Firmennachricht • 29.01.2016

Multichannel-Vertrieb erhöht Risiko von Cyber-Attacken

Angreifer nutzen vorzugsweise drei Sicherheitslücken

Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine...
Das CyberArk-Dashboard: Grafische Darstellungen von Vorfällen erleichtern eine schnelle Aufdeckung verdächtiger Verhaltensweisen.
Quelle: CyberArk

Der stationäre Handel leidet zunehmend unter der wachsenden Konkurrenz durch Online-Händler. Um im Wettbewerb bestehen zu können, gehen immer mehr Retailer auch selbst online. Dabei müssen sie allerdings auch ihre Sicherheitsinfrastruktur auf den Prüfstand stellen und in der Regel optimieren – ansonsten sind erfolgreiche Hacker-Attacken quasi vorprogrammiert.

Das Online-Geschäft ist ein zentraler Umsatztreiber für den deutschen Einzelhandel. Die Retailer stellen sich dieser Entwicklung und bauen ihr Online-Geschäft massiv aus. Die Parfümeriekette Douglas und die Supermarktkette REWE sind dafür nur zwei prominente Beispiele. Damit vollzieht der Retail-Bereich eine Entwicklung, die in der Finanzdienstleistungsindustrie bereits vor Jahren eingesetzt hat, also die enge Verzahnung unterschiedlichster Vertriebswege – Stichwort Multichannel-Banking.

Klar ist, dass die Einführung eines Multichannel-Vertriebs auch die Implementierung einer adäquaten E-Commerce-Lösung und deren Einbindung in die vorhandene IT-Systemlandschaft erfordert. Aber aus IT-Sicht ist dies nur ein Aspekt. Ebenso wichtig ist es beim Aufbau eines Mehrkanalvertriebs, die bestehenden IT-Sicherheits­strukturen auf den Prüfstand zu stellen.

Sobald ein Händler neben dem stationären Laden zusätzlich ein Online-Geschäft betreibt, hat das gravierende Auswirkungen für die IT-Sicherheit, denn dann werden bisher abgeschottete Applikationen, die vielfach unternehmenskritischen Charakter haben, auch von außen zugänglich. Das betrifft beispielsweise das ERP- oder Warenwirtschaftssystem, das eine Schnittstelle zur Onlineshop-Lösung aufweisen muss, um auch alle aus dem E-Commerce resultierenden Warenströme abbilden zu können. Die Gefahr eines Zugriffs durch Externe auf interne Systeme nimmt dadurch deutlich zu. Und der Begriff „Externe“ ist hier weit zu fassen. Online-Handel heißt nicht nur Internetpräsenz für den Endkunden, sondern zum Beispiel auch Anbindung von Logistik-Dienstleistern an Unternehmensapplikationen.

Dass Händler dabei zunächst Standard-Sicherheitsvorkehrungen treffen müssen wie Firewall, Antivirenschutz oder Webfilter-Techniken, dürfte außer Frage stehen. Aber das Problem ist wesentlich weitreichender. Mit immer raffinierteren Methoden wie den aktuell häufig anzutreffenden zielgerichteten Web-Attacken, den Advanced Persistent Threats (APTs), ist es heute relativ leicht möglich, den Perimeter-Schutzwall gegen Angriffe von außen zu überwinden. Eine nähere Analyse dieser Attacken zeigt, dass Angreifer dann hauptsächlich auf privilegierte und administrative Accounts zugreifen. Sie besitzen weitreichende Rechte, das heißt, über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet. Und mittels privilegierter Zugangsdaten ist es problemlos möglich, Ressourcen zu kontrollieren, Warenwirtschaftssysteme lahmzulegen, Sicherheitssysteme auszuschalten oder auf vertrauliche Daten zuzugreifen.

Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im...
Das Lösungsportfolio von CyberArk im Bereich Privileged Account Security im Überblick.
Quelle: CyberArk

Im Hinblick auf unterschiedliche Angriffsszenarien haben sich drei zentrale IT-Schwachstellen herauskristallisiert:

Privilegierte Accounts

In erster Linie ist hier das Gefahrenpotenzial zu nennen, das mit privilegierten Benutzerkonten verbunden ist. Besonders problematisch sind dabei vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Root-Konten in Unix und Linux, Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich. Die Sicherung und Überwachung dieser Konten ist unverzichtbar, da über sie ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich ist. Das heißt auch, erlangt ein Externer Zugang zu einem solchen Benutzerkonto, kann er es ebenfalls ohne Probleme für seine Zwecke nutzen.

