SOFTWARE18. Januar 2016

Geldautomaten per Whitelisting-Technologie abschirmen – Schutz per Ausschlussverfahren

leowolfert/bigstock.com
leowolfert/bigstock.com

Geld­in­sti­tu­te sind ein at­traktives Ziel für Angriffe. Und: Die Angriffs-Me­thoden um sich Zutritt zu verschaffen, wer­den zuse­hends aus­gefeil­ter. Wer es allerdings auf die in­ternen Pro­zesse abgese­hen hat, braucht ei­nen lan­gen Atem und lang­fristige Vorbe­rei­tung – wäh­rend gleich im Vorraum der Bank Beu­te gemacht wer­den kann: Geld­automa­ten zu ha­cken ist sehr viel unkomplizier­ter. neXus stellt nun mit der White­listing-Tech­no­logi­en “SE46” eine ­Soft­ware vor – mit ihr sol­len sich Automa­ten si­cher und ab­solut zuverlässig von externen Angriffen ab­schir­men las­sen; System­updates sei­en nicht erforderlich.

der "Local Whitelist Manager"neXus
Der “Local Whitelist Manager” soll die Freigabe-Arbeit der IT erheblich vereinfachen.neXus
Nach wie vor lau­fen rund 95 Pro­zent der Geld­automa­ten auf Win­dows XP (bzw. ei­ner Versi­on von Win­dows Embedded 2009). Ei­nem ver­alte­ten Betriebssys­tem, für das Micro­soft zum Teil kei­ne Si­cherheits-Updates mehr be­reit­stellt. Das macht sie anfällig für ­Atta­cken. Die meis­ten Angriffe auf Geld­automa­ten erfolgen per USB-Stick mit Schad­soft­ware – und davon wer­den unzähl­ige Vari­an­ten ent­wickelt. Dazu kommt: In­zwi­schen geht es für In­sti­tute zu­nehmend dar­um, Lösun­gen zum Schutz großer Netz­werke zu fin­den und die­se zen­tral zu mana­gen. Lösun­gen, bei denen nur zulässige Anwendun­gen zum Ein­satz kommen. Ge­nau hier setzte “SE46 Soft­ware ID” von neXus an, indem es nur die Aus­führung von zuvor regis­trier­ter Hard- und Soft­ware zulässt.

neXus
neXus

 

Gefragt sind Lösungen, die die Geldautomaten zuverlässig schützen und gleichzeitig den administrativen Aufwand in Grenzen halten.”

Jürgen König, Product Director neXus

Einen effektiven Schutz würden Whitelisting-Technologien bieten. neXus stellt dazu die “SE46 Software ID”-Lösung vor. Die Software garantiere per Ausschlussverfahren, dass auf besonders schützenswerten Maschinen nur vertrauenswürdige Software und Hardware genutzt werden kann; Viren und unautorisierte Programme werden konsequent geblockt und können deshalb nie zu einer Gefahr werden.

Certifikate: Ausweise für die Software ohne aufwendige Freigabeprozesse

Grundlage dafür ist eine Whitelist mit definierten Anwendungen, die auf dem Rechner des Geldautomaten laufen dürfen. Zur Authentifizierung dieser Anwendungen stellt SE46 Software ID so genannte Anwendungszertifikate (Application Certificates – „AppCerts“) aus. Diese übernehmen die Funktion eines elektronischen Ausweises für Software und Anwendungen.

Das Verfahren  funktioniert offenbar wie ein elektronischer Ausweis für Personen: Die AppCerts identifizieren und signieren ein bestimmtes Programm mit allen seinen Komponenten. Wird nun ein neues Programm auf dem geschützten Rechner gestartet, prüft die Whitelisting-Software, ob es über ein entsprechendes Zertifikat verfügt. Ist das nicht der Fall, wird es als unzulässiger Content behandelt und aus der geschützten Zone entfernt beziehungsweise für diese nicht zugelassen.

Insbesondere aufwändige Freigabeprozesse seien nicht erforderlich, was die IT entlasten dürfte. Die SE46 Software ID-Lösung eigne sich damit besonders für Rechner beziehungsweise Maschinen, auf denen nur wenige Programme laufen müssen und die auch keine täglichen Updates benötigen – alles Eigenschaften, die auch auf Geldautomaten zutreffen.

Die Genehmigungen werden über das eigenen "Certificate Management" verwaltet.neXus
Die Genehmigungen werden über das eigene “Certificate Studio” verwaltet.neXus

SE46 ist eine PKI-basierte Lösung, die dem Administrator die volle Kontrolle über die gesicherten Systeme ermöglicht. Über den Administrator werden die AppCerts erstellt und signiert, darunter auch die PolCerts, die die Integrity Agents kontrollieren, welche die entsprechenden Systeme schützen. Zudem benötigt SE46 extrem geringe Systemressourcen, wie beispielsweise Speicherplatz, Bandbreite und CPU-Kapazitäten. Ein Server wird nicht benötigt, da alle Signaturen der Zertifikate über das Certificate Studio laufen.

Wenig Aufwand für die IT

Das Prinzip des Ausschluss-Verfahrens soll den Aufwand für den Schutz von Geldautomaten damit extrem gering halten: Die SE46 Software ID-Lösung würde eine überschaubare Liste genehmigter Programme prüfen, die auf den Rechnern laufen – und alle anderen werden geblockt. Für den Kunden ist dieser Schutzmechanismus zudem nicht sichtbar, und er muss sich nicht an ein neues System oder auch nur ein neues Display gewöhnen. Die Banken können mit den bewährten Betriebssystemen weiter arbeiten – und die Geldautomaten laufen wie gehabt wie ein Uhrwerk. Für die Finanzinstitute und ihre Kunden bleibt demnach alles beim Alten. Nur für die Skimming-Profis, deren Hardware einen Treiber benötige oder die Skimming per Software-Attacke versuchen, müssen sich wohl Gedanken über neue Geschäftsmodelle machen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert