62 SECURITY Cybersicherheit Wie fit ist Ihre Abwehr? Foto: Fotolia/Tomasz Zajda Cyber-Attacken können auch Handelsunternehmen treffen – und in große Schwierigkeiten bringen. Prof. Ulrich Greveler, Leiter des Labor für IT-Sicherheit der Hochschule Rhein-Waal zeigt auf, welche Risiken es gibt und wie sich Händler schützen können. Stefanie Hütz Ende 2013 drangen Hacker in die Systeme des US-Einzelhandelskonzerns Target ein und erbeuteten dabei 40 Mio. Daten von Kredit- und Bankkarten sowie Telefonnummern, Post- und E-MailAdressen von Kunden. Das Handels- blatt titelte später: „Daten weg, Kunden weg, Chef weg“ – denn Letzterer musste seinen Schreibtisch räumen. Nach Bekanntwerden des Diebstahls waren nicht nur die Umsätze signifikant zurückgegangen, es mussten auch Mil- „In den Firmen fehlt es häufig an Problembewusstsein.“ lionen Dollar in die Aufarbeitung des Vorfalls investiert werden. Zweites Beispiel, aus dem Gastronomie-Bereich: Leipzigs renommierter „Auerbachs Keller“, vielmehr dessen Gäste wurden ebenfalls Opfer eines CyberRaubzugs. Beim Durchziehen von Kreditkarten durch das Lesegerät wurden aufgrund eines Virus im System die Daten von 464 Kreditkarten ausgelesen, nach Rumänien und Russland versendet und auf neue Plastikkarten überspielt. Nicht nur die IT Prof. Dr.-Ing. Ulrich Greveler Leiter Labor für IT-Sicherheit Hochschule Rhein-Waal „In den Firmen fehlt es häufig an Pro blembewusstsein“, stellt Informatik-Professor Ulrich Greveler fest. Er hat sich rt 03/16 Cybersicherheit SECURITY auf die Bewertung von IT-Sicherheitsrisiken von mittelständischen Unternehmen spezialisiert. Im Rahmen eines Vortrags beim Handelsverband Nordrhein-Westfalen zählte er neben den eingangs erwähnten Beispielen eine ganze Reihe weiterer Schreckens-Szenarien auf. Getreu der Erfahrung: „Angst ist ein guter Motivator für die notwendige Veränderung.“ So machte Greveler den anwesenden Händlern klar, dass auch diejenigen Geräte Malware, also Schadprogramme aufweisen können, die oftmals gar nicht als echte IT-Komponenten wahrgenommen werden. Dazu zählen Kopierer, Displays, Kassen oder Audio- und Haustechnik. Heizung, Klima, Frischluftversorgung – all das kann im digitalen Zeitalter manipuliert werden. Eine ebenso bedrohliche Vorstellung wie die, dass sich Kassen- und Buchungssysteme sabotieren lassen. Fehlüberweisungen oder automatisch ausgelöste, unerwünschte Nachbestellungen sind nur zwei der potenziellen Risiken. Als Beispiel nannte Prof. Greveler die Multifunktionsgeräte, die über Druck-, Kopier- und/oder Fax-Funktion verfügen – inklusive eingebettetem Computer. Sind sie von einer bösartigen Software befallen, so könnte diese elektronische Kopien jeder Seite veranlassen und per Internet oder ISDN an die Verursacher senden. Die Software kann auch gezielt auf sensible Dokumente warten, die Worte wie „vertraulich“, IBAN-Nummern und Passwörter beinhalten bzw. andere PCs und Server im Netzwerk angreifen, Dokumente verfälschen oder teure Telefonate initiieren. Individuelle Zugriffsrechte In kleinen Unternehmen existiert häufig nur ein einziges Netzwerk, über das alle Systeme miteinander kommunizieren, wodurch sich Schaden potenzieren kann. Die Abschottung von Netzen ist daher eine wichtige Sicherheitsmaßnahme. Doch auch diese kann aufgehoben werden. Nicht selten gefährdet ein von zu Hause mitgebrachter USB-Stick das Firmennetzwerk. Was zum Thema Mitarbeiter überleitet. „Viele KMUs setzen oft lediglich den Passwortschutz um“, so der IT-Experte. Die Gefahr: „In einer einzigen Aktion kann ein Mitarbeiter große Datenmengen oder sensible Daten kopieren, löschen, verändern. Individuelle Zugriffsrechte bieten mehr Schutz.“ Wie können Handelsunternehmen das Thema IT-Sicherheit professionell angehen? Als Einstieg empfiehlt Prof. Ulrich Greveler die Umsetzung der VdSRichtlinie 3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)“, die er selbst mitentwickelt hat. Ein umfassenderes Maßnahmenpaket beinhalten der Katalog nach IT-Grundschutz und die Zertifizierung nach ISO 27001. Von sogenannte Penetrationstests als Einstiegsmaßnahme rät Greveler ab. Dabei versuchen externe Consultants, die ITLandschaft mit Methoden der Hacker zu knacken. „Darin sehe ich eher einen Abschluss. Zunächst sollten strukturierte IT-Sicherheitsmaßnahmen ergriffen und die Unternehmens-IT auditiert werden. Das freut dann auch die Versicherungen.“ Denn auch an adäquaten Versicherungsschutz sollte gedacht werden. [email protected] INTERVIEW Strikt getrennte Netze Wie Andreas Friedrich als Leiter-IT bei Edeka Nüsken mit 5 Märkte in Kamen, Dortmund und Soest die IT-Sicherheit gewährleistet. Welche IT-Sicherheitsmaßnahmen halten Sie für besonders wirkungsvoll? Im Verwaltungsbereich haben wir Ordner-Strukturen mit individuellen Zugriffsrechten geschaffen. So kann nicht jeder Mitarbeiter an alle Daten gelangen, sondern nur an die, die für seine Arbeit relevant sind. Auch USB-Sticks anzudocken funktioniert bei uns nicht, die Systeme sind für Datenträger gesperrt. Nur Administratoren wie ich können sie freigeben. Für die Kommunikation mit den Filialen haben wir ein Intranet aufgebaut. Die wichtigste Maßnahme aber ist wohl, dass wir mit strikt getrennten Netzen arbeiten. Wir lassen keine rt 03/16 Drittanbieter wie zum Beispiel die Kühlungsfirma zur Fernwartung in unser Firmennetzwerk, und der Webserver beispielsweise ist nicht mit der Buchhaltung Andreas Friedrich verbunden. In der Mittagspause mal eben die Urlaubsreise über das Internet buchen, ist das bei Ihnen möglich? Ja, dafür haben wir eigens Stand-alone-PCs eingerichtet, quasi wie ein Internet-Café. Diese PCs sind nicht mit dem Firmennetzwerk verbunden und werden jeden Abend wieder in ihren Ursprungszustand zurückversetzt. Sollten die Nutzer Veränderun- Leiter IT Edeka Nüsken, Kamen gen vornehmen, so haben diese nicht lange Bestand. Wie steht es um die Kassen? Diese sind über das gesicherte VPN-Netz der Telekom mit der Zentrale verbunden und basieren auf Linux-Systemen. 63
© Copyright 2024 ExpyDoc