Einkaufserlebnisse vorhersehen und Kunden überzeugend ansprechen und zwar sicher –
das ist das Ziel aller Händler. Doch Regulatorik und Sicherheitsbedenken erschweren die Kommunikation mit dem Kunden. Zumal die gewünschte 360 Grad-Sicht auf den Kunden Risiken birgt – Risiken, die es zu lösen gilt. Darüber sprach die Redaktion von IT4Retailers mit Security-Experten von SAP.
Allseits berichtet und bekannt sind die stetig zunehmenden Bedrohungen von außen, wie Angriffe auf den Server durch DDoS-Attacken oder gezielte Angriffe über die E-Mail von innen heraus, um Passwörter, Kundendaten und Berechtigungen auszuspähen. Dass Angriffspakete entsprechend günstig im Dark Net – laut Experten schon ab 50 Euro – erhältlich sind, weist darauf hin, dass die Zahl der Angriffe weiterhin rasant zunehmen wird. Doch auch die Digitalisierung stellt an die IT-Sicherheit im Innenraum der Organisationen einiges an Herausforderungen.
Volatile und spannende Zeiten
Es sind volatile, aber auch spannende Zeiten für die Sicherheitsexperten. Denn IT-Sicherheit muss zum Teil digital auch neu gedacht werden. Auf der anderen Seite kämpfen nicht nur Handelsunternehmen mit neuen Bestimmungen der Gesetzgeber. Da heute thematisch vieles mit der Digitalisierung in allen Branchen und über alle Technologien hinweg beginnt, soll dieser Beitrag dort anfangen. Die Digitalisierung bedeutet für Händler, auch zunehmend Prozesse in der Cloud abzubilden und große Datenmengen zu analysieren, um die Arbeit am Kunden und interne Prozesse zu verfeinern. Dabei entstehen neue Schnittstellen, die neue Einfallstore für Schadsoftware bieten.
Im Interview: Heinrich Cevajka, Presales Expert Cloud Security und
Wolfgang Epting, SAP Center of Excellence, Data Governance and Optimization & GDPR
SAP Deutschland SE & Co. KG:
Ist deutschen Händlern Sicherheit ein Anliegen?
Cevajka: Der Handel sieht sich, wie alle Wirtschaftsakteure, ständigen Cyberattacken ausgesetzt. In dieser Branche kommt aber eine besondere Brisanz hinzu, denn täglich finden Millionen von Interaktionen zwischen Kunden und Handelsunternehmen statt. Öffentlich gewordene Cyberattacken, wie veröffentlichte Kundendaten bei einer Sammelbild-Tauschaktion, haben schon vor einigen Jahren mögliche Angriffspunkte aufgezeigt.
Welche Angriffsmuster sind derzeit besonders in Mode? Die Digitalisierung setzt auf Vernetzung – lassen sich die vielen Schnittstellen wirkungsvoll kontrollieren?
Cevajka: Die Angriffsmuster variieren ständig. Bei SAP analysieren wir sämtliche Angriffe auf unsere Infrastruktur und leiten hieraus verbesserte Schutzmaßnahmen ab, um uns vor potenziellen Schwachstellen zu schützen. In einer Datenbank werden alle Angriffsmuster abgelegt und bewertet. Jede unserer Cloudanwendungen wird einmal jährlich von unserem Sicherheitsteam geprüft. Hierbei wird die Architektur des Betriebs auf Einhaltung der betrieblichen Vorgaben bewertet.
Weiter hat SAP einen Prozess entwickelt, bei dem wir nach Softwareschwachstellen suchen. Die Beseitigung bekannter Bugs priorisieren wir nach Kritikalität und spielen aktuelle Patches ein. Dies gilt für Datenbanken, Betriebssysteme und die Cloudanwendungen.
Für SAP beginnt die Sicherheit schon bei der Softwareentwicklung. Der SAP Secure Software Development Lifecycle unterstützt unsere Entwicklung bei der Integration von Sicherheit in allen SAP-Softwareprodukten. Die Sicherheit liegt im Interesse der Kunden von SAP. Unsere Kunden nutzen diese Produkte für die Ausführung ihrer Geschäftsprozesse. Aus diesem Grund ist der sichere Softwareentwicklungs-Lebenszyklus eine Unternehmensanforderung. Alle Softwareentwickler erhalten Security Awareness- und Secure Programing Trainings. In unseren regelmäßigen Auffrischungskursen lernen die Entwickler die wichtigsten bekannten Sicherheitslücken zu identifizieren und diese während der Entwicklung zu vermeiden.
