Die „Jackpotting“ genannte Angriffsmethode war erst kürzlich ein Thema in der Fach- und Tagespresse. Sogar die Tagesschau berichtete (erneut) darüber. Als Ansatzpunkt wurde die USB-Schnittstelle der Rechner in solchen Automaten herausgehoben, über die zum Beispiel Servicetechniker am Gerät arbeiten können sollen. Schafft es ein Dieb, den Automaten zu öffnen und diese USB-Schnittstelle als Anschluss zu nutzen, kann er Jackpotting-Schadsoftware einsetzen. Stöbert man etwas weiter nach solchen Berichten im Internet, so liest man von einer Abwandlung des Hacker-Angriffs am Automaten namens „Blackboxing“, oder auch von Attacken, bei denen die Vernetzung der Automaten ausgenutzt wird.  

Da grinst der mögliche Dieb erfreut: statt einer gefährlichen und leicht Aufmerksamkeit erregenden Sprengung kann er den Automaten mit geringerem Lärm und harmloser aussehendem Werkzeug öffnen und per Software leeren. Wird man von Passanten erwischt, kann man sich als Techniker ausgeben und kommt vermutlich oft damit durch.  

Warum ist das ein Thema? 

Warum wird gerade jetzt über Jackpotting usw. berichtet? Warum wird auch noch genauer beschrieben, wie das funktioniert, und damit möglichen Nachahmern ein Hinweis gegeben? Und andererseits: Das bisschen Bargeld, wenn dann mal hier und da ein Automat den Jackpot ausgeworfen hat – Barzahlung ist doch ohnehin tendenziell von gestern!?  

Das sind genauer betrachtet die falschen Fragen!  

Die Angriffsformen sind nicht neu, das Problem bekannt und entsprechende Berichte ebenso schon mehrfach erschienen wie Vorführ-Videos. Bei Suchmaschinen wie google reicht die Eingabe von Jackpotting, Ergänzungen wie „Anleitung“, „Software“ oder „Software download“ werden einem sofort angeboten – offenbar muss man die elektronische Brechstange nicht selbst herstellen.  

Hinzu kommt: Wer sagt denn, dass es auf Dauer beim Bargeldklau bleiben wird?
Hat man direkten Zugriff auf einen Rechner und sind dessen Anschlüsse nicht gegen Missbrauch abgesichert, kann man versuchen, verschiedene Hackersoftware zum Einsatz zu bringen. Bargeldannahme und Geldausgabe sind da längst nicht die einzigen angreifbaren Automatenfunktionen. Der Trend, dem von Menschen besetzten Schalter durch Automaten Konkurrenz zu machen, ist seit Jahren zu beobachten. Wenn es für den Gauner „gut läuft“, schafft er es sogar, einen Trojaner zu installieren, so dass er sich immer wieder und auf verschiedene Weise an einem einmal manipulierten Automaten bedienen kann. Je „smarter“ – d.h. mit Zusatzfunktionen versehen – die Automaten werden, desto mehr Möglichkeiten zum Missbrauch sind denkbar, wenn man unbefugt eingreifen kann. 

Und was ist mit Gegenmaßnahmen? 

Wenn das Problem schon länger bekannt ist, müsste es doch längst gelöst worden sein, könnte man erwarten. Hierzu ein Blick in die Praxis:  

Auf den ersten Blick naheliegende Gegenmaßnahmen haben je nach Automateneinsatz ihre Grenzen. Das regelmäßige Leeren der Barbestände von Automaten und entsprechende Hinweisschilder mögen bei Münzstaubsaugern an Tankstellen etwas bringen. Bei rund um die Uhr nutzbaren Geräten, deren Funktion das Geldabheben oder die Barzahlung inklusive Wechselgeldausgabe ist, würde man mit solchen Ansätzen eher die Kunden verärgern.  

Automaten gegen unbefugtes Öffnen besser zu schützen, ist sicherlich eine brauchbare Idee, wenn ja offenbar der Zugang zum rechnergesteuerten Innenleben ein typischer Weg zum Versuch eines elektronischen Diebstahls ist. Allerdings muss man sehen, was der Aufstellort eines Automaten da möglich macht, ohne den Zugang für berechtigtes Servicepersonal des Automatenbetreibers zu stark zu behindern. Leicht aufzubrechende Automaten durch physisch sicherere zu ersetzen, ist auch nicht mal eben im Schnellverfahren erledigt. Ersatzbeschaffung und Austausch werden in der Praxis nach entsprechendem Beschluss oft nur nach und nach passieren. Auch nützen Öffnungssensoren, Kameraüberwachung usw. wenig, wenn das zügige Reagieren und nötigenfalls das Eingreifen vor Ort im Falle eines Alarms nicht organisiert ist.  

