Noch immer Geldautomaten auf Basis von Windows XP in Betrieb

Palo Alto Networks empfiehlt Einsatz verhaltensbasierter Cyberangriffserkennung zum Endpunktschutz

[datensicherheit.de, 29.03.2016] Wer sich mit Datensicherheit befasst, dürfte ein ungutes Gefühl bei der Vorstellung haben, dass noch heute Geldautomaten existieren, die als Betriebssystem „Windows XP“ verwenden. Laut einer aktuellen Stellungnahme von Palo Alto Networks könnten mit „zeitgemäßen Endpunktschutzlösungen“ solche Geldautomaten indes bis zu ihrer Ablösung auch ohne Software-Patches sicher betrieben werden.

Windows XP noch immer in signifikanter Größenordnung genutzt

Betriebssystemhersteller Microsoft hat den Support des altgedienten Betriebssystems „Windows XP“ im April 2014 eingestellt. Es war mehr als zwölf Jahre lang weltweit als „echtes Arbeitstier“ im Einsatz und wird immer noch im privaten wie geschäftlichen Umfeld genutzt, etwa in Embedded-Systemen und insbesondere in Geldautomaten.
So seien ein Jahr nach dem Auslaufen des Hersteller-Supports schätzungsweise noch 75 Prozent der Geldautomaten weltweit (rund 2,2 Millionen) auf „Windows XP“ gelaufen. Viele dieser Geräte, die geografisch weit verteilt sind, müssten noch aktualisiert oder ersetzt werden, was eine enorme logistische Herausforderung darstelle.
Da Microsoft keine Software-Patches für Sicherheitslücken mehr anbietet, sind diese Geräte in der Zwischenzeit anfälliger für Malware und Viren.

Zum Teil verlängerter Support vereinbart

Einige Finanzinstitute haben laut Palo Alto Networks mit Microsoft individuelle Vereinbarungen für einen verlängerten Support über einen bestimmten Zeitraum getroffen. So soll der Schutz der Geräte aufrechterhalten werden, bis die Upgrade-Pläne realisiert werden.
„Windows XP“-Geldautomaten, bei denen sich das Upgrade noch hinziehen wird, könnten aber auch ohne neue Patches sicher betrieben werden – dieses ermögliche ein erweiterter Endpunktschutz, der Malware anhand der Verhaltensmuster erkennt. Die Windows-Geräte seien dann vor Malware und Exploits geschützt – ohne den Einsatz von Signaturen. Das Prinzip einer solchen Lösung beruhe darauf, die wesentlichen Methoden zu erkennen und zu unterbinden, die beim Angriff auf Windows-Systemen immer wieder zum Einsatz kommen.

Lösungsübertragung auf andere Windows-Geräte

Solch eine Endpunktlösung könne selbstverständlich auch dazu verwendet werden, alle „Windows“-basierten Server, Desktops (sowohl physische als auch virtuelle) und Notebooks vor Malware und Exploits zu schützen. Dies sorge für ein entscheidendes Plus an Sicherheit über den gesamten Bestand an „Windows“-Geräten hinweg – von Geldautomaten für den Kundenverkehr bis hin zu PC-Arbeitsplätzen und Servern in den Rechenzentren der Banken und Kreditinstitute.

Herausforderung: Haftung der AMT-Eigentümer ab Oktober 2016

Ein weiterer Faktor, den viele Banken und Kreditinstitute derzeit berücksichtigen müssten, sei die bevorstehende „Deadline“ von Mastercard für „Europay Mastercard Visa“-Chip-basierende Geldautomaten. Ab Oktober 2016 gehe die Haftung für Betrug auf die Eigentümer der Geräte über. Daher hätten sich einige Institute entschieden, sowohl die Upgrades für „Windows XP2 als auch die „EMV“-Chip-Leser als Teil eines umfassenden, strategischen Plans zur Modernisierung ihrer ATM-Technologie voranzutreiben. Angesichts des Alters der installierten Geräte werde dies in vielen Fällen sowohl neue Hardware als auch neue Software erfordern. Branchenexperten hätten die Kosten für dieses Upgrade auf knapp 1.000 bis über 3.000 Euro pro Gerät geschätzt.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2014
Sicherheitsrisiko Betriebssystem: Support für Windows XP endet am 8. April 2014