Geldautomaten und POS-Systeme schützen
Ob Cardstealer, vSkimmer oder POSeydon: heute sind Geldautomaten und POS-Systeme mehr denn je von Schadprogrammen betroffen, weil sie Cyberkriminellen direkten Zugang zu Bargeld und Kreditkartendaten verspricht. Die Infektion eines Geldautomaten kann auch Teil eines noch viel größer angelegten Bedrohungsszenarios sein. Eine Advanced Persistent Threat (APT) wie Carbanak konnte 2015 mehr als eine Milliarde US-Dollar an finanziellem Schaden anrichten.
Kaspersky Lab: Auch Geldautomaten benötigen Cyberschutz (Bild: Kaspersky Labs GmbH)
Wie kann ein geeigneter Schutz aussehen? Eine geeignete Sicherheitslösung muss viele Spezifika berücksichtigen, denen eingebettete Systeme im Finanzbereich unterliegen. Geldautomaten und POS-Systeme bilden in der Regel ein Netz aus geografisch weit verstreuten Geräten, die aufwendig zu verwalten sind und daher selten aktualisiert werden. Die oftmals älteren, hochspezialisierten Low-End-Systeme verfügen über wenig Leistung und Speicherkapazität. Außerdem sind sie mit dem Internet häufig nur über langsame drahtlose oder 3G-Netze verbunden. Hinzu kommt, dass Malware für Geldautomaten und POS-Systeme ungleich schnelleren Entwicklungszyklen unterliegt als die attackierten Geräte selbst. So läuft noch die große Mehrheit aller Geldautomaten mit Betriebssystemen auf Basis von Windows XP, für die es keine weiteren Sicherheits-Updates mehr gibt. Microsoft stellte am 12. Januar 2016 den Support für Windows XP Embedded ein, am 12. April 2016 folgte Windows XP Embedded for Point of Service. Ein Software-Update der meist älteren Geräte bedingt häufig neue Hardware-Komponenten. Daher warten viele Banken ab, bis ein genereller Austausch der Flotte an Geldautomaten fällig wird, was alle fünf bis zehn Jahre der Fall ist. Weiter unterliegen alle Systeme, die Kreditkartendaten verarbeiten, den im Payment Card Industry Data Security Standards (PCI DSS) Version 3.1 festgelegten technischen Sicherheitsanforderungen. Auch wenn sich dieser Standard nur auf Virenschutzprogramme bezieht, müssen alle Schutzlösungen die in den Unterkapiteln 5, 6 und 10 von PCI DDS v3.1 formulierten Anforderungen erfüllen. Sie besagen, dass auf den Geräten (insbesondere auf PCs und Server) eine Antiviren-Software installiert sein muss, die alle bekannten Arten von Schadsoftware erkennen, entfernen und vor diesen schützen kann. Alle Virenschutzmechanismen sollen auf dem neuesten Stand sein. Es müssen regelmäßig Scans durchgeführt sowie Audit-Logs generiert und aufbewahrt werden. Benutzer dürfen die Virenschutzsoftware weder deaktivieren noch verändern. Weiterhin müssen vom Hersteller bereitgestellte Sicherheitspatches innerhalb eines Monats nach Veröffentlichung installiert werden.
