Wincor Nixdorf International GmbH

Intellectual Property

Heinz-Nixdorf-Ring 1

33106 Paderborn

Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur

Erkennung von Angriffen auf mindestens einen Selbstbedienungsautomaten, insbesondere einen Angriff auf einen Geldautomaten.

Gebiet der Erfindung :

Herkömmliche Selbstbedienungs-Terminals, auch kurz SB- Terminals genannt, sind häufig in der Funktion als Geldautomat oder Kontoauszugsdrucker anzutreffen. Zur Bedienung benotigt der Nutzer bzw. Kunde eine Bankkarte, die üblicherweise einer von einem Kartenlesegerat zu lesenden Magnetstreifenkarte entspricht, auf der Kartendaten einschließlich der personlichen Kunden- und Kontodaten gespeichert sind. Leider werden an SB-Terminals in zunehmendem Maße Manipulationen durch Dritte vorgenommen, um auf betrügerische Weise an diese Kartendaten zu gelangen. Hierzu wird z.B. an dem jeweiligen SB-Terminal eine spezielle Ausspahvorrichtung möglichst unauffällig installiert, die im wesentlichen einen kleinen fremden Kartenleser enthalt, der möglichst unmittelbar vor dem eigentlichen Einfuhrungsschlitz des SB-Terminals bzw. des eigentlichen Kartenlesegerates angebracht wird. Wenn nun ein Kunde seine Bankkarre m das Kartenlesegerat des SB-Terminals einfuhrt, wird deren Magnetspur auch von diesem fremden Kartenleser gelesen, wodurch der Dritte sich die Kartendaten, insbesondere die Kunden- und Kontodaten, beschafft und es sich ermöglicht, eine illegale Kopie der Bankkarte herzustellen. Wenn es dem Dritten darüber hinaus gelingt, die zur Bankkarte gehörige Geheimzahl (die sogenannte Pm) auszuspähen, kann er mit der gefälschten Bankkarte und der ausgespähten Pin muhelos an Geldautomaten Geld vom zugehörigen Konto abheben. Zur Erlangung dieser Information kann z.B. ein gefälschtes Keyboard auf der eigentlichen Tastatur angebracht sein, um so die Tastatureingaben zu erlangen.

Das beschriebene betrügerische Vorgehen zum Ausspähen von Kartendaten bzw. Kundeninformationen wird in Fachkreisen auch als "Skimming" oder Kartenmissbrauch bezeichnet. Eine Möglichkeit dieses zu verhindern oder zumindest zu erschweren, besteht in der Erzeugung eines elektromagnetischen Schutzfeldes, welches geeignet ist, die Lese-Funktion des in der Ausspahvorrichtung befindlichen Magnetkarten-Lesekopfes zu beeinträchtigen. Dazu muss das Schutzfeld genau dort erzeugt werden bzw. wirken, wo die Ausspahvorrichtung üblicherweise installiert ist, nämlich unmittelbar vor dem Einfuhrungsschlitz des "echten" bzw. eigentlichen Kartenlesegerates . Zudem muss das Schutzfeld ausreichend stark sein, um sicherzustellen, dass die Lese-Funktion der Ausspahvorrichtung wirksam beeinträchtigt bzw. blockiert wird, und dass die Daten nicht mehr per Skimming von der Magnetstreifenkarte gelesen werden können. Entsprechende Ansätze sind aus der DE 10 2006 049 518 Al bekannt.

Jedoch ist es nicht einfach, ein derartiges Schutzfeld so genau auszurichten bzw. zu positionieren und auch seine Feldstarke so einzustellen, dass nicht versehentlich auch die Lesefunktion des eigentlichen Kartenlesegerates des SB- Terminals mit beeinträchtigt wird.

Alle der bekannten Ansätze bringen das Problem mit sich, dass sie in Alleinstellung oftmals zu sensibel reagieren und die Funktionalitat des SB-Automats einschränken.