Die DSGVO schärfte das Bewusstsein für den Umgang mit Kundendaten. Ist der Handel jetzt DSGVO-ready?
Epting: Deutsche Unternehmen haben immer schon großen Wert auf akkuraten Datenschutz gelegt, da das Bundesdatenschutzgesetz im Grundschutzkatalog den Umgang mit personenbezogenen Daten in seiner Zweckbindungsklausel bereits in der Vergangenheit präzise regelte. Dennoch sehen sich viele Unternehmen aufgrund der neuen EU-Datenschutzgrundverordnung, speziell bei der Umsetzung der neuen Betroffenenrechte, vor gewaltige Herausforderungen gestellt. Eine profunde Kenntnis der Lokation und der Proliferation personenbezogener Kundendaten in heterogenen Systemwelten sowie eine Risikoklassifikation und entsprechende Kennzeichnung sind unabdingbare Voraussetzungen, ohne die Compliance im Sinne der neuen EU-Datenschutzgrundverordnung kaum zu erreichen ist. Mit leistungsstarken Profilierungswerkzeugen lassen sich hier Kosten und wertvolle Zeit sparen, um schnellstmöglich mit der Planung und Ausführung der eigentlichen Projekte zum Sperren und Löschen, zur Beauskunftung, zur Datenübertragbarkeit und zur Informationspflicht aufgrund eines Datenschutzverstoßes starten zu können.
Doch jetzt herrscht Verunsicherung. Welche Kundendaten darf ich für welche Aktion verwenden? Wissen Händler, welche Schätze in ihren Datenbeständen lagern und wissen sie auch, wie sie diese schützen müssen?
Epting: Für den Handel ist es, in weit stärkerem Maße als für andere Wirtschaftszweige, überlebensnotwendig, Kundendaten zur Analyse des Konsumentenverhaltens auszuwerten. Nur so können Händler ein vollumfängliches Verständnis für die Auswirkungen marginaler Änderungen auf der Angebotsseite entwickeln. Um diese Datenschätze überhaupt auswertbar zu machen, muss umfassende Transparenz darüber vorherrschen, wo sich diese Daten befinden und wie es mit deren Qualität bestellt ist.
Das heißt im konkreten Fall?
Epting: Zur Systemlandschaft gehören auch alle Sekundärsysteme, wie etwa Test, Entwicklung und Schulung, die in die Gesamtbetrachtung ebenso einzubeziehen sind wie moderne analytische Plattformen. Altsysteme werden oft nur noch zu dem Zweck betrieben, den gesetzlich vorgesehenen Zugriff während der steuerrechtlichen Aufbewahrungsfrist sicherzustellen. Mit dem Ausscheiden älterer Mitarbeiter erodiert die Kenntnis über die Datenmodelle dieser Anwendungen, so dass nur eine automatische, werkzeugbasierte Analyse Abhilfe schaffen kann. Sinnvoll kann es in diesem Fall sein, Informationen datenschutzkonform und zentral zu Auswertungszwecken zu konsolidieren, um diese Altsysteme komplett abschalten zu können.
Lassen Sie uns Deutschland mit anderen großen Märkten vergleichen – stimmt das Bild, dass wir Datenschutz können, aber beispielweise die US-Amerikaner uns deutlich in der zielgerechten Ansprache des Kunden überlegen sind?
Epting: Datenschutz wird oft als Verhinderer für die digitale Transformation gesehen, bei genauerer Betrachtung ist jedoch genau das Gegenteil der Fall. Ohne einen datenschutzkonformen Umgang mit personenbezogenen Daten und der Wahrung der Privatsphäre sind neue Geschäftsmodelle nicht denkbar. Regulatorische Bestimmungen wie die neue EU-Datenschutzgrundverordnung bieten für den Handel eine große Chance, den Umgang mit Kundendaten auf eine komplett neue Basis zu stellen und damit das Fundament für deren analytische Verwendbarkeit zu schaffen. Dies haben auch amerikanische Unternehmen erkannt und diese, originär für europäische Kunden angelegte Verordnung, zu ihrem weltweiten Standard erhoben. Digitale Verantwortung schafft Vertrauen und steigert das Markenimage.
