1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Geldautomaten: Skimming an der…

Die 1000.-ste Sicherheitslücke an Geldautomaten zeigt uns was?

  1. Thema

Neues Thema


  1. Die 1000.-ste Sicherheitslücke an Geldautomaten zeigt uns was?

    Autor: Tuxianer 16.02.16 - 15:45

    Geldautomaten: Gefühlt jede Woche kommt eine neue, geradezu banal einfach zu nutzende Sicherheitslücke raus. Ob nun komischerweise physisch wie logisch offene USB-Schnittstellen und Rechner, die man vom USB-Gerät aus booten kann oder unsichere Protokolle oder nun Netzwerk-Schnittstellen, die geradezu dazu einladen, mal mitzuhorchen: Hier werden Scheunentore offen gelassen. Oder vielleicht aufgemacht? Oder doch nur aufgebauscht?

    Es gäbe durchaus sichere Protokolle. Und auch Software, die den Gebrauch gegen einfache Manipulation der Eingabegeräte absichert: Statt die Tasten des Tastenfeldes fest einer Zehl oder Funktion zuzuordnen, kann sie bei jedem Gebrauch die Zuordnungstabelle zufällig ändern; auf dem Bildschirm wird ja angezeigt, was wo ist. Hilfreich wäre auch ein Wählrad und eine Bestätigungstaste; wie weit man das Rad drehen muss, bis die gewünschte Ziffer oder Funktion erscheint, kann leicht und zufällig beeinflusst werden.

    Und ein Gesetzgeber könnte ganz einfach fordern, solche Protokolle oder Geräte zu verwenden - wenn er daran ein Interesse hätte. "Systeme, die nicht dem Standard x entsprechen, verlieren am 30. Juli 2016 die Zulassung." - und schnell würden die Banken reagieren! Und es auch können.

    Klar: Protokolle sind nicht dauerhaft sicher. Dann muss man halt die Systeme mal wieder aktualisieren. Von Otto Normal verlangt die BuRep ja schließlich auch, sein WLan andauernd neu und noch sicherer zu machen, weil er sonst mittels des Damoklesschwerts "Störerhaftung" für anderer Leute Fehlverhalten bestraft wird; Banken aber dürfen noch mindestens bis Sommer 2018 mit unsicheren Protokollen und offen zugänglicher Hardware und ungesicherten Rechnern arbeiten. Dabei ist es schlicht eine Abwägung: Wie viel Aufwand muss ein Angreifer treiben, um Bankomaten zu manipulieren - und wie viel kann er an Ertrag dabei rausholen, bevor sein Zugriff blockiert wird?

    Analog könnte man Banken, die bauliche Sicherheitslücken schaffen (!), zu generellen Strafzahlungen verpflichten. Also nicht erst, wenn ein Automat missbraucht wurde, sondern allein schon dafür, gewisse bauliche Sicherheitsstandards nicht erfüllt zu haben. Jeder Otto Normal muss mit empfindlichen Strafen rechnen, wenn sein Kamin 10 cm zu niedrig oder zu nahe an der Wand ist oder das Blech nicht vom örtlichen, hemmungslos überteuerten aber zertifizierten Ofenbauer montiert wurde. Warum nicht bei Banken? Immerhin gehen die mit nicht wenig fremdem Geld um und gelten schnell mal als "systemrelevant", sprich: Steuergeldergräber zur angeblich nötigen Rettung (der Boni und der Pfründe, nicht der Banken und schon gar nicht ihrer bestohlenen Kunden).

    Und überhaupt: Bargeld wird ja inzwischen (angeblich) in "unvorstellbarem Maße" gefälscht; containerweise soll es aus China kommen. Ach, und weil unsere liebe Regierung unfähig war und ist, Geld so zu gestalten, dass es schlicht zu teuer wäre, es zu fälschen, werden auf einmal das Geld an sich, also Münzen und Scheine, und dazu jeder, der es mit sich herumträgt, als kriminell angesehen?? Ja, so weit ist man bereits: Die BuRep-Regierung will verbieten, mehr als 5000 Eurotz in bar zu bezahlen (bzw. entgegenzunehmen), und die übliche Begründung-für-alles-was-niemandem-nützt-außer-der-Selbstbefriedigung-inkompetenter-Regierungsmitglieder "Terrorabwehr!!!" führt in den Ohren von dem, was volkt (!), sofort zur inzwischen üblichen Lummenhaltung: Ducken, klein werden, nicht aufmucken, nicht auffallen, ja sagen. Wenig bewirken wird solcher Humbug bei denen, die wirklich illegale Dinge vorhaben: Wer illegal eine Waffe kaufen will oder jemanden für einen illegalen Auftrag bezahlen will, wird sich sicher von solchen Kinderabschreckungsscherzen davon abhalten lassen, gelle?

    Dass auf der anderen Seite wegen der "schlechten Zahlungsmoral" mehr und mehr Händler und Verkäufer und Lieferanten und sogar Ärzte nur noch gegen Bares liefern oder verkaufen oder behandeln, scheinen die Regierungen gerne zu übersehen. Und ebenso, dass die Reputation für Kreditwürdigkeit - ein notwendiges Kriterium für den bargeldlosen Handel - von kommerziellen, nicht vereidigten, nicht kontrollierten und nachweislich unseriösen Datenhändlern der schäbigsten Art abhängt, nicht aber von Fakten.