Überblick über die Erfindung :

Der Erfindung liegt daher die Aufgabe zugrunde, eine verbesserte Schutzvorrichtung der eingangs genannten Art zur Erkennung von Angriffen bereitzustellen, deren Warnungen eine höhere Trefferquote erlauben.

Gelost wird die Aufgabe durch ein Verfahren und eine Vorrichtung mit den Merkmalen der unabhängigen Ansprüche.

Ein wesentliches Ziel der Erfindung liegt in der Modellierung von Angriffsmustern, um diese Modelle in Form eines konkreten Regelwerks zu hinterlegen, um dann anhand des Regelwerks einen Angriff zu erkennen. Hierbei wird ein Fakten-Adapter für die Anbindung vorhandener Geräte-Treiber verwendet.

Dazu werden bekannte Bedrohungen und Schwachstellen klassifiziert und in Regeln modelliert werden. Der Fakten- Adapter ist in einer möglichen Ausfuhrungsform durch ausgewählte Geräte-Treiber und Bilderkennungsmechanismen zu implementieren. Außerdem sollen die Konfiguration sowie das Regelwerk selbst durch geeignete Mechanismen wie z.B. Verriegelung mit Zertifikat geschützt werden. Eine Möglichkeit um Informationen für den Faktenadapter bereitzustellen, liegt m der Adaption eines Bilderkennungsbzw. Bildvorverarbeitungssystems und die Integration von KI (Kunstliche Intelligenz) Komponenten. Die KI-Komponente soll nach der Trainingsphase — auch als überwachtes Lernen (supervised learning) bekannt — in der Lage sein, aus fusionierten Sensorsignalen die nicht durch das statische Regelwerk erkannten Falle zu identifizieren und zu klassifizieren.

Aufgrund der Anfälligkeit des Bedienfeldes ist dies besonders Manipulationen ausgesetzt, da es die Schnittstelle für „Jedermann" darstellt. Die Ausfuhrungen im Folgenden beziehen sich aus diesem Grunde auf die Komponenten des Bedienfeldes, sind hierauf jedoch nicht beschrankt. Es ist ebenfalls denkbar, dass Netzwerkschnittstellen oder andere Schnittstellen wie USB, seriellen Schnittstellen überwacht werden und in das Regelwerk über den Faktenadapter einfließen. Grundsatzlich kann man ein SB-System in von innen und von außen zugangliche Systeme unterscheiden. Die Komponenten im Innenbereich sind oftmals nur über Schnittstellen erreichbar, wie sie beschrieben wurden. Die folgenden Systemkomponenten und deren Systemtreiber stehen bei den folgenden Betrachtungen im Vordergrund, die Erfindung ist hierauf jedoch nicht beschrankt: Pin Päd (Tastatur zur Pin Eingabe), alle Kartenleser, Geldausgabefach in allen möglichen Formen, Monitor/Display mit Softkey, Touchscreen oder umgebenden Tasten, Mundschutz, ASKIM II Antiskimming Modul (siehe auch DE 10 2005 043 317 B3) .

Weitere Systemkomponenten oder Sensoren konnten Uhr, Annaherungssensor, Temperatursensor usw. sein. Desweiteren können Verwaltungskomponenten berücksichtigt werden, die über ein Netzwerk die SB-Automaten überwachen und verwalten. Diese Komponenten können ggf. wertvolle Informationen über den Betriebszustand des SB-Systems liefern (Servicebetrieb, Außerbetrieb, Standardbetrieb, eingeschränkter Betrieb) . Nachgeschalteten Systemen oder Benutzern können über eine Diagnose-Plattform Alarm-Informationen zur Verfugung gestellt werden. Andersrum liefert die Diagnose-Plattform auch Ereignisse über Systemzustande.

Wie bereits oben ausgeführt wurde, können prinzipiell die Komponenten eines Geldautomaten von außen und/oder von innen manipuliert werden. Bei der Bedrohungsanalyse werden im Folgenden zunächst nur der Außenbereich betrachtet.

