Firmennachricht • 29.01.2016

Multichannel-Vertrieb erhöht Risiko von Cyber-Attacken

Angreifer nutzen vorzugsweise drei Sicherheitslücken

Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine...
Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine schnelle Aufdeckung verdächtiger Verhaltensweisen.
Quelle: CyberArk

Der stationäre Handel leidet zunehmend unter der wachsenden Konkurrenz durch Online-Händler. Um im Wettbewerb bestehen zu können, gehen immer mehr Retailer auch selbst online. Dabei müssen sie allerdings auch ihre Sicherheitsinfrastruktur auf den Prüfstand stellen und in der Regel optimieren – ansonsten sind erfolgreiche Hacker-Attacken quasi vorprogrammiert.

Das Online-Geschäft ist ein zentraler Umsatztreiber für den deutschen Einzelhandel. Die Retailer stellen sich dieser Entwicklung und bauen ihr Online-Geschäft massiv aus. Die Parfümeriekette Douglas und die Supermarktkette REWE sind dafür nur zwei prominente Beispiele. Damit vollzieht der Retail-Bereich eine Entwicklung, die in der Finanzdienstleistungsindustrie bereits vor Jahren eingesetzt hat, also die enge Verzahnung unterschiedlichster Vertriebswege – Stichwort Multichannel-Banking.

Klar ist, dass die Einführung eines Multichannel-Vertriebs auch die Implementierung einer adäquaten E-Commerce-Lösung und deren Einbindung in die vorhandene IT-Systemlandschaft erfordert. Aber aus IT-Sicht ist dies nur ein Aspekt. Ebenso wichtig ist es beim Aufbau eines Mehrkanalvertriebs, die bestehenden IT-Sicherheits­strukturen auf den Prüfstand zu stellen.

Sobald ein Händler neben dem stationären Laden zusätzlich ein Online-Geschäft betreibt, hat das gravierende Auswirkungen für die IT-Sicherheit, denn dann werden bisher abgeschottete Applikationen, die vielfach unternehmenskritischen Charakter haben, auch von außen zugänglich. Das betrifft beispielsweise das ERP- oder Warenwirtschaftssystem, das eine Schnittstelle zur Onlineshop-Lösung aufweisen muss, um auch alle aus dem E-Commerce resultierenden Warenströme abbilden zu können. Die Gefahr eines Zugriffs durch Externe auf interne Systeme nimmt dadurch deutlich zu. Und der Begriff „Externe“ ist hier weit zu fassen. Online-Handel heißt nicht nur Internetpräsenz für den Endkunden, sondern zum Beispiel auch Anbindung von Logistik-Dienstleistern an Unternehmensapplikationen.

Dass Händler dabei zunächst Standard-Sicherheitsvorkehrungen treffen müssen wie Firewall, Antivirenschutz oder Webfilter-Techniken, dürfte außer Frage stehen. Aber das Problem ist wesentlich weitreichender. Mit immer raffinierteren Methoden wie den aktuell häufig anzutreffenden zielgerichteten Web-Attacken, den Advanced Persistent Threats (APTs), ist es heute relativ leicht möglich, den Perimeter-Schutzwall gegen Angriffe von außen zu überwinden. Eine nähere Analyse dieser Attacken zeigt, dass Angreifer dann hauptsächlich auf privilegierte und administrative Accounts zugreifen. Sie besitzen weitreichende Rechte, das heißt, über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet. Und mittels privilegierter Zugangsdaten ist es problemlos möglich, Ressourcen zu kontrollieren, Warenwirtschaftssysteme lahmzulegen, Sicherheitssysteme auszuschalten oder auf vertrauliche Daten zuzugreifen.

Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im...
Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im Überblick.
Quelle: CyberArk

Im Hinblick auf unterschiedliche Angriffsszenarien haben sich drei zentrale IT-Schwachstellen herauskristallisiert:

Privilegierte Accounts

In erster Linie ist hier das Gefahrenpotenzial zu nennen, das mit privilegierten Benutzerkonten verbunden ist. Besonders problematisch sind dabei vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Root-Konten in Unix und Linux, Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich. Die Sicherung und Überwachung dieser Konten ist unverzichtbar, da über sie ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich ist. Das heißt auch, erlangt ein Externer Zugang zu einem solchen Benutzerkonto, kann er es ebenfalls ohne Probleme für seine Zwecke nutzen.

Application Accounts

Auch Application Accounts oder Software Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, stellen eine Sicherheitslücke dar. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da Passwörter meistens unverschlüsselt im Klartext vorliegen und nur selten oder nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen.

SSH-Keys

Nicht zu unterschätzen ist zudem die mit der Nutzung von SSH-Keys verbundene Gefahr. SSH-Keys werden häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist vor allem auch für den Retail-Bereich von hoher Relevanz, da hier viele Unternehmen Unix-Infrastrukturen betreiben und auf SSH-Authentifizierung mittels Key-Paaren setzen.

