Internetwurm infizierte Geldautomaten

Die IT-Sicherheitsexperten von securityfocus.com [Link entfernt] berichten auf ihrer Website [Link entfernt] von einem Internet-Wurm, der Geldautomaten der Firma Diebold in den USA befallen hat. Die Vorfälle sollen angeblich schon im August stattgefunden haben. Der als harmlos klassifizierte Wurm mit dem Namen W32/Nachi-A dürfte damit ein Stück Internet-Geschichte geschrieben haben: Die kleine, bösartige Software ist das erste Programm, das einen Geldautomaten und damit ein besonders sensibles Stück netzwerkbasierter Infrastruktur befallen hat. Zu unerwünschten Transaktionen soll es dabei aber angeblich nicht gekommen sein.

Intrusion Detection Systeme nahmen Geräte automatisch vom Netz

Die befallenen Geldautomaten (Automatic Teller Machines, kurz ATM) wurden von der Firma Diebold hergestellt und laufen mit Embedded Windows XP. Betroffen waren die ATMs zweier nicht namentlich genannter US-Finanzinstitute. Bei beiden Instituten begannen die befallenen Automaten plötzlich damit, aggressiv nach weiteren verwundbaren Zielen zu suchen. Die Intrusion Detection Systeme der Banken bemerkten den Befall durch den extremen Anstieg des Netzwerk-Traffics und trennten diese daraufhin automatisch vom Netz.

Laut Nick Billett, bei Diebold zuständiger Direktor für die Softwareentwicklung, wurden "in vielen Fällen" die Maschinen am selben Tag bereinigt. Zur Anzahl der befallenen Geldautomaten wollte Billet sich nicht äußern.

Grund für den Wurmbefall ist wie so oft reine Schlampigkeit: Angeblich soll Diebold den entsprechenden von Microsoft gestellten Patch für die Sicherheitslücke - der schon etliche Monate vorhanden war - in den betroffenen Geldautomaten nicht installiert haben.

Wie nicht anders zu erwarten, verteidigte Billet das überaus peinliche Sicherheitsloch. Gegenüber securityfocus.com sagte er, dass jeder Patch vor der Installation intern geprüft werde und erst anschließend auf die Netzwerke verteilt werde. Schließlich wolle man die Patches zunächst in den verschiedenen Netzwerk-Umgebungen testen. In der Vergangenheit sei dies meist innerhalb von ein bis zwei Tagen geschehen. Die nun durch Nachi infizierten Geräte seien "irgendwie durchgeschlüpft".

Gemäss Securityfocus.com laufen noch die meisten Geldautomaten mit älteren Betriebssystemen und sind nicht ans Internet angeschlossen. Die Zahl der Windows-betriebenen Geräte mit Internetanbindung nehme aber zu und somit auch die damit verbundenen Sicherheitsprobleme. Ebenso sei bekannt, dass viele Systeme über undokumentierte Internetanbindungen verfügten, die das Einschleusen von Viren und Würmern ermöglichten.

Diebold stellt auch US-Wahlmaschinen her

Diebold erregt übrigens nicht das erste Mal mit Negativschlagzeilen Aufmerksamkeit. Der Hersteller ist ausgerechnet derjenige, der auch die umstrittenen US-Wahlmaschinen produziert. IT-Experten wiesen den Geräten schwere Sicherheitslücken nach.

Ebenfalls nicht zum erstenmal wurden US-Finanzinstitute von digitalen Schädlingen befallen: Erst Anfang 2003 hat der so genannte SQLSlammer-Wurm rund 13 000 Geldautomaten lahm gelegt. Im Gegensatz zum aktuellen Vorfall wurden damals allerdings nicht die Systeme direkt, sondern der zentrale Datenbankserver der Bank of America getroffen.