Eine beispielhafte Situation kann das Abgreifen der Pin durch Installation von Tastatur-Überbauten sein. Dieses ist eine reale Bedrohung, die bekanntermaßen in Angriffe auf Pinverarbeitende Systeme umgesetzt wurde.

Alternativ kann ein Ausspähen der Pin durch installierte Minikameras erfolgen. Um an die Kartendaten zu gelangen, kann im zweiten Schritt ein Skimming-Modul-Vorbau verwendet werden.

Zu den erkannten Bedrohungen werden das abgegrenzte System und dessen Komponenten auf mögliche Schwachstellen untersucht. Die Ergebnisse können in einem Regelwerk dokumentiert werden. Beispiel :

Durch Gewaltanwendung kann das EPP tiefer gelegt werden. Für die physikalische Integration der Regel ist ein Manipulationsschalter (removal switch) vorgesehen, der bei Gewaltanwendung das SB-System für einige Funktionen Außerbetrieb schaltet. Diese Information wird naturlich auch an den Faktenadapter gesendet.

Betrachtet man z.B. nur die von außen zuganglichen Komponenten, so handelt es sich bei den Quellen um den Kartenleser, das EPP, das Geldausgabefach und das Display mit den Bedientasten. Sie liefern Informationen bzw. Ereignisse, die durch direkte Interaktion der SB-Benutzer mit dem Automaten entstehen oder Ereignisse die als Folge einer vorausgegangenen Interaktion entstehen. Diese Ereignisse werden an die Softwareplattform und ggf. auch an die Anwendung weitervermittelt .

In einem ersten Schritt sollten mögliche und notwendige, eventuell zusatzliche, Informationsquellen innerhalb des abgegrenzten Systems identifiziert werden. Grundsatzlich kann festgelegt werden, dass identifizierte Informationsquellen

Ereignisse oder Informationen über einen Systemzustand als

Eingangswerte für ein Erkennungssystem liefern. Diese Eingangswerte sind z.B. Boolesche Werte.

Für diese identifizierten Events/Systemzustande und deren Abhängigkeiten kann ein Modell entwickelt werden, aus dem Angriffsmuster abgeleitet werden können. Die Zusammenhangmodellierung von elementaren Mustern, Ereignissen bis zu komplexeren Mustern, bildet die Grundlage für die Mustererkennung des Anomalieerkennungssystems.

Insbesondere handelt es sich um ein Verfahren zur Erkennung von Angriffen auf einen Selbstbedienungsautomat, der eine Reihe von Komponenten aufweist, umfassend die Schritte. - Überwachung der Zustande und Ereignisse der Komponenten durch eine Uberwachungseinheit

Anwenden eines auf einem Speichersystem gespeicherten

Regelwerks auf die Zustande und Ereignisse durch eine

Bearbeitungseinheit, die das Regelwerk vom Speichersystem ladt und von der Uberwachungseinheit die Informationen empfangt; - Überprüfen, ob das Regelwerk einen Angriff festgestellt hat, durch die Bearbeitungseinheit, um diesen zu einem Meldungssystem zu melden.

Es ist zu beachten. Das die Uberwachungseinheit, die Bearbeitungseinheit ein Software sein können oder eine Kombination aus Software und Hardware, die z.B. auf einem Standard Prozessor (z.B. PC) ablaufen können. Das Speichersystem kann eine Festpatte oder ahnliches sein. Überblick über dxe Figuren

Fig. 1 Betriebszustande eines SB-Systems. Fig. 2 Diagramm, das den Zusammenhang zwischen Benutzeraktionen und Systemereignissen zeigt.

Fig. 3 Schnittstellen des Fakten-Adapters.

Beschreibung der Ausfuhrungsform : Figur 1 zeigt beispielhaft die Abhängigkeit möglicher Systemzustande. So kann ein Geldautomat aus dem Normalbetπeb- Zustand oder aus dem Servicebetπeb-Zustand in einen Alarm- Zustand wechseln. Die Zustandsanderung des Systems hangt davon ab, welche Ereignisse in welcher Reihenfolge auftreten. Diese Ereignisse werden wiederum durch bestimmte Interaktionen eines Benutzers ausgelost.

