Ende 2013 drangen Hacker in die Systeme des US-Einzelhandelskonzerns Target ein und erbeuteten dabei 40 Mio. Daten von Kredit- und Bankkarten sowie Telefonnummern, Post- und E-Mail-Adressen von Kunden. Das Handelsblatt titelte später: „Daten weg, Kunden weg, Chef weg“ – denn Letzterer musste seinen Schreibtisch räumen. Nach Bekanntwerden des Diebstahls waren nicht nur die Umsätze signifikant zurückgegangen, es mussten auch Millionen Dollar in die Aufarbeitung des Vorfalls investiert werden.
Zweites Beispiel, aus dem Gastronomie-Bereich: Leipzigs renommierter „Auerbachs Keller“, vielmehr dessen Gäste wurden ebenfalls Opfer eines Cyber-Raubzugs. Beim Durchziehen von Kreditkarten durch das Lesegerät wurden aufgrund eines Virus im System die Daten von 464 Kreditkarten ausgelesen, nach Rumänien und Russland versendet und auf neue Plastikkarten überspielt.
Nicht nur die IT
„In den Firmen fehlt es häufig an Problembewusstsein“, stellt Informatik-Professor Ulrich Greveler fest. Er hat sich auf die Bewertung von IT-Sicherheitsrisiken von mittelständischen Unternehmen spezialisiert. Im Rahmen eines Vortrags beim Handelsverband Nordrhein-Westfalen zählte er neben den eingangs erwähnten Beispielen eine ganze Reihe weiterer Schreckens-Szenarien auf. Getreu der Erfahrung: „Angst ist ein guter Motivator für die notwendige Veränderung.“
In den Firmen fehlt es häufig an Problembewusstsein.
Prof. Dr.-Ing. Ulrich GrevelerSo machte Greveler den anwesenden Händlern klar, dass auch diejenigen Geräte Malware, also Schadprogramme aufweisen können, die oftmals gar nicht als echte IT-Komponenten wahrgenommen werden. Dazu zählen Kopierer, Displays, Kassen oder Audio- und Haustechnik. Heizung, Klima, Frischluftversorgung – all das kann im digitalen Zeitalter manipuliert werden. Eine ebenso bedrohliche Vorstellung wie die, dass sich Kassen- und Buchungssysteme sabotieren lassen. Fehlüberweisungen oder automatisch ausgelöste, unerwünschte Nachbestellungen sind nur zwei der potenziellen Risiken.
Als Beispiel nannte Prof. Greveler die Multifunktionsgeräte, die über Druck-, Kopier- und/oder Fax-Funktion verfügen – inklusive eingebettetem Computer. Sind sie von einer bösartigen Software befallen, so könnte diese elektronische Kopien jeder Seite veranlassen und per Internet oder ISDN an die Verursacher senden. Die Software kann auch gezielt auf sensible Dokumente warten, die Worte wie „vertraulich“, IBAN-Nummern und Passwörter beinhalten bzw. andere PCs und Server im Netzwerk angreifen, Dokumente verfälschen oder teure Telefonate initiieren.
Individuelle Zugriffsrechte
In kleinen Unternehmen existiert häufig nur ein einziges Netzwerk, über das alle Systeme miteinander kommunizieren, wodurch sich Schaden potenzieren kann. Die Abschottung von Netzen ist daher eine wichtige Sicherheitsmaßnahme. Doch auch diese kann aufgehoben werden. Nicht selten gefährdet ein von zu Hause mitgebrachter USB-Stick das Firmennetzwerk. Was zum Thema Mitarbeiter überleitet. „Viele KMUs setzen oft lediglich den Passwortschutz um“, so der IT-Experte. Die Gefahr: „In einer einzigen Aktion kann ein Mitarbeiter große Datenmengen oder sensible Daten kopieren, löschen, verändern. Individuelle Zugriffsrechte bieten mehr Schutz.“
Wie können Handelsunternehmen das Thema IT-Sicherheit professionell angehen? Als Einstieg empfiehlt Prof. Ulrich Greveler die Umsetzung der VdS-Richtlinie 3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)“, die er selbst mitentwickelt hat. Ein umfassenderes Maßnahmenpaket beinhalten der Katalog nach IT-Grundschutz und die Zertifizierung nach ISO 27001. Von sogenannten Penetrationstests als Einstiegsmaßnahme rät Greveler ab. Dabei versuchen externe Consultants, die IT-Landschaft mit Methoden der Hacker zu knacken. „Darin sehe ich eher einen Abschluss. Zunächst sollten strukturierte IT-Sicherheitsmaßnahmen ergriffen und die Unternehmens-IT auditiert werden. Das freut dann auch die Versicherungen.“ Denn auch an adäquaten Versicherungsschutz sollte gedacht werden.
Foto (1): Fotolia/Tomasz Zajda
Strikt getrennte Netze
Wie Andreas Friedrich als Leiter-IT bei Edeka Nüsken mit fünf Märkten in Kamen, Dortmund und Soest die IT-Sicherheit gewährleistet.
Welche IT-Sicherheitsmaßnahmen halten Sie für besonders wirkungsvoll?
Im Verwaltungsbereich haben wir Ordner-Strukturen mit individuellen Zugriffsrechten geschaffen. So kann nicht jeder Mitarbeiter an alle Daten gelangen, sondern nur an die, die für seine Arbeit relevant sind. Auch USB-Sticks anzudocken funktioniert bei uns nicht, die Systeme sind für Datenträger gesperrt. Nur Administratoren wie ich können sie freigeben. Für die Kommunikation mit den Filialen haben wir ein Intranet aufgebaut. Die wichtigste Maßnahme aber ist wohl, dass wir mit strikt getrennten Netzen arbeiten. Wir lassen keine Drittanbieter wie zum Beispiel die Kühlungsfirma zur Fernwartung in unser Firmennetzwerk, und der Webserver beispielsweise ist nicht mit der Buchhaltung verbunden.
In der Mittagspause mal eben die Urlaubsreise über das Internet buchen, ist das bei Ihnen möglich?
Ja, dafür haben wir eigens Stand-alone-PCs eingerichtet, quasi wie ein Internet-Café. Diese PCs sind nicht mit dem Firmennetzwerk verbunden und werden jeden Abend wieder in ihren Ursprungszustand zurückversetzt. Sollten die Nutzer Veränderungen vornehmen, so haben diese nicht lange Bestand.
Wie steht es um die Kassen?
Diese sind über das gesicherte VPN-Netz der Telekom mit der Zentrale verbunden und basieren auf Linux-Systemen.
POS-Malware wird zunehmend professioneller
Der bargeldlose Zahlungsverkehr gerät immer stärker in den Fokus der Cyberkriminellen, das belegen die kürzlich erfolgten Angriffe auf POS-Systeme durch Schadprogramme, so genannte „Malware“ wie Cherry Picker. Die Gefahrenlandschaft bei Zahlungen hat sich nicht zuletzt durch Trends wie das Bezahlen mit Mobilgeräten gewandelt. Ein Kommentar von Jens Freitag, Tenable Network Security.
Türöffnung mit dem Smartphone
Moderne kabellose Echtzeit-Zutrittslösungen eignen sich für kleinere und mittlere Anwendungen, zum Beispiel in einzelnen Filialen, lassen sich aber auch zu unternehmensweiten Lösungen über mehrere Standorte verbinden. Kennzeichen sind kabellose Installation und mobile Funktionen.