Verschlüsselung für Bankautomaten (GAA)?

17.06.2011 11:34

Die Begriffe für eine technische Einrichtung zum Bargeldhandling sind in Europa sehr unterschiedlich. Sie sind unter den Namen Bankomat, Bankautomat, cash machine, Automated teller machine (ATM), Geldautomat, Geldausgabeautomat (GAA) bekannt und haben alle gemeinsam, dass sie in den letzten Jahren verstärkt gestohlen werden. Mit spektakulären und filmreifen Aktionen, werden die GAAs aus ihren Verankerungen gerissen und mit gestohlenen Fahrzeugen abtransportiert.

Bis dato waren die Diebe nur an dem Bargeld der integrierten Geldkassette interessiert. Doch wie sieht es mit dem Schutz der Kundendaten und dem Schutz gegen Manipulation der Sicherheitsmechansimen eines GAAs aus?
Man muss wissen, dass sich hinter dem Gehäuse ein ganz normaler PC verbirgt, der in der Regel mit einem Windows Betriebssystem ausgestattet ist. Somit verbergen sich in temporären-Dateien, der Auslagerungsdatei und Protokolldateien Informationen, die geschützt - „verschlüsselt“- werden müssen. Des Weiteren müssen die integrierten Sicherheitsmechanismen eines Bankomaten gegen Manipulation geschützt werden.

Die ideale Lösung hierfür, ist eine sektorbasierte Vollverschlüsselung (FDE) der gesamten Festplatte.

Da der Betrieb eines Geldausgabeautomaten i.d.R. völlig automatisiert und ohne Benutzer-Authentisierung geschieht, stellen sich besondere Anforderungen an die Verschlüsselung und das Key-Management, um einen reibungslosen und wartungsarmen Betrieb zu gewährleisten. Aus Sicherheitsgründen darf die Verschlüsselung nicht ohne eine PreBoot-Authentisierung (PBA) erfolgen, da sonst das Schlüsselmaterial auf der Festplatte vorhanden sein müsste und ein Angriff auf die Festplatte sehr einfach möglich wäre.

Was aber tun, wenn eine PBA notwendig, aber kein Benutzer vorhanden ist, der die Authentisierung übernimmt?

 

Genau an dieser Stelle bietet die CryptWare IT Security eine maßgeschneiderte Lösung an. Mit seiner netzwerkfähigen PBA-Technologie ist das Produkt CryptoPro Secure Disk in der Lage, das notwendige Schlüsselmaterial automatisch und ohne Benutzerinteraktion von einem sicheren Backend-Server der Bank zu laden und das Betriebssystem zu starten. Gleichzeitig wird ein „interner“ User mittels Single SignOn am Betriebssystem angemeldet. Zusätzlich können in die Authentisierungsphase hardwarespezifische Eigenschaften des GAA integriert werden, um sicherzustellen, dass eine gestohlene Festplatte in einem anderen Rechner nicht gebootet werden kann.

 

Durchsuchen