Im Folgenden wird in Figur 2 ein Beispiel gezeigt, wie Benutzerinteraktionen, Benutzeraktionen, Ereignisse aus verschiedenen Systemkomponenten und, infolge dessen, Systemzustand-Anderungen für ein Angriffsszenario zusammenhangen .

Beim dargestellten Szenario handelt es sich um einen mutmaßlichen Skimmer-Test . Nachdem ein Skimmmg-Modul eingebaut wurde, wird m der Regel ein Skimmer-Test durch den Angreifer durchgeführt. Die Interaktion umfasst folgende Aktionen: Karte eingeben, entweder durch das Drucken auf die Abbruch-Taste der Tastatur (EPP) oder durch Warten wird, nach einer bestimmten Zeit, die Karte wieder ausgegeben. Dies wird dann einige Male durchgeführt. Im System werden einige Ereignisse damit ausgelost, die beispielsweise vom IDKG (Magnet kartenleser) , von EPP und von der Anwendung kommen und in der Abbildung vereinfacht dargestellt. Wenn festgestellt werden kann, dass diese Events in einer bestimmten Reihenfolge und Zeitabstanden auftreten, dann soll ein Verdachtalarm ausgelost werden. Es erfolgt ein Zustandwechsel des Automaten.

Beim Modellentwurf sollen Gewichtungen für die Angriffsmuster berücksichtigt werden. Die Gewichtung ist eine weitere Eingangsgroße, die die Glaubwürdigkeit der identifizierten Quellen beschreibt ( Dempster-Shaffer Methodik) . Die Evidenztheorie von Dempster und Shaffer (siehe auch Wikipedia) ist eine mathematische Theorie aus dem Gebiet der Wahrscheinlichkeitstheorie. Sie wird benutzt, um Informationen unterschiedlicher Quellen zu einer Gesamtaussage zusammenzusetzen, wobei die Glaubwürdigkeit dieser Quellen in der Berechnung berücksichtigt wird.

Eine Evidenz kann als eine Erweiterung einer Wahrscheinlichkeit betrachtet werden, wobei statt einem eindimensionalen ein zweidimensionales Maß verwendet wird, welches sich zusammensetzt aus dem Grad des Dafürhaltens bzw. dem Grad des Vertrauens darauf, dass die Aussage einer Quelle zutrifft (englisch: degree of belief) und der Plausibilitat des Ereignisses bzw. aus einem Wahrscheinlichkeitsbereich mit einer unteren und oberen Grenze.

Die Evidenztheorie findet vor allem dort Einsatz, wo unsichere Aussagen verschiedener Quellen kombiniert werden müssen zu einer Gesamtaussage. Es gibt Anwendungen, wie z. B. in der

Mustererkennung, bei denen sich mittels der Evidenztheorie

Aussagen verschiedener, unzuverlässiger Algorithmen kombinieren lassen, um so eine Aussage zu erhalten, deren Treffsicherheit besser ist als die jeder einzelnen Aussage.

Um einen solchen Ansatz zu realisieren, sind folgende Punkte zu berücksichtigen. ⁸ Identifikation aller Informationsquellen im abgegrenzten

System

• Gewichtung der Quellen

' Modellierung der Systemzustande und Abhängigkeiten Beim Beispiel aus Fig. 2 wird das System auf das Bedienfeld und dessen von außen zugangliche Komponenten beschrankt, es ist jedoch auch denkbar alle Komponenten des SB-Gerates als Informationsquelle zu nutzen. Die Quellen bei Fig. 2 sind der Kartenleser, das EPP, das Geldausgabefach und das Display mit den Bedientasten und ein Zeitgeber. Sie liefern Informationen bzw. Ereignisse, die durch direkte Interaktion der SB-Benutzer mit dem Automaten entstehen oder Ereignisse, die als Folge einer vorausgegangenen Interaktion entstehen. Diese Ereignisse werden an die Softwareplattform und ggf. auch an die Anwendung weitervermittelt.

