RBI fordert Banken auf, Windows XP auf Geldautomaten abzuschalten

RBI weist alle Banken an, Geldautomaten, die noch mit Windows XP betrieben werden, bis Juni 2019 aufzurüsten

Die Reserve Bank of India (RBI) hat eine Mitteilung an die Banken des Landes herausgegeben, in der sie aufgefordert werden, das Microsoft XP-Betriebssystem von allen Geldautomaten zu deinstallieren und diese bis Juni 2019 aufzurüsten.

Für diejenigen, die es nicht wissen: Im April 2014 hatte Microsoft angekündigt, dass die Versionen des Windows XP-Betriebssystems eingestellt werden. Seitdem hat das Unternehmen keine Sicherheitsupdates mehr veröffentlicht und keine neuen Funktionen für Windows XP angekündigt.

Im April 2017 hatte die RBI in einem “vertraulichen Rundschreiben” an die Banken Bedenken hinsichtlich Geldautomaten geäußert, die mit Windows XP und anderen anfälligen Betriebssystemen betrieben werden.

„Es wird auch auf unser vertrauliches Beratungsschreiben Nr. 3/2017 vom 6. März 2017 und Nr. 13/2017 vom 1. November 2017 verwiesen, in dem den Banken geraten wurde, unverzüglich geeignete Kontrollen gemäß der beispielhaften Liste von Kontrollen zu implementieren“, sagte die RBI in einem vertraulichen Rundschreiben an die Banken über Geldautomaten, die mit Windows XP und anderen nicht unterstützten Betriebssystemen betrieben werden.

Trotz der früheren Hinweise an die Banken, die sie anweisen, Migrationspläne zu erstellen, hat sich nicht genug bewegt für die RBI.

„Der langsame Fortschritt der Banken bei der Behebung dieser Probleme wird von der RBI ernst genommen“, heißt es in der Mitteilung.

Das Rundschreiben der Zentralbank hebt auch hervor, dass die „anfälligkeit, die sich aus den Geldautomaten der Banken ergibt, die auf nicht unterstützten Versionen des Betriebssystems betrieben werden und die Nichtimplementierung anderer Sicherheitsmaßnahmen, potenziell die Interessen der Kunden der Banken negativ beeinflussen könnte, abgesehen von solchen Vorfällen, falls vorhanden, die das Image der Bank beeinträchtigen.“

Die Zentralbank hat gewarnt, dass sie regulatorische Maßnahmen gegen Banken ergreifen wird, die der Anordnung nicht nachkommen.

„Es sollte beachtet werden, dass jede Mangel an rechtzeitiger und effektiver Einhaltung der in diesem Rundschreiben enthaltenen Anweisungen geeignete aufsichtsrechtliche Durchsetzungsmaßnahmen gemäß den geltenden Bestimmungen des Banking Regulation Act von 1949 und/oder des Payment and Settlement Systems Act von 2007 nach sich ziehen kann“, sagte die RBI.

Die RBI hat den Banken und „White-Label-Geldautomatenbetreibern“ eine Frist gesetzt, um alle Probleme zu beheben und die Aufrüstungen schrittweise durchzuführen. Sie möchte, dass mindestens 25 % der Geldautomaten bis September 2018 aufgerüstet werden, während 50 % der Systeme bis Dezember 2018 aktualisiert werden müssen. Alle Geldautomaten mit unterstützten Versionen des Betriebssystems sollten bis Juni 2019 auf die neueste Version aktualisiert werden.

Neben der Aufforderung an die Banken, ihre Geldautomaten aufzurüsten, hat die RBI sie auch aufgefordert, andere Sicherheitsmaßnahmen wie BIOS-Passwort, Deaktivierung von USB-Ports, Deaktivierung der Auto-Run-Funktion, Anwendung der neuesten Patches des Betriebssystems und anderer Software, Terminal-Sicherheitslösungen, zeitbasierte Administratorzugriffe usw. bis August umzusetzen.

Darüber hinaus hat die RBI die Banken angewiesen, Anti-Skimming- und Whitelisting-Lösungen auf Geldautomaten zu implementieren, damit nur genehmigte Software darauf ausgeführt werden kann. Die Frist für die Implementierung dieser Maßnahmen ist März 2019.

Die RBI hat die Banken angewiesen, ihre Compliance-Pläne bis Ende Juli 2018 einzureichen. „Der Fortschritt bei der Umsetzung dieser Maßnahmen sollte genau überwacht werden, um die Einhaltung der festgelegten Fristen sicherzustellen“, fügte das Rundschreiben hinzu.