Handelsblatt

MenüZurück
Wird geladen.

04.11.2015

18:07 Uhr

Sparkassen, Sicherheit und Geldautomaten

Der Hacker mit der Girokarte

VonChristof Kerkmann

Geldautomaten sind Computer – und haben das gleiche Problem wie PCs: Es gibt immer wieder Sicherheitslücken. Bei der Sparkasse konnte ein Hacker allein mit einer Kontokarte sensible Informationen auf den Bildschirm holen.

Dieser Anblick bot sich Benjamin Kunz Mejri, als er seine EC-Karten noch einmal in das SB-Terminal schob. Evolution Security

Kommandozeile des SB-Terminals

Dieser Anblick bot sich Benjamin Kunz Mejri, als er seine EC-Karten noch einmal in das SB-Terminal schob.

DüsseldorfDie meisten Sparkassen-Kunden hätten wohl einfach den Geldautomaten gewechselt. Doch Benjamin Kunz Mejri ist kein normaler Kunde. Als ein SB-Terminal der Kasseler Sparkasse seine Girokarte auswirft, probiert er, diese direkt wieder in den Schlitz zu schieben – was nach einigem Hin und Her zu einem Ergebnis führt, das Bankobere erschreckt: Es öffnet sich auf dem Bildschirm ein Fenster mit internen Informationen und Einstellungen, mit denen ein krimineller Hacker dauerhaft Schäden hätte anrichten können.

Dass Kunz Mejri diese Sicherheitslücke entdeckt hat, kommt nicht von ungefähr: Der 32-Jährige ist Sicherheitsforscher. Er hat die „Vulnerability Labs“-Initiative gegründet, die Sicherheitsprobleme publik macht, und leitet die Firma Evolution Security GmbH. Diese ist darauf spezialisiert, im Auftrag von Unternehmen Schwachstellen ausfindig zu machen. Der Informatiker hat also ein Gespür für solche Fälle. Auch in der Sparkassen-Filiale in Vellmar bei Kassel: „Ich hatte das Gefühl, dass dort etwas außerplanmäßig laufen wird“, sagt Kunz Mejri.

Die größten Sparkassen Deutschlands (Stand: 2014)

Platz 10: Sparkasse Bremen

Bilanzsumme: 11 Milliarden Euro, Mitarbeiter: 1.537

Platz 9: Mittelbrandenburgische Sparkasse Potsdam

Bilanzsumme: 11,1 Milliarden Euro, Mitarbeiter: 1.683 (Stand: 2014)

Platz 8: Stadtsparkasse Düsseldorf

Bilanzsumme: 11,5 Milliarden Euro, Mitarbeiter: 2.268. Vor zwei Jahren belegte das Institut noch den siebten Rang.

Platz 7: Ostsächsische Sparkasse Dresden

Bilanzsumme: 12 Milliarden Euro, Mitarbeiter: 1.799. Die Bank macht im Vergleich zum Jahr 2012 zwei Plätze gut.

Platz 6: Sparkasse Hannover

Bilanzsumme: 13,9 Milliarden Euro, Mitarbeiter: 2.255

Platz 5: Stadtsparkasse München

Bilanzsumme: 16,5 Milliarden Euro, Mitarbeiter: 3.003

Platz 4: Frankfurter Sparkasse

Bilanzsumme: 17,7 Milliarden Euro, Mitarbeiter: 1.797

Platz 3: Kreissparkasse Köln

Bilanzsumme: 23,2 Milliarden Euro, Mitarbeiter: 4.512

Platz 2: Sparkasse KölnBonn

Bilanzsumme: 29,6 Milliarden Euro, Mitarbeiter: 4.536

Platz 1: Hamburger Sparkasse (Haspa)

Bilanzsumme: 42,4 Milliarden Euro, Mitarbeiter: 5.358

Quelle

Quelle: Deutscher Sparkassen- und Giroverband (DSGV).

Der Vorfall aus Ende April, der jetzt publik geworden ist, verdeutlicht ein grundsätzliches Problem. Geldautomaten sind Computer, die immer wieder Sicherheitslücken haben. Gerade bei Geräten mit dem alten Betriebssystem Windows XP, für das Hersteller Microsoft keine Updates mehr entwickelt. Das ist ein größeres Problem, als man denken mag: Das nicht mehr offizielle von Microsoft unterstützte Betriebssystem läuft derzeit noch auf schätzungsweise sieben von zehn Automaten.

Der Angriffspunkt für Hacker betrifft bestimmte SB-Terminals des Herstellers Wincor-Nixdorf: Die Systeme spielen Sicherheitsupdates auch dann ein, wenn Kunden sie gerade nutzen sollten. Dabei geben sie die Karte aus und zeigen die Meldung an, dass der Automat gerade nicht verfügbar sei. In diesem Prozess lässt sich jedoch eingreifen, wie Mejri festgestellt hat. „Ich habe den Kartenschlitz blockiert und die Karte zweimal vor- und zurückgeschoben, bis der Automat sie wieder geschluckt hatte.“

Kommentare (3)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Peter Lustig

04.11.2015, 18:33 Uhr

Und wieder ein Grund mehr Bargeld abzuschaffen....

Herr Markus Jungfer

04.11.2015, 20:38 Uhr

und wieder ein Grund mehr sich sein Geld am Bankschalter zu holen nicht nicht am Automaten

Frau Sabine Sollert

05.11.2015, 13:25 Uhr

Erstaunlich was alles so möglich ist, wenn man ein Auge dafür hat. Ein Angreifer hätte die Sicherheitslücke sicherlich nicht so einfach gemeldet. Man stelle sich vor ein Angreifer würde organisiert die Informationen von allen Terminals abgreifen oder sich Zugang zum Netzwerk verschaffen. Ich finde es super von der Sparkasse wie das Problem aufgenommen wurde. Besonders ehrenhaft finde ich das Verhalten des Sicherheitsexperten. Erst hat er die Lücke gemeldet, der Sparkasse geholfen und nach dem beheben des Problems veröffentlicht. Ganz grosses Kino den von sowas hört man sogut wie nie etwas in der deutschen Presse.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×