Diese Meldung machte in der vergangenen Woche in vielen US-Medien die Runde: Offensichtlich hatte ein junger Mann als Besucher einer Tankstelle geschafft, einen dort aufgestellten Geldautomaten so umzuprogrammieren, dass er statt 5 Dollarscheinen solche im Wert von 20 Dollar ausspuckt.
Statt 250 Dollar, die er bei seinem ersten Besuch mit Hilfe einer anonymen Guthabenkarte (pre-paid Debit Card) anforderte, erhielt er also 1.000 Dollar. Wieviel Geld er bei den nächsten Besuchen abhob, wird von der Polizei nicht angegeben. Ebenfalls unklar blieb, wie er das angestellt hat. Eine Polizei-Beamtin meint jedenfalls im CNN-Interview, der Täter müsse über “interne Kenntnisse” verfügt haben.
“Internet-Kenntnisse” wäre wohl das geeignetere Wort, wie das Wired-Blog “27BStroke” enthüllt. Ein Fachmann für Computer Sicherheit benötigte nach der Video-Identifikation des Gerätes gerade 15 Minuten, um eine Online-Kopie des Geräte-Handbuchs im WWW zu finden. Darin unter anderem enthalten, die Voreinstellungswerte für das Passwort sowie für den Code des Geld-Depots.
Wird das Passwort von den Technikern bei der Aufstellung des Gerätes nicht geändert, dann ist dem Missbrauch Tür und Tor geöffnet. Denn dann kann ein Angreifer mit einfachen Eingaben in den Diagnose- beziehungsweise den Operator-Modus wechseln. Und das hat der Tankstellendieb offenbar getan.
Möglicherweise sind auch andere Geräte derart ungesichert aufgestellt worden. Der Hersteller des fraglichen Gerätes hat jedenfalls nach eigenen Angaben schon über 70.000 Maschinen in den USA aufgestellt. Und auch von anderen Herstellern lassen sich Handbücher mit ähnlichem Risikopotential im WWW finden.
Die Frage ist aber nicht nur wie viele anfällige Geräte es gibt. Man muss sich auch fragen, wie häufig solche Lücken bereits ausgenutzt werden. Der Täter im aktuellen Fall macht auf den Videoaufzeichnungen jedenfalls keinen sonderlich aufgeregten Eindruck. Auch dass er mehrfach hintereinander den gleichen Automat besuchte, spricht eher für einen Gewohnheitstäter.
Und besonders großes Aufsehen hätte sein Fall ohnehin nicht verursacht, hätte er seine Einstellungsänderungen wieder rückgängig gemacht. Doch er beließ vermutlich beim letzten Besuch die Einstellungen auf den von ihm festgesetzten Werten. So blieb es dann auch für die kommenden Tage, ohne dass sich ein Benutzer des Gerätes darüber verärgert gezeigt hätte.
Erst am 9 Tag zeigte sich eine Frau so ehrlich, den zuviel erhaltenen Fehlbetrag an der Kasse zu melden. Dass das Geld-Depot der Maschine zu diesem Zeitpunkt überhaupt noch gefüllt war, grenzt an ein Wunder. Weswegen der gesamte Vorgang dann auch auf so großes Medieninteresse stieß. (Quelle: www.intern.de