1. Startseite
  2. Finanzen
  3. Banken + Versicherungen
  4. Banken

  5. Sparkassen, Sicherheit und Geldautomaten: Der Hacker mit der Girokarte

Sparkassen, Sicherheit und GeldautomatenDer Hacker mit der Girokarte

Geldautomaten sind Computer – und haben das gleiche Problem wie PCs: Es gibt immer wieder Sicherheitslücken. Bei der Sparkasse konnte ein Hacker allein mit einer Kontokarte sensible Informationen auf den Bildschirm holen.Christof Kerkmann 04.11.2015 - 18:07 Uhr aktualisiert Artikel anhören

Dieser Anblick bot sich Benjamin Kunz Mejri, als er seine EC-Karten noch einmal in das SB-Terminal schob.

Foto: Handelsblatt

Düsseldorf. Die meisten Sparkassen-Kunden hätten wohl einfach den Geldautomaten gewechselt. Doch Benjamin Kunz Mejri ist kein normaler Kunde. Als ein SB-Terminal der Kasseler Sparkasse seine Girokarte auswirft, probiert er, diese direkt wieder in den Schlitz zu schieben – was nach einigem Hin und Her zu einem Ergebnis führt, das Bankobere erschreckt: Es öffnet sich auf dem Bildschirm ein Fenster mit internen Informationen und Einstellungen, mit denen ein krimineller Hacker dauerhaft Schäden hätte anrichten können.

Dass Kunz Mejri diese Sicherheitslücke entdeckt hat, kommt nicht von ungefähr: Der 32-Jährige ist Sicherheitsforscher. Er hat die „Vulnerability Labs“-Initiative gegründet, die Sicherheitsprobleme publik macht, und leitet die Firma Evolution Security GmbH. Diese ist darauf spezialisiert, im Auftrag von Unternehmen Schwachstellen ausfindig zu machen. Der Informatiker hat also ein Gespür für solche Fälle. Auch in der Sparkassen-Filiale in Vellmar bei Kassel: „Ich hatte das Gefühl, dass dort etwas außerplanmäßig laufen wird“, sagt Kunz Mejri.

Die größten Sparkassen Deutschlands (Stand: 2014)
Bilanzsumme: 11 Milliarden Euro, Mitarbeiter: 1.537
Bilanzsumme: 11,1 Milliarden Euro, Mitarbeiter: 1.683 (Stand: 2014)
Bilanzsumme: 11,5 Milliarden Euro, Mitarbeiter: 2.268. Vor zwei Jahren belegte das Institut noch den siebten Rang.
Bilanzsumme: 12 Milliarden Euro, Mitarbeiter: 1.799. Die Bank macht im Vergleich zum Jahr 2012 zwei Plätze gut.
Bilanzsumme: 13,9 Milliarden Euro, Mitarbeiter: 2.255
Bilanzsumme: 16,5 Milliarden Euro, Mitarbeiter: 3.003
Bilanzsumme: 17,7 Milliarden Euro, Mitarbeiter: 1.797
Bilanzsumme: 23,2 Milliarden Euro, Mitarbeiter: 4.512
Bilanzsumme: 29,6 Milliarden Euro, Mitarbeiter: 4.536
Bilanzsumme: 42,4 Milliarden Euro, Mitarbeiter: 5.358
Quelle: Deutscher Sparkassen- und Giroverband (DSGV).

Der Vorfall aus Ende April, der jetzt publik geworden ist, verdeutlicht ein grundsätzliches Problem. Geldautomaten sind Computer, die immer wieder Sicherheitslücken haben. Gerade bei Geräten mit dem alten Betriebssystem Windows XP, für das Hersteller Microsoft keine Updates mehr entwickelt. Das ist ein größeres Problem, als man denken mag: Das nicht mehr offizielle von Microsoft unterstützte Betriebssystem läuft derzeit noch auf schätzungsweise sieben von zehn Automaten.

Der Angriffspunkt für Hacker betrifft bestimmte SB-Terminals des Herstellers Wincor-Nixdorf: Die Systeme spielen Sicherheitsupdates auch dann ein, wenn Kunden sie gerade nutzen sollten. Dabei geben sie die Karte aus und zeigen die Meldung an, dass der Automat gerade nicht verfügbar sei. In diesem Prozess lässt sich jedoch eingreifen, wie Mejri festgestellt hat. „Ich habe den Kartenschlitz blockiert und die Karte zweimal vor- und zurückgeschoben, bis der Automat sie wieder geschluckt hatte.“

