist bei vielen dieser Bankomaten der Fall. Um Kosten zu sparen, werkelt auf Vielen noch das hoffnungslos veraltete Windows XP. Also die Windows-Version, die Microsoft seit Jahren nicht mehr mit Sicherheitsupdates versorgt. Alles kein Problem, argumentieren die Banken. Schließlich seien die Computer viel sicherer als herkömmliche Computer, da sie nicht mit dem Internet verbunden sind. Gängige Infektionswege wie verseuchte E-Mail-Anhänge oder Hacker-Attacker von außen fielen somit weg.
Geld gut geschützt, PC nicht
Das stimmt, zumindest solange Angreifer keinen direkten Zugriff erhalten. Allerdings ist bei vielen Geldautomaten zwar der Tresor bestens geschützt, die PC-Hardware dagegen nicht. Lässt sich die Frontabdeckung entfernen, haben Cyberkriminelle direkten Zugriff auf Schnittstellen wie USB oder CD-Laufwerk. Darüber können sie dann die Automaten manipulieren. In Hackerkreisen sind solche Maschen bestens bekannt. Bereits 2013 schilderten Sicherheitsexperten auf einer Veranstaltung des Chaos Computer Clubs, wie Kriminelle den Geldautomaten einer ausländischen Bank knackten. Sie manipulierten den Computer so, dass als Kuriere getarnte Komplizen kurze Zeit später das Geld gleich säckeweise abtransportieren konnten. Dazu mussten sie nur statt der normalen Karten-Pin eine von den Hackern programmierte Nummer eintippen. Der Bank fiel der Angriff auf ihr System erst Monate später auf.
Banken im Zugzwang
Die Banken müssten also sowohl die Hardware also auch die Software besser gegen Angriffe wappnen. Doch solange die Modernisierung von tausenden Apparaten mehr kostet, als wenige Raubzüge, wird sich wenig tun. Denn noch sind die groben Jungs in der Mehrzahl, Hackerangriffe auf Geldautomaten sind die Ausnahme. Doch die Banken sollten sich nicht darauf ausruhen: Cyberkriminelle tüfteln immer neue Wege aus, um an das Bargeld im Inneren zu gelangen. Fast jeder Geldautomat lässt sich kapern. Drei innovative Maschen:
- Abheben per Trojaner: Per CD infizieren die Angreifer den Automaten mit einem Schädling. Dann befehlen sie ihm durch die Eingabe eines Codes, große Geldbeträge auszuspucken. Der Trick: Der Trojaner sorgt dafür, dass bestimmte Transaktionen vom System jedes Mal als „nicht durchgeführt“ wieder auf zurückgebucht werden.
- Jackpotting: Hier gelangt ein Schädling per USB-Stick auf den Automaten. Der setzt alle Sperren außer Kraft. Der Täter kann so problemlos den ganzen Tresor plündern.
- Black Box Attack: Die Täter trennen den Tresor vom PC und schließend stattdessen einen eigenen an, etwa ein Smartphone. Nun haben sie die volle Kontrolle und können anschließend mit herkömmlichen Kreditkarten nahezu unbegrenzt Geld „ziehen“.
