Die FBI meldet 2025 einen drastischen Anstieg von Geldautomaten-Attacken: Kriminelle plünderten 700 Geldautomaten in den USA und verursachten Schäden von über 20 Millionen Dollar. Das US-Justizministerium erhob Anklage gegen 93 Personen, darunter Mitglieder der Terror-Organisation Tren de Aragua.
Während Banken massiv in die Sicherung ihrer digitalen Systeme investieren, zeigt sich eine überraschende Schwachstelle: Die Geldautomaten selbst. 2025 markiert einen Wendepunkt bei den sogenannten Jackpotting-Angriffen, bei denen Cyberkriminelle Geldautomaten manipulieren, um diese zum Auszahlen von Bargeld zu zwingen — ohne Bankkarte, PIN oder Kontozugang.
Nach Angaben des FBI wurden im vergangenen Jahr 700 Geldautomaten bundesweit kompromittiert. Dies ist bemerkenswert, denn seit 2020 registrierte die Behörde insgesamt etwa 1.900 solcher Vorfälle. Die finanziellen Schäden belaufen sich auf über 20 Millionen Dollar und verdeutlichen ein massives Sicherheitsrisiko, das Finanzinstitute lange vernachlässigt haben.
Parallel zu einer FBI-Warnung kündigte das US-Justizministerium an, dass es gegen sechs venezolanische Staatsbürger im Alter von 21 bis 43 Jahren Anklage erhoben hat. Ihnen wird vorgeworfen, Malware auf Geldautomaten eingespeelt und Millionen Dollar von US-Banken gestohlen zu haben. Seit Dezember 2025 verfolgten US-Behörden insgesamt 93 Personen — darunter Mitglieder der Tren de Aragua (TdA), die die USA als Terrororganisation einstufen. Die maximalen Strafen reichen von 20 bis 355 Jahren Haft.
Die Angriffstechnik selbst ist nicht neu: Jackpotting ermöglicht es Angreifern, auf die interne Elektronik eines Geldautomaten zuzugreifen und dessen Software oder Hardware zu manipulieren. Klassische Methoden sind das Austauchen der Festplatte mit einer malware-infizierten Version, das Tampering mit dem Laufwerk oder das Anschließen externer Geräte. In manchen Fällen kompromittieren Täter zentrale Verwaltungssysteme, um Malware flächendeckend zu verteilen.
Eine besondere Rolle spielt die Malware Ploutus, die speziell darauf ausgerichtet ist, die eXtensions for Financial Services (XFS) auszunutzen — eine Softwareschicht, die Geldautomaten bei legitimen Transaktionen nutzen. “Wenn ein Angreifer eigene Befehle an XFS erteilen kann, umgeht er die Bankautorisation vollständig und kann den Geldautomaten zur sofortigen Auszahlung anweisen”, erläutert die FBI in ihrem Bericht. Ploutus-Attacken laufen oft unbemerkt ab und können in Minuten abgeschlossen sein.
Diebold Nixdorf, einer der größten Anbieter von Geldautomaten, hat die Bedrohung wiederholt öffentlich gemacht und warnt besonders vor organisierten Kriminalgruppen. Das Unternehmen empfiehlt Banken, den physischen Zugang zu Geldautomaten zu beschränken, starke Verschlüsselung einzusetzen, Systeme aktuell zu halten und Manipulationserkennung zu installieren.
Louis Eichenbaum, Federal Chief Technology Officer bei ColorTokens, sieht das Kernproblem in veralteter Infrastruktur: “Viele Geldautomaten laufen noch auf Legacy-Betriebssystemen, die sich schwer patchen lassen und modernen Endpoint-Schutz vermissen lassen.” Hinzu kommt ein weiteres Problem: Generische ATM-Schlüssel und XFS-Reverse-Engineering-Dokumentationen sind im Internet frei verfügbar, wie Sicherheitsexperte Mayuresh Dani von Qualys erklärt. “Billige Schlüssel plus unbeaufsichtigte Geldautomaten in Einkaufszentren und Tankstellen machen physische Angriffe logistisch leicht und wiederholbar.”
Dani empfiehlt, Standard-Schlösser auszutauschen, physische Manipulationserkennung und Alarme zu installieren, TPM-gestützte Secure Boot-Verfahren durchzusetzen und strikte IP- sowie Anwendungs-Whitelisting zu erzwingen. Eichenbaum ergänzt: Remote-Zugriffe sollten mit Multifaktor-Authentifizierung geschützt werden, Standard-Credentials gehören eliminiert und das Prinzip der minimalen Berechtigung sollte konsequent umgesetzt werden. Auf Hardware-Seite seien ungenutzte Ports zu deaktivieren, BIOS-Schutzmaßnahmen zu aktivieren und Tamper-Detection zu installieren.
Quelle: Dark Reading