Die Finanzdienstleistungsbranche nutzt Multichannel-Banking, also die enge Verzahnung unterschiedlichster Vertriebswege. Diese Entwicklung zeichnet sich nun auch verstärkt im Retail-Bereich ab: Dass der Mehrkanalvertrieb immer wichtiger wird, zeigen auch prominente Beispiele wie die Amazon-Pläne für Ladengeschäfte oder die Onlineshop-Initiativen von Media Saturn.
Retailer, die bisher rein im stationären Handel tätig waren und den Online-Schritt gehen wollen, brauchen mehr als nur eine E-Commerce-Lösung: Sie müssen ein besonderes Augenmerk auf die IT-Sicherheit legen. „Geht ein Händler vom stationären zusätzlich ins Online-Geschäft, hat das gravierende Auswirkungen für die IT-Sicherheit, denn dann werden bisher abgeschottete Applikationen, die vielfach unternehmenskritischen Charakter haben, auch von außen zugänglich“, erklärt Michael Kleist, Regional Director D-A-CH bei Cyber Ark in Heilbronn. „Theoretisch werden bei diesem Schritt etwa Warenwirtschaftssysteme mit einer Schnittstelle zur Onlineshop-Lösung für Externe zugänglich und das erfordert eine entsprechend zuverlässige Sicherung dieser Systeme.“
Cyber Ark empfiehlt Retailern, drei Bereiche näher unter die Lupe zu nehmen, in denen die größten Gefahren drohen:
2. Application Accounts
Auch Application Accounts oder Software Accounts, das heißt, die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, stellen eine Sicherheitslücke dar. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da Passwörter meistens unverschlüsselt im Klartext vorliegen und nur selten oder gar nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen.
1. Privilegierte Accounts
In erster Linie geht es um eine Sicherung der privilegierten Benutzerkonten. Das betrifft zum Beispiel „Root“-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme. Die Sicherung und Überwachung dieser Konten ist unverzichtbar, da über sie ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich ist. Das heißt: Erlangt ein Externer Zugang zu einem privilegierten Benutzerkonto, kann er Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Die Gefahren von Datendiebstahl oder -sabotage liegen auf der Hand, aber auch ein reiner Imageschaden droht. Erhält ein Angreifer privilegierten Zugriff auf die sozialen Netze eines Unternehmens, kann der Missbrauch der Zugangsdaten dazu führen, dass die Marke oder der Ruf eines Unternehmens durch manipulative Beiträge erheblichen Schaden nimmt.
3. SSH-Keys
Ebenso problematisch sind SSH-Keys, die häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „Root“ – verwendet werden. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist nicht zuletzt auch für den Retail-Bereich von hoher Relevanz, da hier viele Unternehmen Unix-Infrastrukturen betreiben und auf SSH-Authentifizierung mittels Key-Paaren setzen.
„Privileged Account Security“(PAS)-Produkte bieten Anwendern u.a. einen Überblick und Reaktionsmöglichkeiten.
„Um diese Sicherheitsgefahren in den Griff zu bekommen, sollte ein Retailer auf jeden Fall eine Lösung im Bereich Privileged Account Security implementieren“, betont Kleist. Mit einer solchen Lösung sei es möglich, privilegierte Zugriffe auf beliebige Zielsysteme zentral zu berechtigen, jederzeit zu kontrollieren und revisionssicher zu auditieren. Außerdem lassen sich mit einer solchen Applikation auch SSH-Keys zentral verwalten und sichern.
Im Bereich „Privileged Account Security“ sind heute verschiedenste Produkte auf dem Markt verfügbar. Bei der Auswahl sollten Unternehmen darauf achten, dass die Lösung drei Leistungsmerkmale bietet: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleistet sein. Nicht zuletzt muss eine Privileged-Account-Security-Applikation auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Dies könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.
Foto und Abbildung: Cyber Ark
Autor Wolfgang Cabolet ist ein freier Journalist aus München.
Weitere Informationen: www.cyberark.de
5 Ausreden, nichts für IT-Sicherheit tun zu müssen
Wenn Unternehmen Sicherheitssoftware nur zu einem geringen Maß auf ihren Computern installieren, sind Webseiten schneller zu nutzen, aber auch leichter anzugreifen. Anhänger ersterer Variante sind um Ausreden nicht verlegen. Dieser Kommentar gibt allerdings zu denken, denn IT-Sicherheit ist kein Nice-to-have mehr sondern ein Must-have.
Kartenkriminalität: Die Daten schützen
Das kriminelle Abgreifen von Zahlkartendaten kann im Handel einerseits physisch erfolgen durch Skimming, also Manipulation von Kartenterminals und andererseits als Cyber-Attacke auf die IT eines Handelsunternehmens. Auch wenn beim Skimming ein Rückgang zu verzeichnen ist, bleibt es sehr wichtig, Schutzmaßnahmen zu treffen.