Probleme mit Wartungsinterface und Middleware
Während ein Geldautomat für den Kunden nur aus Kartenlesegerät, Tastatur zur Eingabe der PIN und Geldausgabefach besteht, ist für Wartungszwecke auf der Rückseite in der Regel noch ein weiterer verschlossener Kasten mit USB-Anschluss und Tastatur angebracht. Oftmals schließt das Wartungspersonal dort aus Gründen der Bequemlichkeit ein USB- oder LAN-Kabel an, dessen äußeres Ende aus dem abgeschlossenen Bereich herausragt und so auch von Cyberkriminellen zur Installation von Malware missbraucht werden kann. Ist ein Geldautomat erst einmal mit Malware infiziert, kann diese zunächst unbemerkt Daten sammeln, um später, getriggert durch die Eingabe einer bestimmten Karte oder PIN, das korrekte Systemverhalten so zu verändern, dass unberechtigt Geldscheine ausgegeben werden. Bei POS-Systemen stellt die Middleware die größte Herausforderung dar. In der Regel wird sie intern oder von kleinen Anbietern entwickelt, wobei oftmals Funktionalität vor Sicherheit geht. Dies stellt ein bekanntes Cybersicherheitsproblem bei Embedded Systems dar; Entwickler konzentrieren sich primär auf die Funktionalität. Allerdings sollte gerade bei eingebetteten Systemen oder Geräten innerhalb des Internets der Dinge von Beginn an IT-Sicherheitsaspekte berücksichtigt werden. Denn anschließende sicherheitstechnische Eingriffe gestalten sich in diesem Bereich schwierig. Wie bei Geldautomaten sind aber auch in POS-Systemen USB-Anschlüsse oder CD/DVD-Laufwerke beliebte Angriffspunkte für Cyberkriminelle.
Maßgeschneiderte Sicherheitslösung
Kaspersky Embedded Systems Security wurde speziell für Geldautomaten und POS-Systeme entwickelt. Die Lösung bietet die Möglichkeit der zentralen Verwaltung aller Geräte hinsichtlich Sicherheitsrichtlinien, Signatur-Updates, Antiviren-Scans und deren Ergebnisse. Die Lösung unterstützt sämtliche Windows-Versionen beginnend mit Windows XP sowie Windows XP Embedded, Windows Embedded 8.0 Standard und Windows 10 IoT. Sie erfüllt die Vorgaben des PCI DSS 3.1 und ist insgesamt eine schlanke Lösung, die mit lediglich 256MB Arbeitsspeicher und 50MB Festplattenspeicher auskommt. Darüber hinaus stehen mit Default Deny und Device Control zwei Funktionen zur Verfügung, mit denen technisch überholte Geldautomaten und POS-Systeme weiterhin genutzt werden können. Im Default-Deny-Modus sind sämtliche ausführbaren Dateien, Treiber und Bibliotheken blockiert, und müssen durch einen Sicherheitsadministrator jeweils explizit freigegeben werden. Mit Device Control lassen sich USB-Anschlüsse gegen den Systemzugriff durch externe Speichermedien schützen, was den gängigsten Angriffsweg von Cyberkriminellen versperrt. Auch können Checksumme (Hash-Wert), Signaturprüfung oder Zielortprüfung durchgeführt werden. Schließlich können mit Kaspersky Embedded Systems Security – wie vom PCI DSS gefordert – Virenscans und die Aktualisierung der Malware-Signaturen nicht nur automatisch, sondern auch manuell und geplant durchgeführt werden. Im Default-Deny-Modus ist keine Aktualisierung nötig. Optional kann eine zweistufige Prüfung von Anwendungen der Whitelist mit dem cloudbasierten Kaspersky Security Network – das Echtzeitinformationen über aktuelle Schädlinge zur Verfügung stellt – realisiert werden. Über die Hälfte der bislang gefundenen Malware gelangte übrigens via Zero-Day- und Zero-Second-Exploits in die Systeme, also über noch ungepatchte Software-Schwachstellen.
