Ärger im Laden? Denken Sie an VPN!

Sicherheitslücken im Einzelhandelssektor sind bereits seit einigen Jahren fast ständig in den Schlagzeilen. Den Angriffen auf große Einzelhandelsunternehmen wie Target, Neiman Marcus und The Home Depot im Jahr 2014 folgten 2015 die Angriffe auf Dungarees, Starbucks, CVS, Toys R Us sowie Wallmart Canada. Bei einigen der Letztgenannten handelt es sich um wesentlich kleinere Geschäfte. Dies zeigt, dass die Größe eines Einzelhandelsunternehmens bei Angriffen keine Rolle spielt.

Laut dem jährlich erscheinenden Global Threat Intelligence Report sind derzeit 22 Prozent aller Reaktionen auf Datenangriffe dem Einzelhandel zuzuschreiben – ein Plus von 12 Prozent gegenüber dem Vorjahr. Dies wird auch im jüngsten Bericht des Wirtschaftsprüfungs- und Beratungsunternehmens BDO deutlich. Dieser listet eine mögliche Sicherheitslücke zusammen mit den „allgemeinen wirtschaftlichen Bedingungen“ an erster Stelle der größten Sicherheitsrisiken für den Einzelhandelssektor auf.

Einzelhandelsunternehmen verarbeiten ständig große Mengen von Finanz- und Verbraucherdaten. Bankkarteninformationen, Sozialversicherungsnummern und Rechnungsadressen sind auf dem Schwarzmarkt stark nachgefragt. Daher sind solche Daten für Cyberkriminelle so attraktiv. Nicht weniger als 74 Prozent der Angriffe auf Einzelhandelsunternehmen und Lebensmitteldienstleister zielen auf die Beschaffung von Karteninhaberinformationen ab. Ein Paradebeispiel dafür liefert die amerikanische Restaurantkette Wendy's, ein Unternehmen mit 6.500 Restaurants in 28 Ländern. Erstmalig waren hier betrügerische Machenschaften im Zusammenhang mit Kundenbank- und -kreditkarten im Februar 2016 entdeckt worden. Ursprünglich wurde angenommen, dass diese Aktivitäten auf weniger als 300 nordamerikanische Verkaufsstellen begrenzt waren. Nach weiteren Untersuchungen könnten die endgültigen Zahlen jedoch „beträchtlich höher“ ausfallen.

Der am häufigsten gegen große Organisationen gerichtete Cyberangriff ist ein großangelegter Distributed-Denial-of-Service-Angriff (DDoS-Attacke). Diese Art von Angriffen gelangt tendenziell aufgrund ihrer Fähigkeit, Unternehmen in einen vorübergehenden Stillstand zu versetzen, in die Schlagzeilen. Interessanterweise werden lediglich 5 Prozent der Einzelhandelsunternehmen von DDoS bedroht. Dies rührt daher, dass Cyberkriminelle kein Interesse an einem Stillstand im Unternehmen haben. Eine Stilllegung von Einzelhandelsstandorten und Kassensystemen (POS) hat schlicht zur Folge, dass kein Diebstahl möglich ist und keine Daten kompromittiert werden können. Stattdessen wollen Cyberkriminelle die Transaktionsströme im Fluss halten.

Im Fall von Einzelhandelsunternehmen nutzen Angreifer verschiedene Arten von Bedrohungen. Bevorzugte Techniken sind Keylogger (Schadcode zum Stehlen von Anmeldeinformationen) sowie Advanced Persistent Threats (Malware zur Infizierung von Netzwerken zum Zwecke der Beobachtung und Aufzeichnung spezieller Transaktionen). Laut Graham Cluley werden bei über der Hälfte der gegen Einzelhandelsunternehmen gerichteten Sicherheitsbedrohungen diese Angriffsvektoren genutzt. Infolgedessen ist der Einzelhandel tendenziell mehr als jeder andere Sektor von finanziellen Verlusten, Geldstrafen für die Nichteinhaltung von Richtlinien, Rechtsfolgen, Rufschädigung und nachlassender Kundenloyalität betroffen.