    "Digital ist ja so viel sicherer", krähen Banker und Regierungen unisono: Alle sollen bitte nur noch bargeldlos bezahlen. Und logischerweise auch alles via Computer von daheim aus verwalten. Also sie selber, nicht die Banken, sollen die Arbeit übernehmen. Und das Risiko auch. Die Gewinne gehen bitte weiter an die Banken, die Verluste werden sozialisiert. Als ob es beim digitalen Geld keine Kriminalität gäbe!

    Aber hier schweigen Regierung, Banken und auch die Medienverantwortlichen auffallend laut, wenn es um die unendlich leichter durchführbaren und kaum eindämmbaren Missbräuche beim Internet-Banking geht. Dass immer häufiger Geld veruntreut, Überweisungen "umgebogen" oder Konten digital leergeräumt werden, ist: "kein Thema" (@Golem: Könnte man das "kein Thema" bitte in 5-pt-Schriftgröße und durchgestichen und ganz zartgrau einstellen? ;-)) )

    Mal kurz nachdenken: Bundesweit stehen wie viele Bankomaten rum, frei oder in Filialen der Banken? Etliche Tausend, vermutlich. Auf der anderen Seite stehen alle heimischen PCs, dazu die in der Firma und natürlich inzwischen auch die ganzen Mobil-Dingensens, zusammen wohl 30? 40? Millionen. Irgendwie schon kein echtes Gleichgewicht. Und für die "privaten" Rechner gilt: viele verschiedene Betriebssysteme in x Versionen, y verschiedene (und damit verschiedentlich angreifbare) Browser, mehr und mehr potentiell offene oder zumindest kaum effektiv schließbare WLan-Netzwerke ... Sicherheit? Die scheint, wenn man das glauben würde, was Regierungen und Banker so von sich geben, leichter erreichbar zu sein bei -zig Millionen Alles-kann-drin-sein-Systemen als bei ein paar Tausend Geräten, die von wenigen Einrichtungen zentral verwaltet werden?

    Man könnte verschwörungstheoretisieren, dass es ein auffallend großes Interesse daran gibt, das Bargeld und alles, was damit zu tun hat, zu verteufeln und den vollvirtualisierten Gott des digitalen Geldes anzubeten. Wenn das digitale Geld aber eben doch nicht sicherer ist als Münzen und Scheine: Was bringt es denen, die das digitale Geld anpreisen, dann für Vorteile? Für Banken, Versicherungen, Kreditfirmen, Immobilienhändler, Großverteiler im Lebensmittel-, im Kleidungs- und im Unterhaltungs- und Freizeit- (und Freizeit-Geräte-) -Bereich: Es entstehen massenweise verwertbare Daten. Und um die geht es: Der gläserne Bürger ist der manipulierbare Bürger. Für Regierungen gibt es da noch eine andere Interessensebene: Konto sperren oder leer räumen, ist bei jemandem, der politisch nicht opportun ist, ein recht wirkungsvolles Mittel, um ihn an der Wahrnehmung seiner (sowieso zunehmend weggestohlenen) Rechte und Freiheiten zu hindern. Neinnein, daran denkt die Regierung doch sicher nicht, doch sicher nicht unsere Regierung ...?

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  2. Re: Die 1000.-ste Sicherheitslücke an Geldautomaten zeigt uns was?

    Autor: theWhip 17.02.16 - 10:05

    Der Dieb klaut ja nicht das Geld der Bank.... sondern deins, leider. Deswegen dürfen die das, System Relevant. Warum werden in NRW Grenznah zu den Niederlanden soviele Automaten mit Gaspullen geknackt, weil keine Farbpatronen wie in Belgien der den Niederlanden vorhanden. Kostet Geld machen die Banken&Sparkassen nicht.... Um digitales Geld ist der Anfang vom Ende der Demokratie, da bin ich völlig bei dir.



    2 mal bearbeitet, zuletzt am 17.02.16 10:08 durch theWhip.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Mitarbeiter (m/w/d) für IT-Consulting
    ProSoft GmbH, Geretsried
  2. (Senior) Solution Architect - Dynamics 365 / Power Platform (*)
    ista SE, Essen
  3. Embedded Systems Entwickler (m/w/d) Additive Manufacturing
    DMG MORI Additive GmbH, Bielefeld
  4. Trainee Metallurgie im Transformationsprojekt SALCOS (w/m/d)
    Salzgitter Flachstahl GmbH, Salzgitter

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (bis 27.12.)
  2. 879€ (UVP 1.129€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitale-Dienste-Gesetz: Regierung bessert bei der Störerhaftung nach
Digitale-Dienste-Gesetz
Regierung bessert bei der Störerhaftung nach

Bei der Umsetzung des DSA in deutsches Recht soll der Schutz vor kostenpflichtigen Abmahnungen nun doch beibehalten bleiben.
Ein Bericht von Friedhelm Greis

  1. Störerhaftung Verbraucherschützer befürchten neue Abmahnwelle bei WLANs

Science-Fiction: Zehn Sci-Fi-Highlights aus den 70er Jahren
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren

Mit Star Wars verändert sich die Science-Fiction im Kino stark. Welche anderen Filme aus den 70ern sollte man unbedingt gesehen haben?
Von Peter Osteried

  1. Doctor Who Die Geburt des Doctorverse
  2. Sci-Fi-Film T.I.M. Wenn der Hausroboter ein Faible für die Hausherrin hat
  3. Alex Garlands neuer Film Civil War Die USA im Bürgerkrieg

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann