Point-of-Sale-Malware-Attacken

POS-Kassensysteme vor Hackern schützen

01.12.2016 von Florian Maier
Die Zahl der Angriffe auf Kassensysteme von Unternehmen - nicht nur aus dem Retail-Bereich - steigt. Wir sagen Ihnen, wie Sie Ihr Point-of-Sale-System effektiv vor Malware-Angriffen schützen.

Zahlreiche Einzelhändler, Hotel- und Restaurantketten wurden in den vergangenen Jahren und Monaten zum Opfer von Malware-Angriffen. Dabei nehmen die kriminellen Hacker mit Vorliebe moderne Point-of-Sale (POS)-Kassensysteme ins Visier. Kein Wunder, schließlich werden hier die Zahlungsdaten der Kundschaft verarbeitet. Die Folge: Die digitalen Kassensysteme werden mit Malware-Angriffen dazu "genötigt", die Kreditkarten-Daten von tausenden - oder gar Millionen - von Nutzern preiszugeben. In diesem Jahr wurde unter anderem die Fast-Food-Kette Wendy’s auf diese Weise angegriffen, zuvor machten bereits ähnliche Angriffe auf diverse Unternehmen Schlagzeilen.

Umso wichtiger ist es für Unternehmen, die ein solches POS-Kassensystem einsetzen, sich gegen Hacker und deren Angriffe zu wappnen. Wir haben einige Security-Experten zum Thema befragt, die teilweise unterschiedliche Ansätze zum Schutz von Point-of-Sale-Systemen verfolgen.

Monitoring: Der POS-Malware auf die Spur kommen

Die POS-Kassensysteme können über verschiedene Wege mit Malware infiziert werden. Ein gängiger Weg besteht laut John Christly, CISO beim Security-Anbieter Netsurion, darin, dass potenzielle Angreifer Schadcode über die Remote Access Services (RAS) einschleusen, die eigentlich dazu da sind, die Zahlungsabwicklung sicherzustellen. Wenn diese RAS unzureichend konfiguriert sind - die Passwörter etwa relativ einfach zu erraten sind - ist es für kriminelle Hacker ein Leichtes, ihre Malware auf hunderten oder tausenden von POS-Systemen zu verteilen.

Dass bestimmte Malware-Familien nicht gerade leicht aufzuspüren sind, macht die Sache nicht einfacher, wie Christly hinzufügt. Es gibt auch Fälle, in denen die Malware Antivirus-Schutzmaßnahmen einfach umgeht, um dann im Verborgenen Zahlungsdaten abzugreifen - trotz aktiver Firewall. "Die gestohlenen Datensätze können anschließend langsam exportiert werden, so dass der Vorgang wie normaler Traffic wirkt", weiß Christly. "Monate vergehen und wer kann dann schon noch nachvollziehen, wie viele Datensätze wirklich gestohlen wurden."

Über Sicherheitslücken in POS-Kassensystemen wurden bereits in der Vergangenheit millionenfach Kreditkartendaten gestohlen.
Foto: wk1003mike - shutterstock.com

Unternehmen, die Remote Access für ihre Point-of-Sale-Systeme zur Verfügung stellen, sollten laut dem Security-Experten eine Zwei-Faktor-Authentifizierung in Betracht ziehen, um zu vermeiden, alleine von einem Passwort abhängig zu sein. Um möglichen Bedrohungen hingegen möglichst schnell auf die Spur zu kommen, empfiehlt Christly Unternehmen, über den Tellerrand der Basis-Schutzmaßnahmen wie Antivirus und Firewalls hinauszublicken und Monitoring-Tools einzusetzen, die das POS-System ganzheitlich auf verdächtige Aktivitäten überwacht: "Sie müssen jeden Rechner im Netzwerk überwachen, um sichergehen zu können, dass alles mit rechten Dingen zugeht."

Verschlüsselung: Mehr Sicherheit für Point-of-Sale-Systeme

Kriminelle Hacker können noch so viele Ressourcen und Energie in die Kreation neuer Point-of-Sale-Malware stecken - das alles war umsonst, wenn alles, was gestohlen wird, verschlüsselte Datensätze sind. So sieht das zumindest George Rice, Senior Director Payment bei HPE Security. "Die Malware-Techniken entwickeln sich ständig weiter", so Rice. "Die Kriminellen sind sich dabei sehr wohl bewusst, dass die Unternehmen ihre Kassensysteme regelmäßig mit Updates versorgen müssen und können so auf eine Vielzahl von Schwachstellen zurückgreifen, um ihren Schadcode im System zu verbreiten."

Die POS-Malware funktioniert dabei folgendermaßen: Sobald eine Kreditkarte durch das Terminal gezogen wird, werden die Daten ausgelesen. Und zwar über die Ausnutzung des RAM-Speichers der Kassensysteme - wo die Zahlungsdaten entschlüsselt werden können. Nach Meinung von Rice könnten viele Unternehmen ihre Systeme ganz einfach gegen solche Hackerangriffe schützen, wenn Sie auf Ende-zu-Ende-Verschlüsselung setzen würden. Das würde bedeuten, die Kundendaten während des gesamten Bezahlprozesses zu verschlüsseln - auch in dem Moment, in dem der Magnetstreifen der Karte ausgelesen wird.

Testing: Stellen Sie Ihr Kassensystem auf die Probe

Charles Henderson vom IBM Security-Team X-Force Red nennt schließlich einen weiteren Punkt, der seiner Ansicht nach zu kurz kommt: Die meisten Unternehmen würden bei der Anschaffung eines Point-of-Sale-Systems schlicht und ergreifend keinen Gedanken an IT-Security verschwenden: "Die meisten Unternehmen", so Henderson, "gehen einfach davon aus, dass POS-Kassensysteme von Haus aus sicher sind. Zudem bringen viele Leute die Bereiche Security und Compliance durcheinander."

In seiner täglichen Arbeit testen Henderson und sein Team stichprobenartig verschiedene POS-Kassensysteme auf Schwachstellen. Oft seien diese bei Systemen zu finden, deren Besitzer davon ausgehen, dass diese sicher sind, weil sie im Einklang mit Compliance-Richtlinien stehen. Zudem würden viele dieser Point-of-Sale-Systeme von Dritten installiert, die oft nicht auf IT-Sicherheit spezialisiert sind. All diese Faktoren stellen Risiken für Unternehmen dar.

Um diese Risiken möglichst klein zu halten, empfiehlt Henderson Unternehmen, einen Security-Spezialisten zu verpflichten, der ihre POS-Systeme auf Schwachstellen prüft. Denn mit der richtigen Implementation ließen sich die meisten gängigen Point-of-Sale-Systeme absichern. Die Verschlüsselung von Daten und andere Abwehrmaßnahmen gegen Malware könnten Angriffe auf POS-Systeme verhindern - allerdings nur, wenn sie richtig implementiert wurden: "Diese Systeme sind nicht kugelsicher. Und der Teufel steckt dabei in der Implementation."

Mit Material von IDG News Service.