Geldautomaten waren schon immer ein Ziel von Ganoven. Viele versuchen es mit purer Gewalt, andere nutzen intelligentere Tricks, um an das Geld zu kommen. Jackpotting ist zurzeit eine der kriminellen Methoden.
Im baden-wurttembergischen Esslingen und in Berlin haben Ganoven mehrere Geldautomaten ausgeraubt. Das Tatwerkzeug: ein USB-Stick. Die Raubmethode ist seit funf Jahren bekannt und äußerst effizient. Die Täter stecken einen Stick in die USB-Schnittstelle des Geldautomaten, unterbrechen kurz den Strom und lassen die Computer des Geldautomaten erneut hochfahren. Nur lädt der Steuerungscomputer des Geldautomaten dann nicht sein ubliches Betriebssystem, sondern installiert auch gleich eine Schadsoftware. Die sorgt dafur, dass die Programmroutine fur die Funktion „Geld abheben“ manipuliert und anschließend aufgerufen wird.
Der Täter kann sich dann den gesamten Vorrat an Geldscheinen auszahlen lassen, der sich in den drei Geldkassetten eines Automaten befindet. Deshalb haben Teilnehmer der Black-Hat-Konferenz in Las Vegas die Methode „Jackpotting“ genannt. Der Täter knackt den Jackpot des Geldautomaten und kann sich das gesamte Geld nehmen.
Die dafur notwendigen Programme sind im Darknet genannten und nur fur Nutzer mit Insiderwissen zugänglichen Teil des Internet verfugbar. Die Software zum Hochfahren des Geldautomaten nach der Stromunterbrechung steht sogar kostenlos zum Download bereit. Die eigentliche Schadsoftware und die Routine, die sie in das Betriebssystem kopiert, werden zu unterschiedlichen Preisen angeboten. Die Grundausstattung, bei welcher der Täter am Geldautomaten noch zahlreiche Programmbefehle eintippen muss, ist schon fur wenige tausend Euro zu haben.
Komfortablere Versionen, welche die Schadsoftware automatisch installieren und bei Eingabe eines geheimen Codes in den „Jackpot-Modus“ wechseln, werden fur 12.000 bis 16.000 Euro angeboten. Soll die Schadsoftware sich selbsttätig loschen, nachdem alle Scheine aus den Geldkassetten des Automaten ausgeworfen worden sind, muss der Käufer der Schadsoftware fur diese Zusatzfunktion noch einmal gut 4000 Euro drauflegen.
Nur die preiswerte Grundversion der Schadsoftware
In Berlin soll sich der Täter einem Bericht der „Berliner Zeitung“ zufolge ungefähr 30 Minuten am Geldautomaten zu schaffen gemacht haben. Das ist ein Indiz dafur, dass bei diesem Raub nur die preiswerte Grundversion der Schadsoftware zum Einsatz kam. Das ist recht ungewohnlich. ublicherweise haben Diebesbanden in der Vergangenheit mit verteilten Rollen gearbeitet. Der erste Täter steckte den Stick in den USB-Schacht des Geldautomaten, unterbrach fur einige Sekunden die Stromversorgung und verschwand. Der zweite Täter ging dann wenig später an den Geldautomaten, tippte den geheimen Code fur die Funktion „Geld auszahlen“ ein, nahm das ausgeworfene Geld und den USB-Stick an sich und verschwand. Diese arbeitsteilige Methode gilt als weniger riskant.
Erstmalig demonstriert hat der Hacker Jack Barnaby Schadsoftware dieser Art vor funf Jahren. Er uberschrieb seinen Vortrag auf der Black-Hat-Konferenz „Jackpotting Automated Teller Machines“. Die von Jack Barnaby demonstrierte Schadsoftware funktioniert bei Geldautomaten-PCs mit den Betriebssystemen OS/2 und Windows XP. Auf dem Chaos Communication Congress im Jahr 2013 zeigten zwei Sicherheitsforscher in Hamburg eine Version der Jackpotting-Software nur fur Windows XP. Seitdem sind auch die Details der Schadsoftware gut dokumentiert und zumindest in Sicherheitskreisen bekannt. Die Sicherheitsforscher haben im Dezember 2013 nicht nur gezeigt, wie die Jackpotting-Software funktioniert, sondern auch einige Ergebnisse ihrer Feldforschung bekanntgegeben.
Sie hatten nämlich herausgefunden, dass die bisher verwendeten und sichergestellten Versionen der Jackpotting-Software-Pakete geradezu maßgeschneidert an den jeweiligen Geldautomaten angepasst waren. Dafur ist sehr viel Insiderwissen uber die proprietäre Geldautomaten-Software notig. Deshalb vermuten die Sicherheitsforscher, dass zumindest einige der Programmierer von Jackpotting-Software entweder bei einer Bank oder bei einem Hersteller von Geldautomaten gearbeitet haben oder noch immer arbeiten.
Schieber von drei Geldkassetten
So mussen Sicherheitsabfragen vom Geldautomaten-PC an den Bank-Server unterdruckt und die Lichtschranken vor dem Geldausgabefach manipuliert werden. Die Auszahlungs-Software des Geldautomaten setzt nämlich in der Regel die Schieber von drei Geldkassetten in Bewegung. ublicherweise liegen in diesen Geldkassetten 10-Euro-Scheine, 20-Euro-Scheine und 50-Euro-Scheine. Bevor nun die Schieber in den Geldkassetten einen Schein gegen Umlenkrollen an der Endseite der Kassetten drucken, erfolgt in manchen Fällen eine Sicherheitsabfrage an den Bankserver.
Die Diebe mussen wissen, in welchen Fällen bei welchen Geldautomaten diese Sicherheitsabfrage erfolgt. Um das und noch mehr Informationen uber die Automaten-Software zu bekommen, werden die Daten, die in bestimmten Festplattenbereichen des Geldautomaten-PCs gespeichert sind, auf den eingesteckten USB beim Hochfahren nach der Stromunterbrechung kopiert. So konnen die Diebe eine Schadsoftware fur jeden Geldautomaten maßschneidern. Teilweise sind Geldautomaten mehrfach binnen weniger Monate ausgeraubt worden, damit sich die Investition in die maßgeschneiderte Schadsoftware auch lohnt.
Diesen Umstand und die Tatsache, dass die fur Wartungszwecke erforderliche USB-Schnittstelle des Geldautomaten sowie dessen Stromversorgung leicht zugänglich sind, haben Sicherheitsexperten schon lange kritisiert. Doch die Warnungen der Experten verhallten in vielen Fällen ungehort. Zumindest an den ausgeraubten Geldautomaten in Berlin und Esslingen konnten sich die Täter leicht Zugang zur USB-Schnittstelle und zur Stromversorgung verschaffen.