In einem ersten Schritt müssen mögliche und notwendige, eventuell zusatzliche, Informationsquellen innerhalb des abgegrenzten Systems identifiziert werden. Grundsatzlich kann festgelegt werden, dass identifizierte Informationsquellen Ereignisse oder Informationen über einen Systemzustand als Eingangswerte für ein Erkennungssystem liefern. Diese Eingangswerte sind in der Regel Boolesche Werte.

Auf der Basis der identifizierten Events/Systemzustande und deren Abhängigkeiten werden Muster gebildet, die Grundlage für die Mustererkennung des Anomalieerkennungssystems sind.

Mögliche Systeme, die für ein Anomalieerkennungssystem geeignet sind, können vorwartsverkettete Systeme (JRules,

Jess, Drools) sein. Für Diagnose und Service Zwecke wird ein

Regel-basierendes System untersucht. JRules ist ein Geschaftslogik System, das es dem Benutzer erlaubt Regeln zu definieren, die die Geschaftslogik widerspiegeln. Die RuIe- Engine Jess (Java Expert System Shell) dient ebenfalls dazu, über definierte Regeln eine Abwägung zu treffen (http://www.jessrules.com/jess/index.shtml) . Drools ist ein Business RuIe Management System (BRMS) mit einer vorwartsverketteten Inferenz- basierenden Regel-Engine, das eine verbesserte Implementierung des Rete-Algorithmus verwendet .

Ein wichtiger Aspekt ist die Anbindung des Anomalieerkennungssystems für bekannte Bedrohungsszenarien an entsprechende Hardware-Komponenten. Dazu wird in der bevorzugten Ausfuhrungsform ein Fakten-Adapter eingesetzt, der eine einheitliche Schnittstelle des Anomalieerkennungssystems zu den Hardwarekomponenten darstellt. Eine der Hauptaufgaben des Adapters ist es, die Sensorsignale der Systemkomponenten aus der Gerätetreiber-Schicht zu empfangen und diese als Fakten, Muster für das Regelwerk bereit zu stellen.

Die Figur 3 stellt den Schichtenaufbau der vorliegenden Erfindung dar. Der Faktenadapter greift in der Regel über weitere Softwareschichten auf die Hardwarekomponenten, wie Kartenleser, Geldausgabefach, Tastatur, Antiskimming-Device zu. Diese werden über Treiber gesteuert, die dem Faktenadapter eine Schnittstelle zur Verfugung stellen.

Die Komponenten der Hardwareansteuerung sind in Modul ProBase zusammengefasst und setzten auf dem Betriebssystem auf. Je nach der Programmierung kann es ProBase in C geben oder zum Beispiel in Java. Dafür stehen die entsprechenden ProBaseC und ProBaseJ. Beim Betriebssystem kann es sich um Linux, Unix oder Windows handelt. Durch den ProBase-Ansatz werden die verschiedenen Hardwaretreiber gestartet, um beispielsweise die Funktionalität der Tastatur oder des Magnetplattenlesers bereitzustellen. Auch Basissicherheit und Betriebs Dienste sind in dieser Ebene angeordnet. Mithilfe der integrierten Abstraktionsebene wird sichergestellt, dass ProBase mit jeder Anwendung kommunizieren kann. Somit ist eine echte multivendorfahige Basissoftware garantiert.

Weitere Komponenten, die auf den Hardwaretreibern aufbauen sind J/BOS, was eine Java-basierte Software Plattform zur Ansteuerung von Bankenperipherie im Front Office ist. In das Probase Modul wird nun der Faktenadapter integriert, der an die regelbasierte Musterkennung die Daten weiterleitet. Der Faktenadapter kann auf unterschiedliche Ebene auf die Komponenten zugreifen. Entweder auf die Treiber direkt oder auch auf Zwischenschichten für z.B. J/Bos. So kann der Faktenadapter auf jede Ebene zugreife, auch sind Zugriffe auf das Verwaltungssystem über ein Netzwerk möglich, um weitere Fakten zu erlangen.