Aber da war doch von „Angriff auf eingebaute Rechner“ und von „Hackersoftware“ die Rede? Da müsste es doch Gegenmaßnahmen geben! Das ist grundsätzlich eine sehr gute Idee. Denkt man an typischen Schutz von Bürorechnern oder von zu Hause genutzten PCs oder Notebooks und überträgt das gedanklich auf den Rechner in einem Automaten, so ergeben sich Standardmaßnahmen wie 

• Schnittstellenabsicherung und grundlegende Härtungmaßnahmen auf Betriebssystemebene 
• Zugriffe auf die Automatensoftware durch Authentisierung absichern, Standard-Passwörter und ähnliche inital „ab Werk“ vorhandene Authentisierungsinformationen ändern 
• Einsatz von Verschlüsselung zur Verhinderung von Schritten zur Vorbereitung des eigentlichen Jackpotting oder Blackboxing-Angriffs (Schutz der lokalen Festplatte im Automaten, Schutz der Kommunikation des Geräts im Rahmen notwendiger Kommunikation während der Durchführung berechtigter Vorgänge) 
• bei konkretem Manipulationsverdacht kontrollierte „Rücksetzung“ nach festgelegtem Verfahren 

Also: Automaten kaufen und einsetzen, die solche Maßnahmen möglich machen, diese Schutzmaßnahmen vor der Aufstellung treffen und einen Servicevertrag abschließen, über den das aktuell gehalten wird – und schon hat man einen guten Abwehrplan – das war’s!? 

Ist das nicht ein alter Hut und ein solches Vorgehen nicht selbstverständlich? 

Leider nein! Anders ist es nicht zu erklären, dass bei Formen von „Jackpotting“ laut Angaben des Bundeskriminalsamts im Jahr 2018 eine massive Steigerung erkannter entsprechender Angriffsversuche zu verzeichnen war. Auch wenn ein Teil der untersuchten Fälle erfolglos gescheitert ist, kann man sich auf dieser „Quote“ (ohne Dunkelziffer – nicht jeder Automatenbetreiber meldet gerne jeden Vorfall) nicht ausruhen. Das gilt schon gar nicht, wenn mit zunehmenden Automatenfunktionen mehr Missbrauchsoptionen entstehen können.  

Die Erfahrung der ComConsult aus dem Beratungs- und Dienstleistungsalltag zu solchen Automaten und anderen „intelligenten Geräten“ sind ebenfalls nicht nur erfreulich. 

So kommt es vor, dass bei unterstützten Vorgängen zur Beschaffung neuer Geräte erst einmal Überzeugungsarbeit geleistet werden musste, dass auf Möglichkeiten zur Absicherung und entsprechende Ausstattungsdetails zu achten ist. Bei der Mitwirkung an Ausschreibungsvorgängen zu Bereitstellungs-, Support– oder Betreiberverträgen musste erst erklärt werden, dass auch bei solchen Geräten „typische IT-Sicherheits- und Betriebsaspekte“ anfallen und geeignet geklärt werden müssen. Entsprechende Detailpflichten wurden erst auf solchen Hinweis explizit geregelt, entsprechender Aufwand wurde zum Teil erst auf ausdrückliches Nachfragen und Nachfassen im Rahmen von Angebotsauswertungen bzw. Bietergesprächen in den finalen Preis mit einkalkuliert. 

Oftmals werden smarte Geräte nicht von IT-lern in die Projekte eingebracht und das Thema Sicherheit hat nie eine Rolle bei der Auswahl gespielt. Ebenso ist eine nachträgliche Pflege mittels Updates ungeklärt. Viele Unternehmen aus diesem Umfeld sind Start-Ups mit den entsprechenden Vor- und Nachteilen: Einerseits reagieren die Unternehmen oftmals agil auf Kundenwünsche, wenn es um die Erweiterung der Funktionalität geht, andererseits sind die Themen Security, Wartbarkeit oder gar eine entsprechende Zertifizierung nie im Fokus der Entwickler gewesen. So kann es bei der Planung von Smart Commercial Buildings schon einmal passieren, dass die Firma des smarten Produkts bei der Fertigstellung des Gebäudes schon gar nicht mehr existiert oder von einem Konkurrenten aufgekauft wurde, der die Wartung dann nur halbherzig oder gar nicht weiterführt. Aber auch bei etablierten Herstellern aus dem Bereich der Gebäudeautomatisierung trifft man häufig auf Unwissenheit oder mangelhafte Sorgfalt. Eine mehr als zehn Jahre alte Linux-Version auf einem Controller der Gebäudetechnik ist keine Seltenheit. 

Auch hier hilft es, seinen Kästner zu kennen und zu leben: 

Es gibt nichts Gutes –
hier: „ab Werk sichere Geldautomaten“, „sicheren Betrieb solcher Geräte als Selbstverständlichkeit, …
Außer: man tut es –
und wer das Gute will, muss Bescheid wissen und „sich kümmern“, mit gezielter Beschaffung und „smartem Automatenbetrieb“.