Schwachpunkt POS-System
Einzelhändler müssen sich besser vor Cyber-Angriffe schützen
Handlungsempfehlungen
Da überwiegend die großen Einzelhändler in den Schlagzeilen bei Cyberattacken erscheinen, könnte man fast glauben, die kleinen Händler wären sicher. Leider sind aber gerade kleinere Unternehmen automatisch im Fokus der Angreifer, die sich in der Regel nicht die Frage stellen, wen sie angreifen könnten, sondern eher daran interessiert sind, wie schnell, einfach und erfolgreich ein Angriff sein könnte. Erste Angriffsversuche werden daher zunächst über ältere Schwachstellen gestartet, um möglichst schnelle Erfolge verzeichnen zu können.
Zahlungs- und Kassensysteme
Genau hier liegt der Schwachpunkt bei vielen kleineren Firmen – die Aktualität ihrer IT- und POS-Systeme.
Der fortschreitende digitale Wandel zwingt auch den kleinsten Händler mittlerweile auf elektronische Zahlungssysteme umzustellen, um im Wettbewerb bestehen zu können. Laut dem Security Report von Trustwave , ist gerade die Einzelhandelsbranche den meisten Angriffen, im vertikalen Marktsegment ausgesetzt. Die Hauptgründe liegen in den fehlenden Investitionsmöglichkeiten für aktuelle Systeme und das fehlende Security-Wissen, um z.B. verschlüsselte Point-of-Sales (POS-)Systeme mit starken Protokollen und aktuellen EMV-Compliance-Richtlinien, einzusetzen.
Wie könnten sich Einzelhändler also möglichst kosteneffektiv vor den kontinuierlich wachsenden Cyber-Angriffen besser schützen?
Anbei einige Handlungsempfehlungen, um die Sicherheit des bestehenden Systems zu verbessern:
Content Management System auslagern
E-Commerce Händler die ihr CMS selbst verwalten, kennen die hohen Aufwandskosten für die permanente Betreuung des Systems. Eventuell wäre es sinnvoller und sogar kostengünstiger das CMS an einen qualitativ hochwertigen Host-Anbieter auszulagern. Mittlerweile gibt es sehr gute Angebote mit relativ hohen Sicherheitsstandards. Spätestens nächstes Jahr (EU-DSGVO) ist es ein Muss für jeden Händler die personenbezogenen Daten (Kreditkarten-Adressdaten, etc,), möglichst sicher zu verarbeiten und zu schützen. Ohne entsprechende Verschlüsselung wird dies nicht möglich sein.
Systematische Patch-Routinen erstellen.
Nicht aktualisierte Software ist ein Einfallstor für Angreifer. Wie bereits erwähnt, starten die ersten Angriffsversuche auf Basis älterer Schwachstellen. Sie sollten dafür sorgen, dass ihre Firmensoftware immer auf dem aktuellsten Stand ist. Mit regelmäßigen Patches können Sie zumindest schon mal die Anzahl der Schwachstellen reduzieren.
Starke Passwörter und Umgangsrichtlinien festlegen
Kaum zu glauben, aber schwache Passwörter und die fehlenden Richtlinien für den Umgang damit, sind immer noch die häufigsten Ursachen für einen erfolgreichen Angriff. Es ist also nicht nur die Stärke des Passworts entscheidend, sondern auch der Umgang damit. Für jeden Login sollten andere Passwörter verwendet werden und auch keinen Bezug zu privaten (Social Media, etc…) Zugängen herstellen können. Zudem sollten die Passwörter regelmäßig geändert werden (… und bitte nicht unter der Tastatur verstecken). Das Anlegen neuer Benutzernamen oder Passwörter sollte über mehrere Authentifizierungsstufen erfolgen. Optimal wären natürlich Multifaktor-Authentifizierungen. Die meisten Händler wissen nicht, wie ihr System von außen aussieht, also verstehen sie auch nicht, welche großen Auswirkungen einfache Passwort-Richtlinien für die Sicherheit des Unternehmens haben können.
Netzwerksegmentierung
Um im Falle eines Malware-Angriffs nicht sofort alle Daten zu verlieren, ist es sehr hilfreich die unterschiedlichen Anwendungen und erzeugten Daten in unterschiedliche Segmente des Netzwerks zu verlagern. Der Einsatz von Drittanbieter-Services erfordert bei der Einrichtung oft den Zugang zu Funktionskomponenten, wie z.B. Überwachungskameras. Solche Komponenten sollten unbedingt von dem POS-System getrennt sein. Es ist entscheidend, dass Systeme wie Klimaanlagen, Kameras oder die Beleuchtung in keinerlei Verbindung zu ihrem System stehen. Im Zuge der IoT-Vernetzung wird dies des Öfteren übersehen.
Sicherheitsverständnis der Mitarbeiter schulen
Ihre ganzen Sicherheitsvorkehrungen stehen und fallen mit der Sensibilisierung ihrer Mitarbeiter zum Thema Sicherheit. Social Engineering ist eine erfolgreiche Angriffsmethode, um Mitarbeiter das tun zu lassen, was sie auf keinen Fall tun sollten. Fehlendes Sicherheitswissen in den Bereichen Spam, Phishing, Spoofing, E-Mail Sicherheit, usw… kann dem Unternehmen empfindliche Schäden zuführen. Da sich auch die Strategien der Angreifer immer wieder ändern, ist eine kontinuierliche Mitarbeiterschulung zur Stärkung des Bewusstseins sehr wichtig.
Fazit
Auch wenn das Budget keine großen Sprünge zulässt, es gibt einige Möglichkeiten, auch im kleinen Kreis, für allgemein mehr Unternehmenssicherheit zu sorgen. Es ist wichtig diese Herausforderung anzunehmen. Absolute Sicherheit gibt es nicht, aber man kann die Sicherheitsrisiken minimieren.
