Neue technologische Fortschritte verändern den Einzelhandel rasant. Die physische und digitale Welt verschmelzen immer mehr und entwickeln das Kundenerlebnis weiter. Mit dem Wandel der Branche ändern sich aber auch die Methoden, mit denen Cyberkriminelle sensible Daten von Unternehmen und Verbrauchern stehlen.
Analysen zur Cybersicherheit aus den Jahren vor 2018 deuten darauf hin, dass die häufigsten Kompromittierungen durch das Eindringen am Point of Sales (POS) stattfanden. Dazu gehörten Angriffe aus der Ferne, die Nutzung von Malware sowie das Auslesen von Zahlungskarten. Neuere Daten zeigen jedoch, dass Angreifer inzwischen Einzelhändler mit verbesserten Methoden ins Visier nehmen.
Die Angriffsmuster ändern sich
Laut dem diesjährigen Verizon Data Breach Investigations Report (DBIR) zählen Attacken auf Webapplikationen mittlerweile zu den häufigsten Cyberangriffen. Damit wurde der bisherige Spitzenreiter, nämlich die Kompromittierung des POS, abgelöst. Seit 2014 sind die POS-Attacken um den Faktor 10 zurückgegangen, während Verstöße bei Webanwendungen bei Einzelhändlern 13-mal häufiger auftreten.
Wie gelingen den Angreifern solche Web-Attacken? Zuerst kompromittieren sie die Zahlungsmethode einer Website und installieren dann einen Code in der Anwendung, der die Zahlungsinformationen der Kunden abgreift. Dies sind alltägliche Angriffe, die kaum für Schlagzeilen in den Medien sorgen. Cyberkriminelle suchen solche anfälligen E-Commerce-Anwendungen, die ihnen eine Möglichkeit für effiziente und automatisierte Angriffe bieten. Tatsächlich gibt es kriminelle Gruppen, die sich auf diese Art von einfachen Cyberattacken spezialisiert haben.
Was können Einzelhändler dagegen unternehmen?
Für die Bekämpfung von Cyberangriffen gibt es keine universelle Lösung. Mit den folgenden Schritten können Einzelhändler jedoch die Risiken minimieren.
- Die Relevanz von Integritäts-Software kennen: Cyberkriminelle, die sich auf Webanwendungen konzentrieren, zielen nicht auf Daten im Ruhezustand ab. Vielmehr injizieren sie Code, um Kundendaten beim Eingeben in Webformulare zu erfassen. Um diese Methode zu bekämpfen, können Unternehmen zur Malware-Abwehr eine Software für die Dateiintegrität auf der Payment-Site hinzufügen, sowie das Betriebssystem und den Code für die Payment-Applikation patchen.
- Neue Technologien nutzen: Wer auf neue Technologien setzt, erschwert es den Kriminellen die POS-Terminals als einfach zu erreichende Ziele zu attackieren. Weitere Möglichkeiten sind der Einsatz von EMV-Karten sowie mobile Wallets oder anderer Methoden, die einen einmaligen Transaktionscode verwenden, anstatt nur Karten mit einer PAN (Primary Account Number) zu akzeptieren, wie beispielsweise Kreditkarten.
- Es sind nicht nur Zahlungskarten betroffen: Kriminelle lesen oft nur die Zahlungskarteninformationen aus. Jedoch sind dies nicht die einzigen Daten, die sie für nützlich halten: Bonusprogramme, die für Punkte genutzt werden können, sind ebenso Ziele wie die persönlichen Daten der Kunden.
Für viele Einzelhandelsunternehmen, insbesondere für kleinere, ist die Implementierung weitreichender Sicherheitsmaßnahmen weder bezahlbar noch umsetzbar. Aber jeder noch so kleine Sicherheitsschritt kann bei der Aufdeckung und Abschreckung von Cyberkriminellen von großem Vorteil sein. Es ist auch wichtig, Mitarbeiter über die Identifizierung potenzieller Bedrohungen aufzuklären, sodass diese Bedrohungen als solche auch erkennen können.
In der Cybersecurity-Welt leben Einzelhändler in der Position, die Sicherheit ihrer eigenen Daten und die ihrer Kunden berücksichtigen zu müssen. In einem zunehmen digitalen Zeitalter ist es wichtig, so viele Sicherheitsmaßnahmen wie möglich zu installieren. Aber ebenso wichtig ist es, das Bewusstsein dafür zu stärken, was Cyberkriminelle suchen und wie sie es tun. Ein offener Geist für neue Technologien ist ein unschätzbarer Weg, um potenziellen Angreifern immer einen Schritt voraus zu bleiben.
