„Fraud“ hat sich in der Security-Terminologie fest eingebürgert. Gemeint sind damit Missbrauch und Betrug, und auch im Handel gehören sie zum Alltag.
Solche Aktivitäten richten sich gezielt gegen Unternehmen. Fraud Detection kümmert sich um die Betrugserkennung oder -aufklärung einschließlich des Diebstahls von persönlichen Kundendaten, während es bei Fraud Prevention um die Verhütung solcher kriminellen Handlungen geht, die entweder von Mitarbeitern eines Unternehmens ausgehen können oder als Attacken von außen gestartet werden.
Retailer sind auf mehreren Ebenen betroffen, in den einzelnen Ladengeschäften oder über die Anbindung von weiter entfernten Läden an eine Zentrale und bei den Online-Geschäften. Händler, die nichts gegen Betrug und Datendiebstahl unternehmen, räumen damit ihren Konkurrenten ungewollte Vorteile ein.
Leider gibt es keine Anzeichen dafür, dass die gezielten Attacken nachlassen. So hat das Identity Theft Resource Center in den USA schon für das Jahr 2015 berichtet, dass es über 700 Data Breaches gegeben hat. Allein für das erste Halbjahr 2017 waren es dagegen bereits 791 solcher Vorfälle, die Zahl hat sich also in etwa verdoppelt.
Sehr genaue Zahlen über die letzten zehn Jahre hinweg und für verschiedene Branchen wie Unternehmen, Erziehungswesen, Behörden/Militär, Gesundheitswesen und Banken/Finanz- und Kreditinstitutionen gibt es hier: http://www.idtheftcenter.org/images/breach/Overview2005to2016Finalv2.pdf. Gerade im Unternehmensbereich, also einschließlich Retailer, haben die Angriffe um mehr als 100 Prozent zugenommen.
Das Identity Theft Resource Center geht davon aus, dass allein 2015 mehr als 150 Millionen Personen betroffen waren. Retailer fühlen sich vielleicht nicht so angegriffen, weil sie den Data Security Standards der Payment Card Industry (PCI DSS) unterliegen, die u.a. von Visa, MasterCard und American Express angeregt wurden. Doch IBM geht in einem Blog für IBM Retail Solutions davon aus, dass PCI DSS keine vollständige Lösung zur Verfügung stellt und deshalb eine dauernde Beobachtung erfordert.
Was Retailer laut IBM auf jeden Fall tun können:
POS-Systeme isolieren
Wenn ein Point-of-Sale-System eines Retailers mit dem Internet oder über eine entfernte Netzwerkverbindung angeschlossen ist, kann das zu Problemen führen. Händler, die ihre POS-Systeme von der Außenwelt isolieren, können zumindest das Ausmaß einer Attacke eingrenzen. Es ist außerdem sinnvoll, das System in Zonen oder Gruppen aufzuteilen, um auf diese Weise die Informationen einzuschränken, auf die ein Angreifer Zugang bekommen kann.
Eine Next-Generation-Firewall installieren
Traditionelle Firewalls haben an Wert verloren, weil sie nicht die Daten der Netzwerkpakete untersuchen und weil sie nicht geschäftlich-basierte Anwendungen von anderem Traffic unterscheiden können. Im Gegensatz dazu berücksichtigen Next-Generation-Firewalls diese Beschränkungen, indem sie mit verschiedenen Techniken Applikationen näher identifizieren und tiefer in die Datenpakete hineinschauen, um Malware und andere Anomalien genauer festzustellen. Fraud Detection hat sich traditionell um das Monitoring des Datenverkehrs gedreht und auf Anomalien geachtet, doch mit Deep-Packet-Inspection erhält man ein genaueres Bild des Datenverkehrs zu und von einem Unternehmen.
Einen vollständigen Plan für Mobility-Security ausarbeiten
Mobile Verbindungen sind oft die Schwachstelle von Unternehmen. Durch die Ausbreitung des BYOD-Trend (Bring Your Own Device) sind die Gefahren auch für Retailer gestiegen, doch verfügen die IT-Abteilungen über reichlich Methoden, etwas für die mobile Security zu tun. Eine Methode besteht darin, „null Toleranz“ für die Verwendung firmeninterner Daten außerhalb der Unternehmensgrenzen zu zeigen, zum Beispiel indem diese auf mobile Geräte der Mitarbeiter überspielt werden. Darüber hinaus gibt es zahllose Tools – zum Beispiel von Citrix oder VMware –, mit denen auf den mobilen Geräten unterschiedliche Zonen für die Benützung eingerichtet werden können.
Bei verschiedenen Untersuchungen, zum Beispiel durch das amerikanische IT-Magazin InformationWeek oder das Identity Theft Resource Center, ist nachgewiesen worden, dass noch immer erst etwa 50 Prozent der Unternehmen eine Null-Toleranz-Regelung eingeführt haben. Aber nur etwa 30 Prozent von diesen verlangen eine sichere Container-Lösung, mit der sensible Firmendaten geschützt werden können.
Weitere Lösungen können sein: spezielle Passwörter und Time-out-Regelungen für die mobilen Geräte der Mitarbeiter, vorgeschriebene Software-Updates oder Vorkehrungen gegen gehackte Geräte. Wichtig sind ferner eigene Kontrollmaßnahmen, sofern interne Software-Entwickler beschäftigt werden – zum Beispiel zur Verhinderung von Downloads als unsicher geltender Programme.
Auf der reinen Software- und Daten-Ebene kommen automatische Verschlüsselung und kontinuierliche Trainingskurse für die Mitarbeiter hinzu.
Weg mit nicht gebrauchten Daten
Kreditkarteninformationen sind von besonderem Interesse für Hacker, aber Retailer verfügen noch über weitere sensible Daten wie die gesammelten Loyalitätsinformationen zum Kauf- und Zahlungsverhalten der Kunden. Außerdem können die Mitarbeiterdaten für bestimmte Angreifer eine lohnende Beute sein – zum Beispiel um interne Komplizen anzuwerben. Nicht mehr gebrauchte Daten „einfach so“ oder „für alle Fälle“ aufzubewahren kann zu einem besonderen Sicherheitsrisiko werden. Nach PCI-Standards sollten solche Daten gelöscht werden.
Security-Basics beachten
Retailer sollten so wie andere Unternehmen auch mehr Wert auf die Einhaltung von firmenweiten Security-Standards legen. Die immer wieder auftretenden erfolgreichen Attacken zeigen, dass in den meisten Fällen nicht genügend an Abwehrmaßnahmen unternommen wurde.
Ein Minimal-Paket für Fraud Prevention sollte enthalten:
- Zwei-Faktor-Authentifizierung
- Regelmäßiges Einspielen von Patches und Software-Updates
- Kontinuierliche Information der Mitarbeiter via E-Mial, was neueste Phishing- und Malware-Attacken angeht
EMV-Standards beachten
Seit dem 1. Oktober 2015 sind Retailer verantwortlich für die Compliance im Umgang mit Europay, MasterCard und Visa (EMV). Die Chip-Lösung von EMV gilt derzeit als sicherer als der magnetische Streifen an Kreditkarten, wird die kriminellen Energien von Cyber-Hackern aber kaum zum Erliegen bringen. Mittel- und langfristig werden nur jene Retailer überleben, die genügend Ressourcen und Geld in ihre Security investieren. Auch so wird sich die Spreu vom Weizen scheiden.