Wiederholt wurde in aufeinanderfolgenden Berichten, den sogenannten Data Breach Reports, des Unternehmens Verizon die relative Leichtigkeit herausgestellt, mit der Hacker im Falle einer Sicherheitslücke Zugriff auf vertrauliche Daten erlangen können. Dies resultiert zum Teil aus der Einstellung der Einzelhandelsunternehmen gegenüber der PCI-DSS-Norm. Die meisten betrachten Compliance nicht als kontinuierlichen Prozess, sondern eher als Aufgabe, die mit Abschluss des jährlichen Audits in Vergessenheit gerät. Statistiken zu Datenangriffen im Einzelhandel zeigen, dass nicht ein einziges Unternehmen zum Zeitpunkt des Angriffs vollkommen richtlinienkonform war. Laut Verizon erfüllen lediglich 20 % der Unternehmen sämtliche Anforderungen der Norm. Mit anderen Worten: 80 % der Einzelhandelsunternehmen lassen die Tür offen und gefährden somit ihr essentielles Kapital.

Es ist zwingend erforderlich, dass Einzelhandelsunternehmen – unabhängig von ihrer Größe – aufhören, Compliance als eine kurzfristige Unannehmlichkeit zu betrachten. Darüber hinaus müssen sie ihre internen Richtlinien regelmäßig anpassen, um mit den neuesten Versionen der PCI-DSS Schritt zu halten. Die beste Möglichkeit zum Schutz von Karteninhaberinformationen ist die kontinuierliche Verbesserung der Sicherheitsprozesse, sodass diese die in den PCI-DSS-Compliance-Anforderungen festgelegten Mindestkriterien weit übertreffen.

Das richtige Schließen der Tür zum Schutz vor Angreifern erfordert eine Reihe von Maßnahmen. Dazu gehören unter anderem die Verbesserung des Netzwerkschutzes gegen Malware, regelmäßige Mitarbeiterschulungen zum Thema Malware-Bedrohungen und beste Reaktionen auf diese Bedrohungen, die Behandlung von Compliance als Teil der täglichen Sicherheitsroutinen und die Implementierung sicherer Verbindungen für die interne und externe Kommunikation.

Ein VPN und eine Personal Firewall können deutlich zur Minimierung von Verbindungsrisiken beitragen. Unternehmensdaten und -netzwerke können noch besser geschützt werden, wenn folgende Maßnahmen zusätzlich umgesetzt werden:

  • Secure Supply Chain Connectivity – Es muss darauf bestanden werden, dass sämtliche Drittanbieter die vereinbarten, einheitlichen Maßnahmen bei der Vernetzung einhalten. Dabei müssen die Konsequenzen im Falle einer Nichteinhaltung der Richtlinien deutlich kommuniziert werden.
  • Friendly Network Detection – IT-Abteilungen in Einzelhandelsunternehmen sollten Personal Firewalls auf Mobilgeräten so einrichten, dass sie automatisch zwischen sicheren, beziehungsweise „freundlichen”, Netzen und ungesicherten öffentlichen Netzen unterscheiden.
  • Endpoint-Schutz – Bevor eine Verbindung zugelassen wird, überprüft das VPN automatisch den Zustand des Geräts.

Fazit: Vorrangige Ziele für Cyberkriminelle sind Einzelhändler und ihre Kunden. Deshalb haben Kunden und Mitarbeiter in Einzelhandelsunternehmen mehr Beweggründe, wachsam zu sein, als die meisten anderen. Sie müssen Maßnahmen ergreifen, um die Wahrscheinlichkeit eines Datendiebstahls zu verringern. Vorrangig ist die Einrichtung von sicheren Verbindungen zwischen Netzwerken, externen Lieferanten und Kunden. Ein VPN ist eine Methode, um die Sicherheit von Verbindungen in Einzelhandelsumgebungen zu gewährleisten. Damit bleibt die Tür für Datenangriffe geschlossen.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.