Wie Profis einen Geldautomaten hacken – Seite 1

Geldautomaten sind im Prinzip nichts anderes als Computer mit einem Tresor im Inneren. Deshalb sind sie seit Jahren immer wieder das Ziel von Hackerangriffen. Wenn Sie wissen wollen, ob der Bankautomat, den Sie benutzen, gehackt wurde, geben Sie statt Ihrer PIN einfach mal folgende Ziffernreihe ein: 000507607999.

Falls dann auf dem Bildschirm ein Menü erscheint, das Sie noch nie gesehen haben, sollten Sie besser die Bank informieren.

Zwei Sicherheitsforscher haben beim 30. Chaos Communication Congress (30C3) in Hamburg erklärt, wie Kriminelle mit großem Aufwand eine Reihe von Bankautomaten mit Schadsoftware kompromittiert und anschließend immer wieder unbemerkt Bargeld herausgeholt haben. Sie konnten die Funktionsweise der Schadsoftware per Reverse Engineering nachvollziehen und zeigten sich schwer beeindruckt.

Der Code sei offenbar über einen längeren Zeitraum immer wieder verbessert worden, das lege schon die Versionsnummer 1.5.0.1 nahe. Das Ganze sei das Werk hochprofessioneller Programmierer, sagt einer der beiden Forscher. Und hochprofessioneller Gangster, weshalb er und seine Kollegin nur unter Pseudonym in Hamburg auftraten. Auch im Nachhinein wollten sie lieber nicht namentlich genannt werden, sagte er später im Gespräch. Eine Vorsichtsmaßnahme, obwohl der "elektronische Banküberfall" – so lautete der Titel des Vortrags – gar nicht in Europa stattgefunden hat.

Es war nicht das erste Mal, dass Hacker einen Geldautomaten übernommen haben. 2010 zum Beispiel präsentierte der im vergangenen Sommer gestorbene Barnaby Jack auf der Blackhat-Konferenz in Las Vegas zwei Wege, bestimmte Geldautomaten auszuräumen. Und im Jahr zuvor war in Osteuropa eine Schadsoftware aufgetaucht, die es Kriminellen ebenfalls ermöglichte, an das Bargeld in einem Automaten zu gelangen. Alle diese Hacks funktionieren nur unter bestimmten Bedingungen und sind unterschiedlich "elegant". Eines aber haben sie gemeinsam: Möglich waren sie, weil in den meisten Geldautomaten ein PC mit einem Windows-Betriebssystem steckt.

Die Schwachstellen solcher PCs sind hinlänglich bekannt, für kein Betriebssystem existiert mehr Schadsoftware als für die Windows-Familie. Die Hersteller nutzen Windows dennoch. Denn erstens wird jede Windows-Version jahrelang von Microsoft gepflegt, der Hersteller muss es nicht selbst übernehmen. Zweitens sind die Computer in den Automaten so immer auch mit den vielen anderen Windows-Rechnern in den Banken kompatibel. Und drittens sind Bankautomaten nicht ganz mit normalen PCs vergleichbar: Sie sind nicht mit dem öffentlichen Internet verbunden, weshalb übliche Infektionswege wie verseuchte E-Mail-Anhänge schlicht entfallen. Sie sind also nicht so gefährdet wie die Computer normaler Anwender.

PCs im Inneren werden unterschiedlich gut abgesichert

Die Lizenzkosten für ein Windows-System sind zudem immer noch niedriger als die Kosten für Entwickler, die eine maßgeschneiderte Lösung zum Beispiel auf Linux-Basis bauen und anschließend pflegen könnten. 

Abgesehen davon sind die Hackerangriffe, wie sie 2010 in Las Vegas und 2013 in Hamburg gezeigt wurden, prinzipiell auch gegen andere Systeme möglich. Entscheidend ist, wie der Geldautomat und der PC darin gegen Angriffe abgesichert und gehärtet werden. Das handhaben die Hersteller und die Banken weltweit sehr unterschiedlich.

Die feindliche Übernahme jedenfalls, wie sie die beiden Forscher in Hamburg schilderten, lief über vergleichsweise offensichtliche Hintertüren ab. Die Gangster wussten etwa, dass die von ihnen ausgewählten Automaten eine versteckte USB-Buchse für den Anschluss etwa eines Druckers haben. Sie schnitten die Verkleidungen der – offenbar nicht videoüberwachten – Maschinen auf und steckten USB-Sticks mit speziell auf die jeweiligen Geräte zugeschnittener Malware in die Buchsen.

Zum Geldabheben braucht es einen zweiten Code

Dann erzwangen sie einen Neustart des Automaten, wahrscheinlich trennten sie ihn dazu kurz von der Stromzufuhr ab. Beim Hochfahren startete ein Skript auf dem Stick, das den eigentlichen Schadcode tief im Betriebssystem des Geldautomaten verankerte. Bei jedem weiteren Neustart lief der von da an im Hintergrund mit.

Schon diese automatische Installation vom USB-Stick sollte in einem abgesicherten System nicht möglich sein. Die Hacker wussten aber, dass es trotzdem geht. Es ist einer von vielen Hinweisen darauf, dass sie entweder lange an einem gestohlenen Automaten üben konnten oder Informanten beim Hersteller hatten. 

Um solche Hackerangriffe zu verhindern, müssten die Hersteller der Bankautomaten und deren Kunden in zusätzliche Sicherheitsmaßnahmen investieren. So könnten sie wichtige Software-Komponenten mit Zusatzprogrammen überwachen, um frühzeitig festzustellen, ob das System Dinge tut, die es normalerweise nicht tun sollte. Die betroffene Bank hat diesen Aufwand offenbar gescheut.

Code für den Notfall

Um einen infizierten Geldautomaten auszuräumen, schickten die Gangster einen Kurier. Der musste statt einer normalen PIN die Zahlenfolge 000507607999 eingeben. Damit gelangte er in ein geheimes Menü, dass die Malware erzeugt hatte. Um nun Geld aus dem Automaten zu holen, musste der Kurier einen weiteren Code eingeben. Den bekam er nur telefonisch mitgeteilt. So stellten die Hintermänner fest, dass ihr Kurier nicht still und heimlich das Geld einsacken und abhauen konnte.

Ohne diesen zweiten Code wechselte die Ansicht nach drei Minuten wieder, zu sehen war dann der normale Bildschirm, den alle Kunden zu Gesicht bekommen. Und für den Notfall oder wenn der Job erledigt war, gab es auch einen Code, um die Schadsoftware vom Gerät zu löschen, um die Spuren zu verwischen. Er lautete 000507607999000753951000.