Michael Kleist ist Regional Director DACH bei CyberArk....
Michael Kleist ist Regional Director DACH bei CyberArk.
Quelle: CyberArk

Lösung im Bereich Privileged Account Security ist Pflicht

Zuverlässig sind diese Sicherheitsgefahren nur in den Griff zu bekommen, indem eine Lösung im Bereich Privileged Account Security implementiert wird. Mit einer solchen Lösung können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Zur Sicherung von Benutzerkonten mit erweiterten Rechten sind heute verschiedene Lösungen auf dem Markt verfügbar. Bei der Auswahl sollte auf jeden Fall darauf geachtet werden, dass die Applikation neben einer regelmäßigen, automatischen Änderung aller Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit sämtlicher Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Von zentraler Bedeutung ist dies zum Beispiel für Retailer, die nur über kleinere IT-Abteilungen verfügen. Sie sind dadurch oft auf die Unterstützung externer IT-Provider angewiesen, die einen Remote-Zugriff auf interne Systeme erhalten.

Im Einzelnen muss eine Sicherheitsapplikation drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass sie eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Zielsysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nicht zuletzt sollte eine Privileged-Account-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Diese könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.

Echtzeit-Analytik bietet Sicherheitsplus

Idealerweise umfasst eine Lösung im Bereich Privileged Account Security auch Echtzeit-Analytik und -Alarmierung bereits bei der auffälligen Nutzung privilegierter Konten. Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen. Sicherheitsverantwortliche erhalten mit einer solchen Lösung zielgerichtete Bedrohungsanalysen in Echtzeit, auf deren Basis sie auch auf laufende Angriffe reagieren können.

Setzt ein Retailer eine Privileged-Account-Security-Lösung ein, bringt das mehrere Vorteile mit sich: Zum einen kann er damit die Gefahren des Datenmissbrauchs und -diebstahls durch eine missbräuchliche Nutzung privilegierter Konten zuverlässig ausschließen. Und zum anderen erfüllt er so auch alle einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen – und zwar effizient und ohne hohen Administrationsaufwand.

Autor: Michael Kleist, Regional Director DACH bei CyberArk

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Volle Kraft voraus: Längere Fahrzeiten bei der Binnen-Schifffahrt...
26.02.2021   #Datenmanagement #Drucker

Volle Kraft voraus: Längere Fahrzeiten bei der Binnen-Schifffahrt

Fahrtenschreiber von Marble Automation mit Citizen-Drucker

Es gibt kaum Schiffe auf dem Rhein, die ohne die Optimierung ihrer Fahrzeiten wettbewerbsfähig bleiben. Doch wie lässt sich die Effizienz beim Einsatz von Crews und Zeiten steigern? Es gilt, durch eine robuste Infrastruktur auf Kurs zu ...

Thumbnail-Foto: Trends, die den Sicherheitssektor 2021 maßgeblich beeinflussen werden...
14.01.2021   #Sicherheit #stationärer Einzelhandel

Trends, die den Sicherheitssektor 2021 maßgeblich beeinflussen werden

Axis gibt Ausblick auf Technologietrends 2021

Die globalen Folgen der COVID-19-Pandemie waren zu Beginn des Jahres 2020 nicht vorhersehbar. Innerhalb kurzer Zeit wurden Lebens- und Arbeitsweisen völlig auf den Kopf gestellt, auch mit Folgen für den gesamten Sicherheitssektor. Für ...

Thumbnail-Foto: GLORY V-SQUARE: Neues digitales Branchenevent für den Handel...
09.03.2021   #Mobile Payment #Zahlungssysteme

GLORY V-SQUARE: Neues digitales Branchenevent für den Handel

Zahlreiche Vorträge zu aktuellen Themen

In Fachvorträgen, Live-Präsentationen und Expertengesprächen bekamen die Teilnehmenden des ersten virtuellen Events auf dem GLORY V-SQUARE vom 16.-18. März 2021 zahlreiche Praxiseinblicke und Hintergrundinformationen zur Zukunft ...

Thumbnail-Foto: Eine Reise in Richtung Reibungslosigkeit – Touchpoint Payment...
25.01.2021   #Mobile Payment #Zahlungssysteme

Eine Reise in Richtung Reibungslosigkeit – Touchpoint Payment

Worauf kommt es beim Bezahlen an?

Einmal einfach einkaufen – wird den Kunden das geboten, kommen sie auch ein zweites oder drittes Mal wieder und werden vielleicht sogar Stammkunden. Für Alexa von Bismarck, Country Managerin beim Zahlungsdienstleister Adyen Germany, ist ...

