Noch eine kuriose Geschichte zum heutigen Patchday, die zeigt, dass wir niemals sicher und gegen Schwachstellen (wie z.B. die menschliche Dummheit) gefeit sind. Zwei Neuntklässlern ist es gelungen, einen Geldautomaten auf recht kuriose Weise zu hacken – so nach dem Ansatz "Lesen und ein Passwort 123456" probieren.
Anzeige
Sachen gibt es, die gibt es gar nicht. Bei allem, was mit Geld und Transaktionen zu tun hat, geht Otto Normalnutzer davon aus, dass das doppelt und dreifach, möglichst TÜV-geprüft, abgesichert ist. Dass das mit dem TÜV-Siegel auch nicht viel aussagt, habe ich gestern im Beitrag Sparkassen-App: Reaktion auf ungefragte Datenübertragung angerissen. Und wenn Du weltweit Geld mit EC- oder Kreditkarten aus Geldautomaten abhebst, musst Du auch davon ausgehen, dass die Transaktionen sicher sind – andernfalls kannst Du kein Plastikgeld mehr einsetzen. Gilt jedenfalls für den zivilisierten Teil dieser Welt (wobei ich den scheinbar noch nicht gefunden habe). Und überhaupt – Geldautomaten scheinen eine wandelnde Sicherheitslücke zu sein, wenn ich mir den Blog-Beitrag Hacker greifen Windows XP-Geldautomaten an so ansehe.
Aber Hacker-Qualitäten scheinen nicht immer erforderlich zu sein. ZDNet.com berichtet hier über einen besonders kuriosen Fall, der sich laut Winnipeg Sun bei einem Geldautomaten der Bank of Montreal ereignet hat. Zwei 14 Jahre alte Jungs aus der neunten Klasse fanden online ein Manual für Geldautomaten dieser Bank. Das haben sie sich ausgedruckt und einfach mal durchgelesen. Und weil im lokalen Supermarkt ein Geldautomat des Bankhauses stand, haben die beiden in ihrer Mittagspause einfach mal probiert, ob sie diesen Geldautomaten in den Wartungsmodus umstellen können – wie man das als "Jungs einfach mal so macht".
Zur Überraschung der Beiden klappte die Anleitung aus dem Manual überraschend gut – da hat jemand eine akkurate Dokumentation verfasst. Doof: Im Maintenance-Mode kam dann die Frage des Geldautomaten nach einem Kennwort. Und noch doofer – die beiden Jungs gaben einfach mal so zum Spass das Passwort 123456 ein – weil das Ding genau sechs Ziffern haben wollte – und waren im Wartungsmodus des Automaten drin. Sie konnten die Höhe des Bargeldbestands im Automaten, die Höhe der Tagesabhebungen, die erhobenen Transaktionsgebühren etc. ausdrucken. Und die Jungs fanden eine Möglichkeit, die Höhe der Bankgebühren für Abhebungen auf 1 Cent herunterzusetzen.
Glücklicherweise verständigten die zwei Jungs die Bankangestellten – der Fall zeigt aber wiederum, wie sorglos mit kritischer Infrastruktur umgegangen wird (Motto: "ist ja nicht mein Geld, was von deinem Konto abgehoben wird"). Und da wollen uns die Marketing-Fuzzis das Internet of Things und Industrie 4.0 an die Backe heften. Wie wusste schon Eddi Steuber so treffend zu berichten: "Die dümmsten Kälber wählen ihre Metzger selber". So long.
2015