Filialsterben (ausgewählte Bank-Gruppen)
Zahl der Filialen (Ende 2010): 13.025Zahl der Filialen (Ende 2013): 12.323Veränderung 2013 vs. 2010: -5,3 ProzentQuelle: Bundesbank
Zahl der Filialen (Ende 2010): 11.830Zahl der Filialen (Ende 2013): 11.335Veränderung 2013 vs. 2010: -4,2 Prozent
Zahl der Filialen (Ende 2010): 8.132Zahl der Filialen (Ende 2013): 7.610Veränderung 2013 vs. 2010: -6,4 Prozent
Zahl der Filialen (Ende 2010): 2.604Zahl der Filialen (Ende 2013): 2.424Veränderung 2013 vs. 2010: -6,9 Prozent

Durch den Kontakt der Karte mit der Hardwareschnittstelle öffnete sich die Kommandozeile. Das ist ein Fenster, in dem Programmcode durchläuft. Eigentlich sollte es nicht sichtbar sein: Es enthält sensible Informationen, die ein Hacker vom Bildschirm abfilmen könnte. Dazu zählen etwa der Name des Computers, seine Seriennummer, die Nummer der Filiale, der Benutzername des Administrations Accounts aber auch die IP-Adresse der Firewall. „Wenn man im Netzwerk der Bank ist, kann man damit großen Schaden anrichten“, erklärt Mejri.

Verwandte Themen
Sparkassen
Software

Doch es könnte noch dicker kommen: Über die Kommandozeile kann man selbst Befehle ausführen – an den SB-Terminals gibt es schließlich Tastaturen. Kundige Angreifer hätten beispielsweise die Möglichkeit, im Internet oder Netzwerk Schadsoftware zu deponieren und diese dann auf den Terminal-Computer zu laden. Das ist nicht trivial, aber auch nicht unmöglich. Aber wenn es um viel Geld geht, ist die Organisierte Kriminalität mit ihren schier unendlichen Ressourcen nicht weit.

Hersteller Wincor-Nixdorf hat gegenüber dem Handelsblatt die Lücke bestätigt – das betroffene Modell sei bei vielen Sparkassen im Einsatz. Man habe aber bereits ein Update entwickelt und dieses „zeitnah“ auf die Terminals aufgespielt. Die IT-Tochter der Sparkassen, die Finanzinformatik, hatte die Aktualisierung in Auftrag gegeben. Aus Sicht der Sparkassen ist die Gefahr gebannt, so ein Sprecher des Deutschen Sparkassen- und Giroverbands. Dass das Update wirkt, konnte Kunz Mejri selbst ausprobieren. Der Automatenhersteller und die Sparkasse seien mit dem Problem sehr professionell umgegangen, lobt der IT-Sicherheitsexperte, der für seinen Hinweis einen Gutschein erhielt. Ohnehin habe kein akutes Risiko bestanden.

Trotz seines Fundes hat Kunz Mejri aber keine Angst um sein Geld: „Dafür, dass Millionen von Menschen Geldautomaten nutzen, passiert relativ wenig.“ Die Sicherheitsstandards in Deutschland seien deutlich höher als etwa in den USA: „Dort sind die Maschinen teilweise so unsicher wie Getränkeautomaten.“

Zur Startseite Nachricht an die Redaktion
Mehr zum Thema
US-Banken
Mehrere US-Großbanken schließen das Jahr mit hohen Gewinnen ab
Großbank
Kreditkarten-Deal drückt Gewinn – JP-Morgan-CEO schlägt vorsichtige Töne an
Banken
UBS-Chef Ermotti plant offenbar Rücktritt für April 2027 – Namen für die Nachfolge kursieren
Geldpolitik
Strategisch wichtig und hochumstritten – Schicksalsjahr für den digitalen Euro
Start-ups
Welche deutschen Fintechs auftrumpfen – und welche zurückfallen
Wettbewerb
Bankenverband warnt vor wachsender Kluft zu US-Konkurrenz
Übernahme
Deutsche Bank findet Interessenten für Indien-Geschäft
Landesbank Baden-Württemberg
Cum-Ex bei der LBBW: Die Großen lässt man laufen
Unsere Partner
Anzeige
remind.me
Jetziges Strom-/Gaspreistief nutzen, bevor die Preise wieder steigen
Anzeige
Homeday
Immobilienbewertung von Homeday - kostenlos, unverbindlich & schnell
Anzeige
IT Boltwise
Fachmagazin in Deutschland mit Fokus auf Künstliche Intelligenz und Robotik
Anzeige
Presseportal
Direkt hier lesen!
Anzeige
STELLENMARKT
Mit unserem Karriere-Portal den Traumjob finden
Anzeige
Expertentesten.de
Produktvergleich - schnell zum besten Produkt