atm ist die englische bezeichnung für bankautomat, bank-o-mat oder cash-container. jeder von uns nutzt ihn, jeder von uns braucht das, was er ausspuckt, jeder geniesst die flächendeckende abdeckung zur schnellen liquidität.

normalerweise werden diese geräte ihre dienstleistungen nur bringen, wenn die passende pin, eine vierstelligen zahl, zur eingesteckten karte passt. während des vorgangs des geldabhebens tauscht die atm diverse daten mit der karte, sowie der bank aus. diese verbindungen sollen nun abgefangen werden können durch clevere hard- und software-lösungen. das ist alles andere als einfach, war aber vor nur einem jahr eine utopische vorstellung und theoretisch unwahrscheinlich.

prinzipiell werden meistens netzwerk-angelegenheiten einer bank zu externen firmen ausgelagert. die pin wird dabei normalerweise auf ihrem weg durch die netze mehrfach ver- und entschlüsselt. setzt man ein programm auf ein hardware-modul der ent-/verschlüsselung (hsm) an, ist es möglich durch bestimmte programmierbare schnittstellen (apis) die kommunikation der module zu infiltrieren. der dazugehörige dominoeffekt durch diverse features der module, die unterschiedlich konfiguriert sind, mal mehr, mal weniger einstellungen aktiviert sind und die strecke über mehrere länder führt, ist da vorhersehbar.

keine informationen, wie dazu die lage in deutschland aussieht, die geschichte kommt aus den usa. erst 2003 erschien überhaupt das erste wissenschaftliche dokument zum thema. und 2006 machte das phänomen auch mehr beachtet seine runden. das system selbst mit den hsms müsste komplett neu entworfen werden, was aber momentan wohl zu teuer ist. deshalb gab der hersteller witzigerweise nur eine anleitung heraus, wie die geräte „richtig“ zu konfigurieren seien. der grösste hersteller dieser hsms in diesem industriezweig heisst thales.

[via]

wie mit handelsüblichen routern auch verhält es sich hier bezüglich der sicherheit: man weist alle anschuldigungen von sich, indem man sagt, man könne nichts gegen „faule administratoren“ tun. an der technik liege es also keinesfalls.

als kunde selbst hat man in einem ernstfall schlechte karten: die bank wird wohl erstmal von dem verdacht ausgehen, der betreffende habe sein konto selbst geschröpft. ergibt für mich jetzt nicht sonderlich sinn, aber whatever. in den heutigen zeiten kein illusorisches szenario.

wie immer gilt eine einfach faustregel: das, was man durch technik selber nicht in der hand hat, sollte man gut schützen. deshalb nie auf pin-email-phisher oder ähnliches eingehen. aber das erzählen einem die mainstream-medien auch. vielleicht ist das kopfkissen doch besser für erspartes…

(Rate me? // Beitrag bewerten?)

Loading...