Thumbnail-Foto: Diebold Nixdorf bringt Selbstbedienungslösungen Dn Series™ Easy auf...
27.01.2021   #Self-Checkout-Systeme #Selbstbedienungsterminal

Diebold Nixdorf bringt Selbstbedienungslösungen Dn Series™ Easy auf den Markt

Das Einkaufserlebnis revolutionieren

Diebold Nixdorf gab die Markteinführung der DN Series™ EASY bekannt. Die neue Familie von Selbstbedienungslösungen wurde entwickelt, um die dringlichsten Anforderungen des Einzelhandels zu erfüllen: Die Effizienz der Filialen zu ...

Thumbnail-Foto: Wie Mitarbeitermotivation im Einzelhandel entsteht...
14.01.2021   #Personalmanagement #POS-Kommunikation

Wie Mitarbeitermotivation im Einzelhandel entsteht

Worauf es Mitarbeitern ankommt

Motivierte Mitarbeiter, die sich mit ihrem Arbeitgeber verbunden und sich ein Stück weit verantwortlich für „ihr“ Unternehmen fühlen, sind eine treibende Kraft – auch im Einzelhandel. Denn diese Mitarbeiter ...

Thumbnail-Foto: Scan&Go bei REWE
03.12.2020   #stationärer Einzelhandel #Digitalisierung

"Scan&Go" bei REWE

Kunde scannt selbst Einkauf - Innovative Technik bald in über 100 Märkten

Einfach, schnell und vor allem kontaktreduziert Einkaufen liegt im Trend. Deshalb bietet REWE in immer mehr Supermärkten einen besonderen Service an: "Scan&Go". Kunden können dabei schon beim Gang entlang der Regale ihre ...

Thumbnail-Foto: Diese fünf Maßnahmen optimieren die Customer Experience...
05.02.2021   #Kundenzufriedenheit #Digitalisierung

Diese fünf Maßnahmen optimieren die Customer Experience

Digitalisierung, Personalisierung, Automatisierung

Die Corona-Pandemie hat gravierende Auswirkungen auf die Verbrauchergewohnheiten. Face-to-Face-Kontakte sind stark eingeschränkt und digitale Kanäle stehen im Mittelpunkt von Kundenbeziehungen und -interaktionen. Sie sind damit ...

Thumbnail-Foto: Gewinner der Best Retail Cases Awards Februar 2021...
19.02.2021   #Online-Handel #E-Commerce

Gewinner der Best Retail Cases Awards Februar 2021

iXtenso ist Mitglied der Medienjury

Wenn Zalando Alltagsmasken aus Werbeplakaten hervorzaubert, ein BMW-Autohaus seine Kunden auf allen Kanälen live berät, eine Plattform zum Personalverleih innerhalb weniger Tage online geht oder o2 seine Vertriebspartner digital ...

Thumbnail-Foto: Dänische Supermarktkette führt in allen Filialen ESL ein...
10.02.2021   #elektronische Regaletiketten #Preisauszeichnung

Dänische Supermarktkette führt in allen Filialen ESL ein

Die Kette investiert daher in Modernisierungsmaßnahmen und digitale Initiativen

Der in Privatbesitz befindlichen dänischen Supermarktkette Løvbjerg geht es gut; sie hat sich im Jahr 2020 mit einem Wachstum von 18% hervorragend entwickelt. Die Kette investiert daher in Modernisierungsmaßnahmen und digitale ...

Anbieter

ROQQIO Commerce Solutions GmbH
ROQQIO Commerce Solutions GmbH
Harburger Schloßstraße 28
21079 Hamburg
SALTO Systems GmbH
SALTO Systems GmbH
Schwelmer Str. 245
42389 Wuppertal
GLORY Global Solutions (Germany) GmbH
GLORY Global Solutions (Germany) GmbH
Thomas-Edison-Platz 1
63263 Neu-Isenburg
Citizen Systems Europe GmbH
Citizen Systems Europe GmbH
Otto-Hirsch-Brücken 17
70329 Stuttgart
CCV GmbH
CCV GmbH
Gewerbering 1
84072 Au i.d.Hallertau
Diebold Nixdorf
Diebold Nixdorf
Heinz-Nixdorf-Ring 1
33106 Paderborn
Reflexis Systems GmbH
Reflexis Systems GmbH
Kokkolastr. 5-7
40882 Ratingen
Delfi Technologies GmbH
Delfi Technologies GmbH
Landgraben 75
24232 Schönkirchen
LODATA Micro Computer GmbH
LODATA Micro Computer GmbH
Karl-Arnold-Str. 5
47877 Willich
GMO Registry, Inc.
GMO Registry, Inc.
Cerulean Tower, 26-1 / Sakuragaoka-cho, Shibuya-ku,
150-8512 Tokyo