Geldautomaten unter Beschuss: Diebold Nixdorf über Trends und Schutzstrategien

Vor einigen Tagen hat ein Sicherheitsexperte anlässlich der Defcon-Konferenz in Las Vegas über Schwachstellen in der weit verbreiteten Sicherheitslösung Vynamic Security Suite (VSS) des Geldautomatenherstellers Diebold Nixdorf gesprochen (wir berichteten). Wie groß ist oder war die Gefahr wirklich? Darüber haben wir mit Bernd Redecker von Diebold Nixdorf gesprochen. Er ordnet das Thema für uns ein, berichtet im Interview mit IT-Finanzmagazin über die aktuellen Security-Trends im Geldautomatenkontext und erklärt außerdem, worauf Banken achten sollten, wenn sie ihre Geldautomaten nachhaltig absichern wollen.

Herr Redecker, der IT-Sec-Experte Matt Burch hat anlässlich der Defcon einen Vortrag zu bereits behobenen potenziellen Lücken bei einer der Diebold-Nixdorf-Sicherheitslösungen gehalten. Was war da los? Ich nehme an, Burch hat diesbezüglich ja nicht erst anlässlich der Defcon mit Ihnen gesprochen?  

Wir haben in 2022 und 2023 mit Matt Burch zusammengearbeitet, um gezielte Penetrationstests an unseren Softwareprodukten und -lösungen durchzuführen und Verbesserungen zu identifizieren, die in den folgenden Produktreleases direkt umgesetzt wurden. Diese Form der Zusammenarbeit insbesondere mit externen Sicherheitsunternehmen ist ein gängiger Prozess zur konstanten Qualitätsverbesserung. Bei dem Produkt, über dass Matt Burch im Rahmen der Defcon gesprochen hat, muss aber vielmehr betont werden, dass es sich um eine Lösung handelt, die bereits zu dem Zeitpunkt aus der aktiven Maintenance war und Ende 2023 den End-of-Life-Status erreicht hat.

Wie haben Sie reagiert und können Sie zusichern, dass es keine weiteren Möglichkeiten für einen entsprechenden Exploit gibt?

Bernd Redecker: Regelmäßige Bugfixes gehören ja überall zum Industriestandard. Penetrationstests auch in Zusammenarbeit mit externen Dienstleistern spielen hierbei eine wichtige Rolle und werden von uns konstant durchgeführt – zur Qualitätsverbesserung und Prävention. Diese werden dann über verschiedene Releases im Rahmen des Product Lifecycles kontinuierlich ausgerollt.

Betrifft ein solches Sicherheitsthema alle Kunden oder nur bestimmte Kundengruppen? Und was können Banken tun, um dem erfolgreich entgegenzuwirken?

Bernd Redecker: Hinsichtlich des Product Lifcecycles unterscheiden wir drei Phasen im Lebenszyklus eines Softwareproduktes: Die aktuelle Produktversion beinhaltet die neuesten Features und Service-Updates. Bei Freigabe dieser aktuellen Version wird die bisherige automatisch in die Phase der „aktiven Maintenance“ überführt (sozusagen „n-1“). In dieser Phase werden zum Beispiel Bugfixes der aktuellen Version auch noch für die Phase der aktiven Maintenance bereitgestellt. Parallel dazu wird die Version davor („n-2“) in die „passive Maintenance“ versetzt. Auch dies lässt sich am besten am Beispiel eines potenziellen Bugfixes veranschaulichen: Meldet sich ein Kunde mit einem potenziellen Fehler, wird geprüft, ob ein Fix bereitgestellt werden kann. Unter Umständen wird dem Kunden jedoch ein Update auf eine neuere Version empfohlen.

Wir empfehlen Banken grundsätzlich, einen regelmäßigen Update-Pfad einzuhalten. Das bedeutet nicht, dass zwingend jedes noch so kleine Update umgesetzt werden muss, aber es sollten in sinnvollen Abständen ein sorgfältiges Monitoring und entsprechende Maßnahmen stattfinden.“

Ziel sollte es sein, das die Flotte immer auf einer maintenierten Version der jeweiligen Software ist. Darüber hinaus sollte ein „Fasttrack“ etabliert werden – denn neben sogenannten regelmäßigen Patchdays ist es unter Umständen notwendig, spontan wichtige Updates binnen weniger Tage einzuspielen. Grundsätzlich gilt aber ohnehin, dass wir die offene Kommunikation zu unseren Kunden und die Sensibilisierung sehr ernst nehmen. Sollten hier Fragen von Seiten der Kunden bestehen, stehen wir für einen Gedankenaustausch jederzeit gerne zur Verfügung

Wenn wir über Betrugsszenarien sprechen, gibt es da ein Momentum für bestimmte Angriffsszenarien, gibt es Wellen oder Trends?

Bernd Redecker: In der Tat sehen wir da gewisse Trends, die übrigens nicht überall dieselben sind. So ist das Thema Geldautomatensprengungen aktuell hierzulande dominierend, während diese im europäischen Ausland aus unterschiedlichen Gründen rückläufig sind und in einigen Ländern, beispielsweise in Südamerika, sogar gar kein Thema mehr sind. Umgekehrt spielt das Thema Skimming hier aufgrund umfassender Schutzmaßnahmen kaum mehr eine Rolle, während wiederum in anderen Gegenden der Welt, etwa in den USA, häufiger solche Fälle zu beobachten sind..

Wie können Banken ihre Geldautomaten denn in Zukunft nachhaltig und vernünftig schützen?

Bernd Redecker: Wichtig ist aus unserer Erfahrung das Abwägen von einem Maximum an Schutz bei zugleich vertretbarem Aufwand. Entscheidend ist neben dem bereits genannten Lifecycle-Management (und den regelmäßigen Updates) das Monitoring – und das ist besonders erfolgreich, wenn eine Kombination aus Kamera- und Softwareüberwachung des Geräts stattfindet.

Aber auch der Faktor Mensch, sprich die schnelle Erreichbarkeit von Sicherheitspersonal, spielt eine große Rolle.“

Im Idealfall sollten bei einem Zwischenfall alle Systeme abgeschaltet und der Betriebsüberwachung sowie gegebenenfalls den Polizeibehörden gemeldet werden können.

Herr Redecker, wir danken für dieses Gespräch. tw