Das FBI meldet in einem aktuellen Sicherheitsbulletin einen deutlichen Anstieg von sogenannten Jackpotting-Angriffen auf Geldautomaten in den USA. Allein im Jahr 2025 wurden über 700 erfolgreiche Vorfälle registriert, mit einem geschätzten Gesamtschaden von mehr als 20 Millionen US‑Dollar. Seit 2020 zählt die Behörde rund 1900 Attacken mit ATM-Malware, wobei nahezu die Hälfte auf das laufende Jahr entfällt – ein klarer Hinweis auf eine sich verschärfende Bedrohungslage im Bereich der Bargeldversorgung.
Was ist Jackpotting bei Geldautomaten und warum ist es so gefährlich?
Unter Jackpotting versteht man Angriffe, bei denen Kriminelle einen Geldautomaten dazu bringen, unabhängig von einer legitimen Kontotransaktion Bargeld auszugeben. Im Gegensatz zu klassischem Skimming, bei dem Kartendaten von Kunden ausgespäht werden, zielt Jackpotting direkt auf die Hardware- und Software-Infrastruktur des Automaten ab.
Der Angreifer manipuliert den Automaten so, dass dieser große Bargeldbeträge binnen weniger Minuten ausgibt. Banken und Betreiber bemerken den Vorfall in vielen Fällen erst, wenn die Kassette bereits geleert ist und Abrechnungsdifferenzen auffallen. Da dabei weder Karte, noch PIN noch ein reales Kundenkonto genutzt werden, greifen herkömmliche Transaktions- und Betrugserkennungssysteme kaum.
Ploutus: Die Schlüsselmalseware hinter vielen Jackpotting-Angriffen
Entwicklung und anhaltende Relevanz von Ploutus
Als zentrales Werkzeug in der aktuellen Angriffswelle nennt das FBI die ATM-Malware Ploutus. Die Schadsoftware ist seit über einem Jahrzehnt bekannt und wurde bereits 2017/2018 bei koordinierten Angriffskampagnen auf Geldautomaten eingesetzt. Obwohl Ploutus zeitweise aus öffentlichen Sicherheitsberichten verschwunden war, stuft das FBI sie weiterhin als eine der am weitesten verbreiteten und aktiv genutzten ATM-Malwaren ein.
Ein wesentlicher Faktor für den Erfolg von Ploutus ist ihre Fähigkeit, geräteübergreifend auf Modellen verschiedener Hersteller zu laufen. Angreifer müssen den Code nur geringfügig anpassen, um Tausende von Geldautomaten mit ähnlicher Konfiguration ins Visier zu nehmen – ein erheblicher Skalierungsvorteil für organisierte Banden.
Direkte Steuerung des Geldautomaten über Windows und XFS
Technisch nutzt Ploutus den Standard eXtensions for Financial Services (XFS). XFS bildet die Schnittstelle zwischen dem Windows-Betriebssystem des Geldautomaten und den Hardwarekomponenten wie Geldausgabe, Kartenleser oder PIN-Pad. Normalerweise ruft die ATM-Anwendung über XFS eine Transaktion auf, die dann über die Bankprozesse autorisiert wird.
Gelingt es aber, Ploutus auf dem System zu installieren, kann die Malware XFS-Kommandos direkt an den Geldausgabemechanismus senden – ohne jede Online-Autorisierung durch die Bank. Der Automat verhält sich dann wie ein „Geldspender auf Zuruf“: Über versteckte Tastenkombinationen, angeschlossene USB-Geräte oder zusätzlich kompromittierte Fernzugänge lassen sich Betrag, Anzahl der Scheine und Zeitpunkte der Auszahlung steuern.
Warum Geldautomaten so verwundbar sind: Standardsoftware und physischer Zugriff
Die meisten modernen Geldautomaten basieren auf einem standardisierten Software-Stack aus Windows und XFS. Diese Vereinheitlichung reduziert zwar die Betriebskosten von Banken, erhöht aber gleichzeitig die Attraktivität für Angreifer: Eine einmal entwickelte Malware kann mit minimalen Anpassungen auf eine große Anzahl von Systemen ausgerollt werden.
Hinzu kommt der oft unterschätzte Faktor physische Sicherheit. In zahlreichen dokumentierten Fällen verschafften sich Täter mit Universal-Schlüsseln, gefälschten Servicetechniker-Ausweisen oder aufgebrochenen Schlössern Zugang zum Inneren des Automaten. Dort wurden Festplatten ausgebaut, mit Malware präpariert und wieder eingesetzt – oder gleich komplett durch vorbereitete Laufwerke ersetzt.
Moderne Varianten von Ploutus enthalten zudem Anti-Forensik-Funktionen: Sie löschen Spuren ihrer Aktivitäten, manipulieren Logdateien und erschweren so die nachträgliche Analyse. Für Incident-Response-Teams wird es dadurch deutlich schwieriger, den genauen Ablauf und Umfang eines Angriffs zu rekonstruieren.
Empfehlungen des FBI: Technische und organisatorische Schutzmaßnahmen
1. Systematische Sicherheits- und Hardware-Audits von Geldautomaten. Betreiber sollten ihre ATMs regelmäßig auf unautorisierte USB-Geräte, zusätzliche Platinen, ungewöhnliche Kabelverbindungen und Spuren von Gehäusemanipulation prüfen. Beschädigte oder offensichtlich ausgetauschte Schlösser sind stets ein Alarmsignal.
2. Härtung des Betriebssystems und Überwachung kritischer Prozesse. Empfohlen wird ein engmaschiges Monitoring der laufenden Prozesse, der Dateisystemintegrität und der Systembibliotheken. Lösungen für Whitelisting und Integritätskontrolle von Referenz-Images erleichtern das Erkennen von Festplattenaustausch, Malware-Installation und unautorisierten Konfigurationsänderungen.
3. Stärkung der physischen Sicherheit an Aufstellorten. Banken sollten individuelle Schließsysteme statt Generalschlüssel einsetzen, Servicezugriffe strikt regeln, Videoüberwachung und Gehäuse-Tamper-Sensoren mit Echtzeit-Alarmierung implementieren. Auch Schulungen von Servicepersonal zur Erkennung verdächtiger Situationen sind entscheidend.
4. Aktualisierung, Segmentierung und Rechtebeschränkung. Das FBI empfiehlt, Geldautomaten auf aktuelle, gehärtete Windows-Versionen umzustellen, lokale Konten strikt zu beschränken und die ATM-Netze konsequent von der restlichen IT-Infrastruktur zu segmentieren. Netzwerkzugriffe sollten nach dem „Least-Privilege“-Prinzip und mit starker Authentifizierung erfolgen.
Die Zunahme von Jackpotting-Angriffen zeigt, dass Kriminelle die Kombination aus standardisierter ATM-Software, XFS-Schnittstelle und mangelhafter physischer Absicherung systematisch ausnutzen. Geldautomaten müssen deshalb als kritische Endpunkte der Zahlungsinfrastruktur betrachtet werden – nicht als isolierte „Bargeldboxen“. Finanzinstitute, Serviceprovider und Betreiber sollten ihre Schutzkonzepte jetzt überprüfen, Monitoring und Audits ausbauen, Personal sensibilisieren und technische wie organisatorische Maßnahmen nachrüsten, um das Risiko erfolgreicher Jackpotting-Angriffe nachhaltig zu reduzieren.
