Firmennachricht • 29.01.2016

Multichannel-Vertrieb erhöht Risiko von Cyber-Attacken

Angreifer nutzen vorzugsweise drei Sicherheitslücken

Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine...
Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine schnelle Aufdeckung verdächtiger Verhaltensweisen.
Quelle: CyberArk

Der stationäre Handel leidet zunehmend unter der wachsenden Konkurrenz durch Online-Händler. Um im Wettbewerb bestehen zu können, gehen immer mehr Retailer auch selbst online. Dabei müssen sie allerdings auch ihre Sicherheitsinfrastruktur auf den Prüfstand stellen und in der Regel optimieren – ansonsten sind erfolgreiche Hacker-Attacken quasi vorprogrammiert.

Das Online-Geschäft ist ein zentraler Umsatztreiber für den deutschen Einzelhandel. Die Retailer stellen sich dieser Entwicklung und bauen ihr Online-Geschäft massiv aus. Die Parfümeriekette Douglas und die Supermarktkette REWE sind dafür nur zwei prominente Beispiele. Damit vollzieht der Retail-Bereich eine Entwicklung, die in der Finanzdienstleistungsindustrie bereits vor Jahren eingesetzt hat, also die enge Verzahnung unterschiedlichster Vertriebswege – Stichwort Multichannel-Banking.

Klar ist, dass die Einführung eines Multichannel-Vertriebs auch die Implementierung einer adäquaten E-Commerce-Lösung und deren Einbindung in die vorhandene IT-Systemlandschaft erfordert. Aber aus IT-Sicht ist dies nur ein Aspekt. Ebenso wichtig ist es beim Aufbau eines Mehrkanalvertriebs, die bestehenden IT-Sicherheits­strukturen auf den Prüfstand zu stellen.

Sobald ein Händler neben dem stationären Laden zusätzlich ein Online-Geschäft betreibt, hat das gravierende Auswirkungen für die IT-Sicherheit, denn dann werden bisher abgeschottete Applikationen, die vielfach unternehmenskritischen Charakter haben, auch von außen zugänglich. Das betrifft beispielsweise das ERP- oder Warenwirtschaftssystem, das eine Schnittstelle zur Onlineshop-Lösung aufweisen muss, um auch alle aus dem E-Commerce resultierenden Warenströme abbilden zu können. Die Gefahr eines Zugriffs durch Externe auf interne Systeme nimmt dadurch deutlich zu. Und der Begriff „Externe“ ist hier weit zu fassen. Online-Handel heißt nicht nur Internetpräsenz für den Endkunden, sondern zum Beispiel auch Anbindung von Logistik-Dienstleistern an Unternehmensapplikationen.

Dass Händler dabei zunächst Standard-Sicherheitsvorkehrungen treffen müssen wie Firewall, Antivirenschutz oder Webfilter-Techniken, dürfte außer Frage stehen. Aber das Problem ist wesentlich weitreichender. Mit immer raffinierteren Methoden wie den aktuell häufig anzutreffenden zielgerichteten Web-Attacken, den Advanced Persistent Threats (APTs), ist es heute relativ leicht möglich, den Perimeter-Schutzwall gegen Angriffe von außen zu überwinden. Eine nähere Analyse dieser Attacken zeigt, dass Angreifer dann hauptsächlich auf privilegierte und administrative Accounts zugreifen. Sie besitzen weitreichende Rechte, das heißt, über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet. Und mittels privilegierter Zugangsdaten ist es problemlos möglich, Ressourcen zu kontrollieren, Warenwirtschaftssysteme lahmzulegen, Sicherheitssysteme auszuschalten oder auf vertrauliche Daten zuzugreifen.

Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im...
Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im Überblick.
Quelle: CyberArk

Im Hinblick auf unterschiedliche Angriffsszenarien haben sich drei zentrale IT-Schwachstellen herauskristallisiert:

Privilegierte Accounts

In erster Linie ist hier das Gefahrenpotenzial zu nennen, das mit privilegierten Benutzerkonten verbunden ist. Besonders problematisch sind dabei vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Root-Konten in Unix und Linux, Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich. Die Sicherung und Überwachung dieser Konten ist unverzichtbar, da über sie ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich ist. Das heißt auch, erlangt ein Externer Zugang zu einem solchen Benutzerkonto, kann er es ebenfalls ohne Probleme für seine Zwecke nutzen.

Application Accounts

Auch Application Accounts oder Software Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, stellen eine Sicherheitslücke dar. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da Passwörter meistens unverschlüsselt im Klartext vorliegen und nur selten oder nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen.

