Inhaltsübersicht
Als eines der ersten Lebensmittel-Unternehmen erwischte es Coca-Cola. Das ist nun schon fast zehn Jahre her. Die US-Baumarkt-Kette Home Depot wurde 2014 attackiert. Beiersdorf traf es im Sommer 2017, die Milka-Mutter Mondelez fast zur gleichen Zeit. Telekom, Facebook, Amazon und Co. sind eigentlich permanent unter Beschuss: Cyberangriffe gehören mittlerweile zur traurigen Realität im Wirtschaftsleben. Egal ob Sabotage, Datendiebstahl, Spionage – die eng vernetzte Welt macht diese Form der Kriminalität zum erfolgreichen Geschäftsmodell. Hacker und Datenspione werden immer einfallsreicher, um Zugang zu Firmennetzen zu finden. Im Sommer meldete der britische Spezialversicherer Hiscox, dass gut zwei Drittel aller Firmen in Deutschland in den vergangenen zwölf Monaten in irgendeiner Form Opfer eines solchen Angriffs geworden seien.
Noch hat es – zumindest offiziell – keinen hiesigen Lebensmittelhändler getroffen. Dies bedeutet jedoch nicht, dass sich die Unternehmen sicher fühlen können. „Vor dem Angriff Cyberkrimineller ist niemand gefeit“, warnt Bernhard Rohleder vom IT-Verband Bitkom. Und Klaus Jetter, Deutschland-Chef von F-Secure, einem Anbieter für IT-Sicherheitslösungen, ist sich sicher: „Die Frage ist nicht ob, sondern wann ein Unternehmen angegriffen wird.“
Die möglichen Folgen eines Hacker-Angriffs haben sich mit der seit Mai geltenden europäischen Datenschutzverordnung (DSVGO) noch verschärft. Diese fordert unter anderem explizit den Schutz von persönlichen Daten vor Diebstahl und Missbrauch. Bevor sich Händler aber mit der IT-technischen Umsetzung oder der Sicherheit der gespeicherten Infos befassen können, müssen sie häufig erst mal klären, welche Informationen sie überhaupt erheben, nutzen und speichern. „Von Relevanz hinsichtlich der DSVGO sind grundsätzlich alle personenbezogenen Informationen wie beispielsweise Kunden-, Mitarbeiter- und Bewerberdaten, Daten von Interessenten und aus E-Mail-Verteilern sowie auch gesammelte Visitenkarten, die zur Kundenpflege aufgehoben werden“, unterstreicht Digital-Experte Björn Blatt von der Leonberger Readypartner GmbH. Bei Nichteinhaltung der Vorgaben drohten den verantwortlichen Unternehmen erhebliche Geldstrafen. Björn Blatt: „Durch das neue Regelwerk können Firmen nicht nur von offiziellen Organen, sondern auch von Privatpersonen für Verstöße belangt werden.“ In den USA wurde erst im September der Fahrdienstleister Uber zur Rekordstrafe von 148 Millionen Dollar (knapp 128 Millionen Euro) verurteilt, weil Hacker durch eine schlecht geschützte Datenbank in einem Cloud-Dienst an die Informationen von 50 Millionen Fahrgästen gekommen waren.
Bei Händlern werden Daten nicht nur im Zuge von Kartenzahlungen, Gewinnspielen oder Kundenbindungsprogrammen erhoben. Bei Online-Bestellungen oder Reklamationen fallen sie genauso an wie bei Markt-eigenen WLAN-Systemen (siehe Interview Seite 20). „Auch bei der Videoüberwachung werden Daten verarbeitet“, mahnt der Handelsverband Deutschland (HDE).
Für viele kleinere, mittelständische Händler steht hinter der Frage, wie dieser Wust an Informationen sicher aufbewahrt wird, ein großes Fragezeichen. Es fehlt an Know-how, oft steht die Angst vor hohen Investitionen im Raum. HDE und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollen deshalb helfen. Ende Juni verkündeten die beiden eine Kooperation. „Die IT-Systeme von Shops und Lieferketten müssen gut geschützt sein und gleichzeitig den optimalen Kundenservice mit maximaler Effizienz bieten“, unterstreicht HDE-Präsident Josef Sanktjohanser. „Kein Händler kann es sich mehr leisten, bei Cybersicherheit nicht optimal aufgestellt zu sein.“ Mit Veranstaltungen und speziellem Info-Material will das Duo den Einzelhandel fit machen im Kampf gegen Eindringlinge aus dem Netz.
Eine solche Sensibilisierung ist dringend erforderlich. Die Branche geht vergleichsweise locker – um nicht zu sagen fahrlässig – mit dem Thema um. Eine Bitkom-Studie von Frühjahr 2018 zeigt, dass sich eine verhältnismäßig große Gruppe nicht wirklich um die IT-Sicherheit kümmert. Während das Thema zum Beispiel für nahezu alle Finanzdienstleister und 83 Prozent der Maschinen-/Anlagenbauer einen hohen Stellenwert hat, sind es im Handel nur gut zwei von drei Unternehmen.
Zum gleichen Schluss kommt eine aktuelle Mittelstands-Analyse der Commerzbank, für die mehr als 200 Unternehmen aus dem Einzelhandel befragt wurden. „Die Unternehmen nehmen Viren, Trojaner und Hacker als Bedrohung wahr. Mit gezielter Spionage oder gar Sabotage rechnet die Branche allerdings selten. Wer von Cybercrime betroffen ist oder war, unternimmt nicht unbedingt mehr in Sachen Sicherheit“, stellen die Autoren einigermaßen überrascht fest.
