Der indische Bankensektor will sich, auch fünf Jahre nachdem das beliebte Windows XP Betriebssystem schon nicht mehr vom Support unterstützt wird(!), nur schwer davon trennen. Das hat nun Konsequenzen. Die indische Reservebank hat jetzt genug davon und legt einen straffen Zeitplan für den entsprechenden Zwangsumstieg vor. 2019 ist dann endgültig Schluss. Bis dahin muss Windows XP auf allen Bankautomaten in Indien durch ein neueres Betriebssystem ersetzt werden. Und davor legt die Reservebank allen Banken zudem noch ein umfangreiches Hausaufgabenprogramm auf.

R. Ravikumar, Chief General Manager der Reservebank of India schrieb alle Vorsitzenden/Geschäftsführer/CEO von indischen Banken, Geschäftsbanken (ohne regionale ländliche Banken), kleinen Finanz- und Zahlungsbanken sowie White-Label-ATM-Betreiber am 21. Juni dieses Jahres an. Darin hieß es, Windows XP und auch alle anderen Betriebssysteme die nicht mehr unterstützt werden, müssen umgestellt werden. Bereits im April 2017 ging ein Rundschreiben an alle indischen Banken, das die Gefahren bei der Verwendung des veralteten Betriebssystems darlegte und Anweisung zu Migrationsplänen gab. Offenbar stieß das damalige Schreiben auf kein besonderes dringendes Interesse bei den Banken.

Ravikumar gingen die Umstellungsmaßnahmen, wenn sie überhaupt stattgefunden haben, viel zu langsam voran und er drückte in dem aktuellen Schreiben seine Bedenken mit Nachdruck aus. Alle betroffenen Banken, die die veraltete Software in ihren Geldautomaten verwenden, müssen daher einem Maßnahmenzeitplan folgen. Dieser sieht eine sofortige Umsetzung vor für bestimmte Sicherheitsmaßnahmen wie das Sichern der Geldautomaten mit BIOS-Passwörtern, der Deaktivierung von USB und Autorun, Patch Betriebssysteme und Software, Sichern des Terminalzugriffs, des zeitbasierten Administrationszugriffs und anderen Maßnahmen.

Diese erste Stufe muss bis zum August dieses Jahres umgesetzt werden. Bis März 2019 müssen dann Anti-Skimming und Anwendungswhitelisting implementiert werden. Die dritte Stufe sieht dann vor, dass ab Juni 2019 Windows XP von sämtlichen Bankautomaten entfernt wurde und nur noch autorisierte Software eingesetzt wird. XP wird fortan nicht mehr geduldet. Außerdem sieht der Zeitplan vor, dass die indischen Banken dabei bereits eine XP-Reduzierung von 25 % bis September 2018 erreichen müssen, 50 % bis Dezember 2018 und 75 % bis März 2019. Ravikumar gab den Banken Zeit bis Ende Juli dieses Jahres um entsprechende Compliancepläne vorzulegen.

Das Ravikumar es jetzt wirklich ernst meint, wird in Punkt 5 des Schreibens klar.

„Es wird darauf hingewiesen, dass wenn die genannten Maßnahmen nicht rechtzeitig vorgenommen und wirksam umgesetzt werden, drohen angemessene aufsichtsrechtliche Durchsetzungsmaßnahmen gemäß den geltenden Bestimmungen des Bankenregulierungsgesetzes von 1949 und / oder des Payment and Settlement Systems Act von 2007. Und letztendlich der Schlusspunkt unter 6.: Bitte den Eingang dieses Schreibens bestätigen!“

Nicht nur in Indien, auch in Europa und in Österreich sind Bankomaten mit Windows XP noch im Einsatz. Es täte der Manipulationsmöglichkeit gut, auch hierzulande diese alten Systeme endlich in Rente zu schicken.

Artikel von theregister.co.uk, 25.06.2018: India tells its banks to get Windows XP off ATMs – in 2019!
Artikel in rbi.org.in, 21.06.2018: Control measures for ATMs – Timeline for compliance

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0