SSH-Keys

Nicht zu unterschätzen ist zudem die mit der Nutzung von SSH-Keys verbundene Gefahr. SSH-Keys werden häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist vor allem auch für den Retail-Bereich von hoher Relevanz, da hier viele Unternehmen Unix-Infrastrukturen betreiben und auf SSH-Authentifizierung mittels Key-Paaren setzen.

Michael Kleist ist Regional Director DACH bei CyberArk....
Michael Kleist ist Regional Director DACH bei CyberArk.
Quelle: CyberArk

Lösung im Bereich Privileged Account Security ist Pflicht

Zuverlässig sind diese Sicherheitsgefahren nur in den Griff zu bekommen, indem eine Lösung im Bereich Privileged Account Security implementiert wird. Mit einer solchen Lösung können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Zur Sicherung von Benutzerkonten mit erweiterten Rechten sind heute verschiedene Lösungen auf dem Markt verfügbar. Bei der Auswahl sollte auf jeden Fall darauf geachtet werden, dass die Applikation neben einer regelmäßigen, automatischen Änderung aller Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit sämtlicher Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Von zentraler Bedeutung ist dies zum Beispiel für Retailer, die nur über kleinere IT-Abteilungen verfügen. Sie sind dadurch oft auf die Unterstützung externer IT-Provider angewiesen, die einen Remote-Zugriff auf interne Systeme erhalten.

Im Einzelnen muss eine Sicherheitsapplikation drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass sie eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Zielsysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nicht zuletzt sollte eine Privileged-Account-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Diese könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.

Echtzeit-Analytik bietet Sicherheitsplus

Idealerweise umfasst eine Lösung im Bereich Privileged Account Security auch Echtzeit-Analytik und -Alarmierung bereits bei der auffälligen Nutzung privilegierter Konten. Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen. Sicherheitsverantwortliche erhalten mit einer solchen Lösung zielgerichtete Bedrohungsanalysen in Echtzeit, auf deren Basis sie auch auf laufende Angriffe reagieren können.

Setzt ein Retailer eine Privileged-Account-Security-Lösung ein, bringt das mehrere Vorteile mit sich: Zum einen kann er damit die Gefahren des Datenmissbrauchs und -diebstahls durch eine missbräuchliche Nutzung privilegierter Konten zuverlässig ausschließen. Und zum anderen erfüllt er so auch alle einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen – und zwar effizient und ohne hohen Administrationsaufwand.

Autor: Michael Kleist, Regional Director DACH bei CyberArk

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Omnichannel-Fulfillment: über den LEH und andere Branchen bis in die...
01.08.2022   #stationärer Einzelhandel #Kundenbeziehungsmanagement

Omnichannel-Fulfillment: über den LEH und andere Branchen bis in die ganze Welt

Wie das Start-up fulfillmenttools den Handel weiterbringen möchte

Was im Lebensmitteleinzelhandel klappt, funktioniert auch in anderen Branchen, oder? Das haben sich die Köpfe hinter fulfillmenttools gefragt und eine klare Antwort gefunden: Ja!  ...

Thumbnail-Foto: SPAR minimiert Lebensmittelverschwendung durch KI- und Cloud-Lösungen...
29.08.2022   #Tech in Retail #Lebensmitteleinzelhandel

SPAR minimiert Lebensmittelverschwendung durch KI- und Cloud-Lösungen

Mit Digitalisierung den Lebensmittelverderb reduzieren

SPAR arbeitet stetig an einer Verbesserung und Eindämmung der Lebensmittelverschwendung. SPAR hat daher eine treffsichere Lösung entwickelt, um mit Hilfe von Daten und künstlicher Intelligenz gezielte Bestellvorschläge und ...

Thumbnail-Foto: Checkout: Die richtige Option für jeden Geschmack...
11.10.2022   #Tech in Retail #Zahlungssysteme

Checkout: Die richtige Option für jeden Geschmack

Finde die passende Self-Checkout-Lösung für deinen Store

Schon während des Einkaufsprozesses die Ware einscannen, erst an der Express-Kasse oder überall dort, wo meine Kund*innen mit meinen Mitarbeitenden für das Bezahlen in Kontakt kommen – die Möglichkeiten des Checkouts sind so vielfältig wie die Gewürze im Regal eines Drei-Sterne-Restaurants ...

Thumbnail-Foto: Globus Baumarkt startet ESL-Rollout mit Delfi Technologies...
09.09.2022   #elektronische Regaletiketten #Etiketten

Globus Baumarkt startet ESL-Rollout mit Delfi Technologies

Neue und spannende Möglichkeiten zur Optimierung von Preisanpassungen

Bei der deutschen Baumarktkette Globus Baumarkt sind die Dimensionen im Vergleich zu vielen anderen Märkten um einiges größer. Das bedeutet, dass Tausende von Preisschildern und Artikel im Auge behalten werden müssen – ...