„Die aktuelle Gefährdungslage ist geprägt von einer neuen Qualität von Cyberangriffen und IT-Sicherheitsvorfällen, die die Grundfesten der Informationssicherheit erschüttern“, betont BSI-Präsident Arne Schönbohm. Immerhin gehört der Lebensmittelhandel aufgrund seiner wichtigen Versorgungsaufgabe zu KRITIS – den sogenannten „kritischen Infrastrukturen“. „Nicht zuletzt wegen seines bereits sehr hohen Digitalisierungsgrades ist der Einzelhandel einem erhöhen Risiko ausgesetzt, das sich in unterbrochenen Lieferketten und Umsatzeinbußen niederschlägt, etwa aufgrund von nicht erreichbaren Websites oder gefälschten Rechnungen“, so Schönbohm. Die Betreiber und Verbände der kritischen Infrastrukturen (dazu gehören etwa auch Versorger oder Kommunikationsunternehmen) haben einen eigenen Verbund samt eines Arbeitskreises Lebensmittelhandel gegründet. Dieser stellte im Sommer einen zusammen mit Kölner EHI Retail Institute entwickelten branchenspezifischen Standard (B3S) vor. „Dabei handelt es sich um eine Norm, mit deren Hilfe gewährleistet werden kann, das die IT eines Lebensmittelhändlers den Anforderungen des BSI entspricht“, erläutert EHI-Experte Cetin Acar. In Eigenregie – also ohne Hilfe eines Experten – werden die meisten Kaufleute dies aber wohl trotz B3S-Anleitung nicht überprüfen können.
Um sich gegen Hacker im Supermarkt und ihre wichtigsten Werkzeuge zu wehren (siehe Text rechts auf dieser Seite), setzen die großen Ketten auf ein Bündel von technischen und organisatorischen Maßnahmen. „Mitarbeiterschulungen, Awareness-Kampagnen und E-Learnings dienen der Sensibilisierung und Vorbeugung“, heißt es beispielsweise bei der Rewe. Zugriffe auf Datenbestände würden stark reglementiert, Zugriffsrechte sehr restriktiv vergeben. Und ganz wichtig: „Regelmäßig wird überprüft, ob gespeicherte Daten gelöscht bzw. ob Datenspeicherungen verringert werden können.“ Denn wo keine Daten sind, können sie auch nicht gestohlen und missbraucht werden.
Interview mit Michael Haas - „Es reicht nicht aus, wenn WLAN schnell ist“
Michael Haas, Area Sales Director Central Europe beim IT-Sicherheitsexperten Watch Guard Technologies, über ein sicheres Netz im Laden. Jochen Schuster
Für viele Kunden stellt WLAN im Laden mittlerweile eine wichtige Ergänzung zum analogen Einkaufserlebnis da. Für den Händler ist ein solches Angebot aber nicht ganz ungefährlich.
Michael Haas: Das stimmt. Es gibt im Internet Unmengen an leicht zugänglichen Tools und Anleitungsvideos, die es selbst unerfahrenen Hackern ermöglichen, Datenverkehr im WLAN abzufangen und wertvolle Daten von Smartphones, Tablets oder Smartwatches zu stehlen.
Haben Sie den Eindruck, dass der Handel sich dieser Gefahr ausreichend bewusst ist?
Ich glaube, die Sensibilität für dieses Thema wächst. Angriffe auf Wireless-Umgebungen bestimmen immer häufiger die Schlagzeilen, dadurch rückt die Sicherheit von WLAN-Strukturen stärker ins Zentrum der Betrachtung. Es reicht eben nicht aus, wenn ein WLAN „nur“ schnell ist. Zudem muss sichergestellt werden, dass dieses keinerlei Angriffsfläche bietet. Daher sollten Handelsunternehmen bei der Konzeption ihres WLAN genau darauf achten, wie und in welchem Umfang Sicherheit gewährleistet ist. So kann ein sogenanntes Wireless Intrusion Prevention System (WIPS) innerhalb des WLAN Cyberangriffe beispielsweise nicht nur erkennen, sondern ist auch in der Lage, diese automatisiert abzuwehren.
Wie sieht die Gefahr im Detail aus?
Hacker haben oftmals das Ziel, WLAN-Nutzer unbemerkt auf manipulierte Seiten umzuleiten, die dazu dienen, vertrauliche Daten abzugreifen oder Malware zu streuen. Die dafür nötigen, feindlichen Access Points können ebenso dazu missbraucht werden, über Denial-of-Service-Angriffe – also die Erzeugung eines hohen Datenvolumens – das WLAN zu blockieren oder zu stören. Ein effektives WIPS sorgt nicht nur dafür, dass solche Eindringlinge automatisch deaktiviert werden, sondern auch für weniger Frust auf Seiten der Kunden bei gleichzeitig lückenloser Sicherheit.
Was raten Sie Händlern, die unsicher sind, ob ihr System wirklich sicher ist?
WLAN-Lösungen sollten im Hinblick auf die Sicherheitsfunktionalität auf Herz und Nieren geprüft werden. Wichtig ist dabei neben der Erkennung und Abwehr der bereits angesprochenen bösartigen Eindringlinge auch der Umgang mit benachbarten oder falsch konfigurierten Access Points. Mein Rat: Diesbezüglich einfach mal beim Hersteller oder IT-Partner nachfragen.
Bilder zum Artikel
