Immer mehr Retailer gehen online: Das stationäre Ladengeschäft reicht vielfach nicht mehr aus, um die Umsatzziele zu erreichen. Doch der Online-Vertrieb macht die Überprüfung der IT-Sicherheitsstrategie dringend notwendig, denn sonst sind Daten und Systeme größten Gefahren ausgesetzt.
Schon seit Jahren nutzt die Finanzdienstleistungsbranche erfolgreich Multichannel-Banking, also die enge Verzahnung unterschiedlichster Vertriebswege. Diese Entwicklung zeichnet sich nun auch verstärkt im Retail-Bereich ab. Dass der Mehrkanalvertrieb immer wichtiger wird, zeigen auch zwei prominente Beispiele wie die Amazon-Pläne für Ladengeschäfte oder die Onlineshop-Initiativen von Media Saturn.
Retailer, die bisher nur im stationären Handel tätig waren und den Online-Schritt gehen wollen, brauchen aber mehr als nur eine E-Commerce-Lösung: Sie müssen ein besonderes Augenmerk auf die IT-Sicherheit legen. „Geht ein Händler vom stationären zusätzlich ins Online-Geschäft, hat das gravierende Auswirkungen für die IT-Sicherheit, denn dann werden bisher abgeschottete Applikationen, die vielfach unternehmenskritischen Charakter haben, auch von außen zugänglich“, erklärt Michael Kleist, Regional Director DACH beim Sicherheitssoftware-Anbieter CyberArk in Heilbronn. „Theoretisch werden bei diesem Schritt etwa Warenwirtschaftssysteme mit einer Schnittstelle zur Onlineshop-Lösung für Externe zugänglich und das erfordert eine entsprechend zuverlässige Sicherung dieser Systeme.“
CyberArk empfiehlt Retailern, vor allem drei Bereiche näher unter die Lupe zu nehmen, in denen die größten Gefahren drohen:
- Privilegierte Accounts
In erster Linie geht es um eine Sicherung der privilegierten Benutzerkonten. Das betrifft zum Beispiel Root-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme. Die Sicherung und Überwachung dieser Konten ist unverzichtbar, da über sie ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich ist. Das heißt, erlangt ein Externer Zugang zu einem privilegierten Benutzerkonto, kann er Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Die Gefahren von Datendiebstahl oder -sabotage liegen auf der Hand, aber auch ein reiner Imageschaden droht, wie ein Beispiel zeigt: Erhält ein Angreifer privilegierten Zugriff auf die sozialen Netze eines Unternehmens, kann der Missbrauch der Zugangsdaten dazu führen, dass die Marke oder der Ruf eines Unternehmens durch manipulative Beiträge erheblichen Schaden nimmt.
- Application Accounts
Auch Application Accounts oder Software Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, stellen eine Sicherheitslücke dar. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da Passwörter meistens unverschlüsselt im Klartext vorliegen und nur selten oder gar nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen.
- SSH-Keys
Ebenso problematisch sind SSH-Keys, die häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet werden. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist nicht zuletzt auch für den Retail-Bereich von hoher Relevanz, da hier viele Unternehmen Unix-Infrastrukturen betreiben und auf SSH-Authentifizierung mittels Key-Paaren setzen.
„Um diese Sicherheitsgefahren in den Griff zu bekommen, sollte ein Retailer auf jeden Fall eine Lösung im Bereich Privileged Account Security implementieren“, betont Michael Kleist. „Mit einer solchen Lösung ist es möglich, privilegierte Zugriffe auf beliebige Zielsysteme zentral zu berechtigen, jederzeit zu kontrollieren und revisionssicher zu auditieren. Und idealerweise können mit einer solchen Applikation auch SSH-Keys zentral verwaltet und gesichert werden.“
Im Bereich Privileged Account Security sind heute verschiedenste Produkte auf dem Markt verfügbar. Bei der Auswahl sollten Unternehmen auf jeden Fall darauf achten, dass die Lösung drei Leistungsmerkmale bietet: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleistet sein. Nicht zuletzt muss eine Privileged-Account-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Dies könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.