Thumbnail-Foto: Aral entscheidet sich für Zebra Technologies zur Digitalisierung seiner...
19.10.2022   #Softwareapplikationen #Software as a Service (SaaS)

Aral entscheidet sich für Zebra Technologies zur Digitalisierung seiner Tankstellenbetriebe

Bessere Abläufe an den Tankstellen und zuverlässigere Compliance durch Software von Zebra Technologies

Zebra Technologies Corporation (NASDAQ: ZBRA), ein Innovator, der mit seinen Lösungen und Partnern wesentlich effizientere Geschäftsabläufe ermöglicht, gibt heute bekannt, dass die Aral AG sich für den Einsatz der ...

Thumbnail-Foto: Digitale Buffetschilder schaffen Übersicht in den Meyers Kantinen...
28.10.2022   #Tech in Retail #Personalmanagement

Digitale Buffetschilder schaffen Übersicht in den Meyer's Kantinen

Das dänische Lebensmittelunternehmen Meyers stellt die Weichen für besseres Mitarbeitermanagement und ansprechendere Lebensmittelpräsentation

Das dänische Lebensmittelunternehmen Meyers, das heute Kantinen betreibt und in weiten Teilen Dänemarks Mittagslösungen anbietet, wollte die Zeit für seine Köch*innen und Mitarbeiter*innen in den vielen Küchen ...

Thumbnail-Foto: SHOWZ zeigt das Schaufenster der Zukunft
14.09.2022   #Tech in Retail #Smartphone

SHOWZ zeigt das Schaufenster der Zukunft

Zur Berliner Fashion Week präsentierte die Agentur ein immersives Markenerlebnis

Innovative Zukunftstechnologie und Retail – passt das zusammen? Die Schaufenster-Installation der Agentur SHOWZ zeigt: Ja! Zur Berliner Fashion Week präsentierte SHOWZ´s Gründer und Netflix-Personality Ayan Yuruk die Zukunft ...

Thumbnail-Foto: Kunden und Mitarbeiter begeistern
05.11.2022   #Handel #Tech in Retail

Kunden und Mitarbeiter begeistern

RetailCX, die vollautomatische Instore-Technologie von KNAPP

Wann lohnen sich unternehmerische Investitionen wirklich? Wenn sie die Umsatzrendite erhöhen. Und das gelingt am besten, wenn die Investitionen doppelte Vorteile bringen – für Kund*innen ebenso wie für Mitarbeiter*innen. ...

Thumbnail-Foto: Der vernetzte Supermarkt: das Einkaufserlebnis der Zukunft?...
04.10.2022   #stationärer Einzelhandel #Handel

Der vernetzte Supermarkt: das Einkaufserlebnis der Zukunft?

Bizerba präsentierte auf der EuroCIS verschiedenste Lösungen für den Handel

Ein einheitliches Einkaufserlebnis auf allen Kanälen – kein Problem! Dank modernster Geräte und künstlicher Intelligenz können Händler*innen die Kundenbindung weiter stärken. Auf der EuroCIS 2022 präsentierte ...

Thumbnail-Foto: Automatisch. Praktisch. Gut?
07.09.2022   #Handel #Digitalisierung

Automatisch. Praktisch. Gut?

Interview mit Alexander Eissing, Geschäftsführer der Livello GmbH, über moderne Verkaufsautomaten und ihre branchenübergreifende Zukunft

Verkaufsautomaten sind ein gewohnter Anblick an Flughäfen, Bahnhöfen, in Krankenhäusern und vielen anderen Einrichtungen. Doch Verkaufsautomat ist nicht gleich Verkaufsautomat. Denn viele der älteren Modelle eigenen sich nicht ...

Anbieter

Zebra Technologies Europe Limited
Zebra Technologies Europe Limited
Mollsfeld 1
40670 Meerbusch
S-Payment GmbH
S-Payment GmbH
Am Wallgraben 115
70565 Stuttgart
Delfi Technologies GmbH
Delfi Technologies GmbH
Landgraben 75
24232 Schönkirchen
iXtenso - retail trends
iXtenso - retail trends
Heilsbachstraße 22-24
53123 Bonn
SALTO Systems GmbH
SALTO Systems GmbH
Schwelmer Str. 245
42389 Wuppertal
KNAPP Smart Solutions GmbH
KNAPP Smart Solutions GmbH
Uferstraße 10
45881 Gelsenkirchen
salsify
salsify
7 rue de Madrid
75008 Paris
Citizen Systems Europe GmbH
Citizen Systems Europe GmbH
Otto-Hirsch-Brücken 17
70329 Stuttgart
EuroShop
EuroShop
Stockumer Kirchstraße 61
40474 Düsseldorf