Application Accounts

Auch Application Accounts oder Software Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, stellen eine Sicherheitslücke dar. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da Passwörter meistens unverschlüsselt im Klartext vorliegen und nur selten oder nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen.

SSH-Keys

Nicht zu unterschätzen ist zudem die mit der Nutzung von SSH-Keys verbundene Gefahr. SSH-Keys werden häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist vor allem auch für den Retail-Bereich von hoher Relevanz, da hier viele Unternehmen Unix-Infrastrukturen betreiben und auf SSH-Authentifizierung mittels Key-Paaren setzen.

Michael Kleist ist Regional Director DACH bei CyberArk....
Michael Kleist ist Regional Director DACH bei CyberArk.
Quelle: CyberArk

Lösung im Bereich Privileged Account Security ist Pflicht

Zuverlässig sind diese Sicherheitsgefahren nur in den Griff zu bekommen, indem eine Lösung im Bereich Privileged Account Security implementiert wird. Mit einer solchen Lösung können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Zur Sicherung von Benutzerkonten mit erweiterten Rechten sind heute verschiedene Lösungen auf dem Markt verfügbar. Bei der Auswahl sollte auf jeden Fall darauf geachtet werden, dass die Applikation neben einer regelmäßigen, automatischen Änderung aller Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit sämtlicher Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Von zentraler Bedeutung ist dies zum Beispiel für Retailer, die nur über kleinere IT-Abteilungen verfügen. Sie sind dadurch oft auf die Unterstützung externer IT-Provider angewiesen, die einen Remote-Zugriff auf interne Systeme erhalten.

Im Einzelnen muss eine Sicherheitsapplikation drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass sie eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Zielsysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nicht zuletzt sollte eine Privileged-Account-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Diese könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.

Echtzeit-Analytik bietet Sicherheitsplus

Idealerweise umfasst eine Lösung im Bereich Privileged Account Security auch Echtzeit-Analytik und -Alarmierung bereits bei der auffälligen Nutzung privilegierter Konten. Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen. Sicherheitsverantwortliche erhalten mit einer solchen Lösung zielgerichtete Bedrohungsanalysen in Echtzeit, auf deren Basis sie auch auf laufende Angriffe reagieren können.

Setzt ein Retailer eine Privileged-Account-Security-Lösung ein, bringt das mehrere Vorteile mit sich: Zum einen kann er damit die Gefahren des Datenmissbrauchs und -diebstahls durch eine missbräuchliche Nutzung privilegierter Konten zuverlässig ausschließen. Und zum anderen erfüllt er so auch alle einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen – und zwar effizient und ohne hohen Administrationsaufwand.

Autor: Michael Kleist, Regional Director DACH bei CyberArk

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Wie schützen VPNs Ihre Online-Privatsphäre?...
15.11.2023   #Onlineplattform #IT-Sicherheit

Wie schützen VPNs Ihre Online-Privatsphäre?

Die rasante Expansion des digitalen Raums bringt sowohl Bequemlichkeit als auch Risiken ...

Thumbnail-Foto: In der Filiale kocht das Chaos? Hier kommt das rettende Rezept!...
27.09.2023   #stationärer Einzelhandel #Digitalisierung

In der Filiale kocht das Chaos? Hier kommt das rettende Rezept!

Review zum Webtalk "retail salsa": mit modernem Tool und klarer Strategie zum optimalen Taskmanagement

Am 26.09.2023 war es mal wieder soweit: iXtenso und EuroShop öffneten den Topf der „retail salsa“. Dieses Mal stand das Thema Task Management im Fokus. Denn im Einzelhandel, wie in einer gut funktionierenden Küche, ist es ...

Thumbnail-Foto: Autonome Stores aus aller Welt – ein Überblick...
18.12.2023   #Tech in Retail #Self-Checkout-Systeme

Autonome Stores aus aller Welt – ein Überblick

Die Stores gibt es in verschiedenen Segmenten des Einzelhandels wie LEH, Mode, Elektronik, Convenience Stores und Fast Food.

In einer hart umkämpften globalen Einzelhandelslandschaft befinden sich autonome Stores im Aufschwung. Sie tragen dem veränderten Verbraucherverhalten Rechnung, senken Betriebskosten, verbessern die Rentabilität und tragen zur ...