Belegen Sie das bitte mit einem Beispiel.
Epting: Mit modernen Anonymisierungstechniken wie z. B. k-Anonymität und Differential Privacy macht die SAP HANA Data Management Suite die analytische und gleichzeitig datenschutzkonforme Verwendbarkeit von Kundendaten überhaupt erst möglich. k-Anonymität ist eine Methodik, um quasi-personenidentifizierende Merkmale derart zu verändern, dass der immanente semantische Aussagewert insgesamt weitgehend erhalten bleibt, ein Rückschluss auf eine natürliche Person jedoch nicht mehr möglich ist, beispielsweise durch die Bildung von gleichartigen Gruppen einer genügend großen Anzahl von Mitgliedern.
Differential Privacy ist eine Methodik, mit der via „Noise Addition“ scheinbar zufällig ausgewählte Werte zu Betragsfeldern, z. B. dem Umsatz, addiert bzw. von diesen subtrahiert werden, sodass diese auf der Ebene atomarer Granularität keine vertrauliche schützenswerte Information mehr beinhalten, statistische Funktionen oder Summen- bzw. Durchschnittsbildungen jedoch weiterhin mit identischen Ergebnissen anwendbar sind.
Zur allgemeinen Sicherheitslage: Gehört die SAP mit ihrem weit verzweigten Partnernetzwerk nicht zu den präferierten Angriffszielen von Hackern?
Cevajka: Ja, aber wir sind gerüstet und verteidigen die Infrastruktur mit den Kundendaten durch zahlreiche Einzelmaßnahmen. Sie können sich das als Schalenmodell vorstellen. Die äußerste Schale ist der Internetzugriff auf die Cloudanwendung. Diese Schale schützt vor unberechtigten Zugriffsversuchen aus dem Internet.
Folgende Schutzmechanismen kommen zum Einsatz:
- SAP verfügt über ein SMC (Security Monitoring Center), das 7*24h in Betrieb ist. Durch ein SIEM Tool (Security Information and Eventmanagement) wird auf unterschiedlichste Angriff-Szenarien automatisch mit Gegenmaßnahmen reagiert.
- Die nächste Schicht ist unsere DMZ (demilitarisierte Zone), die dafür sorgt, dass kein direkter Zugriff auf das interne Netzwerk möglich ist.
- Als weitere Schutzschicht fungiert unsere Perimeter Firewall. Sie kontrolliert den Datenverkehr zwischen dem internen und externen Netzwerk.
- Die physikalische Sicherheit ist durch unsere Rechenzentren mit der permanenten Zutrittskontrolle und den Sicherheitsvorkehrungen gegen Stromausfall, Feuer etc. gewährleistet.
- Als interne Schutzschicht ist das administrative Netzwerk vom SAP-Netzwerk getrennt und nur über Terminal Server erreichbar. Hierdurch werden Zugriffsrestriktionen gesteuert. Sämtliche administrativen Zugriffe werden kontrolliert und protokolliert.
- Die Sicherheit dieses Konzeptes wird durch externe und interne Tests kontinuierlich geprüft.
Welches Szenario fürchten Sie selbst am meisten für Ihr Haus und Ihre Kunden?
Cevajka: Furcht würde bedeuten, wir sind gelähmt. Wir sind achtsam und gehen aktiv eventuelle Schwachstellen an. Die IT-Sicherheit ist ein immaterielles Gut: Wenn diese einmal verletzt wird, führt es bei uns und unseren Kunden zu einem Vertrauensverlust und zu wirtschaftlichen Schäden.
Bei SAP haben wir interne Richtlinien für die Software-Entwicklung, den Betrieb unserer Cloud-Anwendungen und intensive Security-Schulungen für alle SAP-Mitarbeiter.
Die Effektivität unserer Prozesse im Cloudbetrieb wird zweimal im Jahr durch externe unabhängige Prüfer mit unserem SOC Report nachgewiesen. Diesen Report stellen wir allen unseren Kunden kostenlos zur Verfügung.