Probleme mit Wartungsinterface und Middleware
Während ein Geldautomat für den Kunden nur aus Kartenlesegerät, Tastatur zur Eingabe der PIN und Geldausgabefach besteht, ist für Wartungszwecke auf der Rückseite in der Regel noch ein weiterer verschlossener Kasten mit USB-Anschluss und Tastatur angebracht. Oftmals schließt das Wartungspersonal dort aus Gründen der Bequemlichkeit ein USB- oder LAN-Kabel an, dessen äußeres Ende aus dem abgeschlossenen Bereich herausragt und so auch von Cyberkriminellen zur Installation von Malware missbraucht werden kann. Ist ein Geldautomat erst einmal mit Malware infiziert, kann diese zunächst unbemerkt Daten sammeln, um später, getriggert durch die Eingabe einer bestimmten Karte oder PIN, das korrekte Systemverhalten so zu verändern, dass unberechtigt Geldscheine ausgegeben werden. Bei POS-Systemen stellt die Middleware die größte Herausforderung dar. In der Regel wird sie intern oder von kleinen Anbietern entwickelt, wobei oftmals Funktionalität vor Sicherheit geht. Dies stellt ein bekanntes Cybersicherheitsproblem bei Embedded Systems dar; Entwickler konzentrieren sich primär auf die Funktionalität. Allerdings sollte gerade bei eingebetteten Systemen oder Geräten innerhalb des Internets der Dinge von Beginn an IT-Sicherheitsaspekte berücksichtigt werden. Denn anschließende sicherheitstechnische Eingriffe gestalten sich in diesem Bereich schwierig. Wie bei Geldautomaten sind aber auch in POS-Systemen USB-Anschlüsse oder CD/DVD-Laufwerke beliebte Angriffspunkte für Cyberkriminelle.
Maßgeschneiderte Sicherheitslösung
Kaspersky Embedded Systems Security wurde speziell für Geldautomaten und POS-Systeme entwickelt. Die Lösung bietet die Möglichkeit der zentralen Verwaltung aller Geräte hinsichtlich Sicherheitsrichtlinien, Signatur-Updates, Antiviren-Scans und deren Ergebnisse. Die Lösung unterstützt sämtliche Windows-Versionen beginnend mit Windows XP sowie Windows XP Embedded, Windows Embedded 8.0 Standard und Windows 10 IoT. Sie erfüllt die Vorgaben des PCI DSS 3.1 und ist insgesamt eine schlanke Lösung, die mit lediglich 256MB Arbeitsspeicher und 50MB Festplattenspeicher auskommt. Darüber hinaus stehen mit Default Deny und Device Control zwei Funktionen zur Verfügung, mit denen technisch überholte Geldautomaten und POS-Systeme weiterhin genutzt werden können. Im Default-Deny-Modus sind sämtliche ausführbaren Dateien, Treiber und Bibliotheken blockiert, und müssen durch einen Sicherheitsadministrator jeweils explizit freigegeben werden. Mit Device Control lassen sich USB-Anschlüsse gegen den Systemzugriff durch externe Speichermedien schützen, was den gängigsten Angriffsweg von Cyberkriminellen versperrt. Auch können Checksumme (Hash-Wert), Signaturprüfung oder Zielortprüfung durchgeführt werden. Schließlich können mit Kaspersky Embedded Systems Security – wie vom PCI DSS gefordert – Virenscans und die Aktualisierung der Malware-Signaturen nicht nur automatisch, sondern auch manuell und geplant durchgeführt werden. Im Default-Deny-Modus ist keine Aktualisierung nötig. Optional kann eine zweistufige Prüfung von Anwendungen der Whitelist mit dem cloudbasierten Kaspersky Security Network – das Echtzeitinformationen über aktuelle Schädlinge zur Verfügung stellt – realisiert werden. Über die Hälfte der bislang gefundenen Malware gelangte übrigens via Zero-Day- und Zero-Second-Exploits in die Systeme, also über noch ungepatchte Software-Schwachstellen.
Kontrolle und Service
Trotz vieler systemimmanenter Restriktionen ist ein effektiver Schutz von Geldautomaten und POS-Systemen mit umfassender Transparenz und Kontrolle über jeden einzelnen Endpoint sehr wohl möglich. Die Lösung von Kaspersky Lab ist skalierbar und bietet über das Kaspersky Security Center Zugriff auf Bestandslisten, Lizenzierung, Remote-Troubleshooting und Netzwerkkontrolle. Passend zu den oft isolierten und segmentierten Netzwerken der Geldautomaten und POS-Systeme lassen sich alle Agents in einem lokalen Netzwerk über eine beliebige lokale Konsole verwalten, was bei den oft isoliert gesicherten Netzwerken von Geldautomaten und POS-Systemen besonders wichtig ist.