Thumbnail-Foto: Neue Überfalltaste von Verisure schützt bedrohte Mitarbeitende...
20.10.2023   #Sicherheit #Personalmanagement

Neue Überfalltaste von Verisure schützt bedrohte Mitarbeitende

Bei einem stillen Alarm handeln die Profis in der Notruf- und Serviceleitstelle des Sicherheitsanbieters sofort

Mitarbeitende in Geschäften, Praxen und anderen Gewerberäumen erhalten mit der neuen Überfalltaste des Sicherheitsanbieters Verisure noch schneller professionelle Hilfe, wenn sie beispielsweise von einer aggressiven Kundin oder einem ...

Thumbnail-Foto: Digitale Transformation – aber mit dem Menschen im Blick!...
15.09.2023   #Online-Handel #Digitalisierung

Digitale Transformation – aber mit dem Menschen im Blick!

Rückblick auf das GLORY INNOVATION FORUM 2023

Vom 6. bis 8. September fand zum neunten Mal das GLORY INNOVATION FORUM statt. Im Scandic Hotel am Museumsufer Frankfurt/Main kamen Fachexpert*innen aus verschiedenen Branchen wie Handel, Gastronomie, Hospitality und Banken zusammen, um über ...

Thumbnail-Foto: In Europa einzigartig und daher ausgezeichnet...
13.12.2023   #Digitalisierung #Tech in Retail

In Europa einzigartig und daher ausgezeichnet

SPAR Österreich gewinnt mit Innovationsprojekt "Obst und Gemüse 3 Tage frischer" den „Future of European Commerce Award“

In der Kategorie Digitalisierung hat SPAR Österreich den, erstmals von EuroCommerce verliehenen, „Future of European Commerce Award“ gewonnen ...

Thumbnail-Foto: Neuer elektronischer Kurzbeschlag XS4 Mini Metal von SALTO...
04.10.2023   #stationärer Einzelhandel #Sicherheit

Neuer elektronischer Kurzbeschlag XS4 Mini Metal von SALTO

SALTO Systems erweitert seine Serie elektronischer Kurzbeschläge mit dem XS4 Mini Metal um ein neues Design mit Metallgehäuse.

Der Beschlag ist einfach zu installieren, elegant, robust und mit modernster Zutrittstechnologie ausgestattet. Das neue Modell macht es leichter denn je, von teuren, unsicheren und unflexiblen mechanischen Schließsystemen auf ...

Thumbnail-Foto: Hamburger Oak Store setzt auf SaaS-Lösung
16.11.2023   #Warenwirtschaftssysteme (WWS) #Cloud-Computing

Hamburger Oak Store setzt auf SaaS-Lösung

REMIRA RETAIL Cloud digitalisiert Kasse und Backoffice im Handel

Der Hamburger Streetfashion-Anbieter Oak Store...

Thumbnail-Foto: Unified Commerce Platform im Fokus
24.10.2023   #Omnichannel #Softwareentwicklung

Unified Commerce Platform im Fokus

Stabübergabe bei REMIRA: Dirk Bingler folgt als CEO auf Stephan Unser

REMIRA stellt die personellen Weichen für die künftige Unternehmens­entwicklung: Zum 1. November wird Dirk Bingler (48) neuer CEO des Supply-Chain- und Omnichannel-Software-Experten mit Sitz in Dortmund. Der bisherige CEO Stephan Unser ...

Thumbnail-Foto: EuroCIS 2024: Go beyond today!
16.10.2023   #Handel #Tech in Retail

EuroCIS 2024: Go beyond today!

Vom 27. bis 29. Februar 2024 trifft sich in Düsseldorf das Who is Who der Retail Technology Branche Europas

Go beyond today! Die EuroCIS zeigt Ende Februar wieder Lösungen und Produkte für den Handel der Zukunft @Messe DüsseldorfEnde Februar werden auf der EuroCIS, The Leading Trade Fair for Retail Technology, wieder zahlreiche Unternehmen ...

Anbieter

GLORY Global Solutions (Germany) GmbH
GLORY Global Solutions (Germany) GmbH
Thomas-Edison-Platz 1
63263 Neu-Isenburg
SALTO Systems GmbH
SALTO Systems GmbH
Schwelmer Str. 245
42389 Wuppertal
LODATA Micro Computer GmbH
LODATA Micro Computer GmbH
Karl-Arnold-Str. 5
47877 Willich
REMIRA Group GmbH
REMIRA Group GmbH
Phoenixplatz 2
44263 Dortmund
m3connect GmbH
m3connect GmbH
Pascalstraße 18
52076 Aachen
Verisure Deutschland GmbH
Verisure Deutschland GmbH
Balcke-Dürr-Allee 2
40882 Ratingen
POSBOX GmbH
POSBOX GmbH
Süchtelner Str. 16
41066 Mönchengladbach