Leseprobe - rt retail technology

62
SECURITY Cybersicherheit
Wie fit ist Ihre Abwehr?
Foto: Fotolia/Tomasz Zajda
Cyber-Attacken können auch Handelsunternehmen treffen – und in große Schwierigkeiten bringen. Prof. Ulrich Greveler, Leiter des Labor für IT-Sicherheit der Hochschule
Rhein-Waal zeigt auf, welche Risiken es gibt und wie sich Händler schützen können.
Stefanie Hütz
Ende 2013 drangen Hacker in die Systeme des US-Einzelhandelskonzerns Target ein und erbeuteten dabei 40 Mio.
Daten von Kredit- und Bankkarten sowie Telefonnummern, Post- und E-MailAdressen von Kunden. Das Handels-
blatt titelte später: „Daten weg, Kunden
weg, Chef weg“ – denn Letzterer musste seinen Schreibtisch räumen. Nach
Bekanntwerden des Diebstahls waren
nicht nur die Umsätze signifikant zurückgegangen, es mussten auch Mil-
„In den Firmen fehlt es häufig an
Problembewusstsein.“
lionen Dollar in die Aufarbeitung des
Vorfalls investiert werden.
Zweites Beispiel, aus dem Gastronomie-Bereich: Leipzigs renommierter „Auerbachs Keller“, vielmehr dessen Gäste
wurden ebenfalls Opfer eines CyberRaubzugs. Beim Durchziehen von Kreditkarten durch das Lesegerät wurden
aufgrund eines Virus im System die Daten von 464 Kreditkarten ausgelesen,
nach Rumänien und Russland versendet
und auf neue Plastikkarten überspielt.
Nicht nur die IT
Prof. Dr.-Ing. Ulrich Greveler
Leiter Labor für IT-Sicherheit
Hochschule Rhein-Waal
„In den Firmen fehlt es häufig an Pro­
blembewusstsein“, stellt Informatik-Professor Ulrich Greveler fest. Er hat sich
rt 03/16
Cybersicherheit SECURITY
auf die Bewertung von IT-Sicherheitsrisiken von mittelständischen Unternehmen
spezialisiert. Im Rahmen eines Vortrags
beim Handelsverband Nordrhein-Westfalen zählte er neben den eingangs erwähnten Beispielen eine ganze Reihe
weiterer Schreckens-Szenarien auf. Getreu der Erfahrung: „Angst ist ein guter Motivator für die notwendige Veränderung.“
So machte Greveler den anwesenden Händlern klar, dass auch diejenigen
Geräte Malware, also Schadprogramme aufweisen können, die oftmals gar
nicht als echte IT-Komponenten wahrgenommen werden. Dazu zählen Kopierer, Displays, Kassen oder Audio- und
Haustechnik. Heizung, Klima, Frischluftversorgung – all das kann im digitalen Zeitalter manipuliert werden. Eine
ebenso bedrohliche Vorstellung wie die,
dass sich Kassen- und Buchungssysteme sabotieren lassen. Fehlüberweisungen oder automatisch ausgelöste, unerwünschte Nachbestellungen sind nur
zwei der potenziellen Risiken.
Als Beispiel nannte Prof. Greveler die Multifunktionsgeräte, die über
Druck-, Kopier- und/oder Fax-Funktion verfügen – inklusive eingebettetem
Computer. Sind sie von einer bösartigen Software befallen, so könnte diese
elektronische Kopien jeder Seite veranlassen und per Internet oder ISDN an
die Verursacher senden. Die Software
kann auch gezielt auf sensible Dokumente warten, die Worte wie „vertraulich“,
IBAN-Nummern und Passwörter beinhalten bzw. andere PCs und Server im
Netzwerk angreifen, Dokumente verfälschen oder teure Telefonate initiieren.
Individuelle Zugriffsrechte
In kleinen Unternehmen existiert häufig nur ein einziges Netzwerk, über das
alle Systeme miteinander kommunizieren, wodurch sich Schaden potenzieren kann. Die Abschottung von Netzen
ist daher eine wichtige Sicherheitsmaßnahme. Doch auch diese kann aufgehoben werden. Nicht selten gefährdet ein
von zu Hause mitgebrachter USB-Stick
das Firmennetzwerk. Was zum Thema
Mitarbeiter überleitet. „Viele KMUs setzen oft lediglich den Passwortschutz
um“, so der IT-Experte. Die Gefahr:
„In einer einzigen Aktion kann ein Mitarbeiter große Datenmengen oder sensible Daten kopieren, löschen, verändern. Individuelle Zugriffsrechte bieten
mehr Schutz.“
Wie können Handelsunternehmen
das Thema IT-Sicherheit professionell
angehen? Als Einstieg empfiehlt Prof.
Ulrich Greveler die Umsetzung der VdSRichtlinie 3473 „Cyber-Security für kleine
und mittlere Unternehmen (KMU)“, die
er selbst mitentwickelt hat. Ein umfassenderes Maßnahmenpaket beinhalten
der Katalog nach IT-Grundschutz und
die Zertifizierung nach ISO 27001. Von
sogenannte Penetrationstests als Einstiegsmaßnahme rät Greveler ab. Dabei
versuchen externe Consultants, die ITLandschaft mit Methoden der Hacker
zu knacken. „Darin sehe ich eher einen
Abschluss. Zunächst sollten strukturierte
IT-Sicherheitsmaßnahmen ergriffen und
die Unternehmens-IT auditiert werden.
Das freut dann auch die Versicherungen.“ Denn auch an adäquaten Versicherungsschutz sollte gedacht werden.
[email protected]
INTERVIEW
Strikt getrennte Netze
Wie Andreas Friedrich als Leiter-IT bei Edeka Nüsken mit 5 Märkte in Kamen, Dortmund und
Soest die IT-Sicherheit gewährleistet.
Welche IT-Sicherheitsmaßnahmen halten Sie für besonders wirkungsvoll?
Im Verwaltungsbereich haben wir Ordner-Strukturen mit individuellen Zugriffsrechten geschaffen. So kann nicht jeder Mitarbeiter an alle Daten gelangen,
sondern nur an die, die für seine Arbeit
relevant sind. Auch USB-Sticks anzudocken funktioniert bei uns nicht, die
Systeme sind für Datenträger gesperrt.
Nur Administratoren wie ich können sie
freigeben. Für die Kommunikation mit
den Filialen haben wir ein Intranet aufgebaut. Die wichtigste Maßnahme aber
ist wohl, dass wir mit strikt getrennten Netzen arbeiten. Wir lassen keine
rt 03/16
Drittanbieter wie zum Beispiel die Kühlungsfirma zur Fernwartung in unser Firmennetzwerk, und der Webserver beispielsweise ist nicht mit der Buchhaltung
Andreas Friedrich
verbunden.
In der Mittagspause mal eben die Urlaubsreise über das Internet buchen,
ist das bei Ihnen möglich?
Ja, dafür haben wir eigens Stand-alone-PCs eingerichtet, quasi wie ein Internet-Café. Diese PCs sind nicht
mit dem Firmennetzwerk verbunden
und werden jeden Abend wieder in
ihren Ursprungszustand zurückversetzt. Sollten die Nutzer Veränderun-
Leiter IT
Edeka Nüsken,
Kamen
gen vornehmen, so haben diese nicht
lange Bestand.
Wie steht es um die Kassen?
Diese sind über das gesicherte VPN-Netz
der Telekom mit der Zentrale verbunden und basieren auf Linux-Systemen.
63