Von ausgeklügelten Phishing-Kampagnen zur Verbreitung von Malware und Ransomware bis hin zu Angriffen auf POS, digitale Zahlungssysteme und Kundendatenbanken waren Einzelhandels- und E-Commerce-Unternehmen noch nie einem so hohen und greifbaren Risiko ausgesetzt. In der heutigen Cybersicherheitslandschaft reichen die traditionellen Schutzmaßnahmen wie Antiviruslösungen und Firewalls nicht mehr aus. Stattdessen gilt es, relevante Bedrohungen frühzeitig zu erkennen und gezielt abzuwenden.
Die geschäftigste Einkaufsperiode des Jahres steht bevor, aber viele Einzelhändler sind auf die neuesten Cyberbedrohungen nur schlecht vorbereitet. Dabei kann ein erfolgreicher Cyberangriff enormen Schaden anrichten – sei es durch direkte Verluste aufgrund von Geschäftsunterbrechungen, Kundenabwanderung wegen Reputationsschäden oder von Aufsichtsbehörden verhängte Strafzahlungen.
Laut einem aktuellen Bericht von Blueliv ist die Bandbreite der Cyberrisiken, denen die Einzelhandelsbranche heute ausgesetzt ist, erheblich größer als je zuvor; Angriffe sind dementsprechend häufiger. Betrug kostet den E-Commerce-Sektor derzeit etwa 5.5 Milliarden Euro pro Jahr – viermal mehr als im Bankbereich. Selbst die größten Einzelhändler bleiben trotz ausgeklügelter SIEM- und Endpunkt-Sicherheitslösungen weiter angreifbar.
Cyberkriminelle, die auf den Einzelhandel abzielen, haben extrem fortschrittliche und häufig automatisierte Taktiken, Techniken und Verfahren entwickelt, um gestohlene Geschäfts- und kundendaten zu kompromittieren und zu Geld zu machen. Einzelhändler müssen zum Beispiel mit Angriffen rechnen, die versuchen, gezielt Nutzerkonten zu kompromittieren, Unternehmensnetzwerke zu infiltrieren, nach personenbezogenen Informationen und anderen sensiblen Kundeninformationen zu angeln sowie Online-Shops zu infizieren. Immer wieder manipulieren Online-Betrüger sogar Prämien- und Treueprogramme, um Waren billiger zu kaufen.
Das Risiko nimmt zu
Ein Mitgrund für die steigende Zahl von Angriffen auf den Retail-Bereich ist die fortschreitende Digitalisierung. Durch das Internet und mobile Apps haben sich der Kauf und Verkauf von Waren und Dienstleistungen radikal verändert. Händler investieren in digitale Kanäle, innovative Kundenerlebnisse, personalisiertes Marketing und neue Zahlungstechnologien und setzen im Back-End dabei auch zunehmend auf Drittanbieter.
Neben den beträchtlichen Investitionen zahlen sie dabei auch noch einen anderen Preis: nämlich den einer vergrößerten Angriffsfläche mit dem Risiko, einer immer hochentwickelteren Bedrohungslandschaft ausgesetzt zu sein. Verschärft wird das Problem noch, weil angesichts des schnellen Fortschritts bei der Implementierung neuer digitaler Technologien Sicherheitsbetrachtungen oft außen vor bleiben. Häufig wird es als wichtiger angesehen, Erfahrungen bereitzustellen, die mehr und schnellere Einkäufe ermöglichen, als widerstandsfähige Sicherheitsprozesse aufrechtzuerhalten.
Cyberkriminelle wissen um diese Schwächen und haben es auf die Masse an vertraulichen Kunden- und Finanzdaten abgesehen, die sich bei Händlern abgreifen lassen. Die personenbezogenen Daten der Kunden sind oft untrennbar mit Zahlungs- oder Karteninhaberdaten verbunden. Daneben sammeln viele Unternehmen heute für Marketingzwecke umfangreiche Informationen zum Kundenverhalten, dem sozialen Umfeld und den Vorlieben ihrer Kunden, die für Hacker ebenfalls attraktiv sind, weil sie sich für das so genannte Social Engineering, also personalisierte Angriffe, einsetzen lassen.
Ungesicherte Softwareschwachstellen oder nicht ausreichend verschlüsselte Kundendatenbanken sind ein relativ einfaches und vor allem lohnendes Angriffsziel. Der potenzielle finanzielle Gewinn für den Cyberkriminellen ist enorm – und der Schaden für das betroffene Unternehmen um so größer. Gestohlene Kundendaten tauchen später oft in Foren oder im Dark Web auf und werden dort anderen Kriminellen zum Verkauf angeboten. Dies wiederum kann zur Verbreitung weiterer Angriffe beitragen.
Sowohl traditionelle als auch neue Zahlungstechnologien stellen ebenfalls beliebte Angriffspunkte dar. Es ist erstaunlich einfach, Malware auf PoS-Geräten zu installieren, beispielsweise Malware, die Daten aller Karten, die darin verwendet wurden, aufzeichnet. Andere Malware-Exemplare schaffen an anderen Stellen der Organisation Hintertüren (Backdoors), bleiben dort bestehen und breiten sich über das ganze Netzwerk aus, um mehrere Millionen PoS-Geräte zu infizieren und riesige Datenmengen abzuschöpfen. „Skimmer“, die online Kreditkartendaten stehlen, wie sie etwa von der Hackergruppe Magecart verbreitet werden, sind eine wachsene Bedrohung. Neue Zahlungsarten wie Mobile Wallets und NFC werden weitere Risiken mit sich bringen, wenn Kriminelle versuchen, digitale Transaktionen zu manipulieren.
Taktiken der Angreifer
Ausgangspunkt eines Angriffs sind oft gestohlene Login-Daten eines Mitarbeiters. Innerhalb des Unternehmens können kompromittierte Passwörter zu Übernahmen von Accounts, Identitätsdiebstählen, Erpressungen, der Verbreitung von Crimeware, Betrug und anderen kriminellen Aktivitäten führen. Hacker nutzen gerne hochentwickelte Phishing-Kampagnen, die sich gezielt an einzelne Mitarbeiter richten, um an die wertvollen Anmeldedaten zu kommen – auch in Verbindung mit Social Engineering-Techniken. Der Absender versucht das Opfer dazu zu bringen, einen Link anzuklicken und Anmeldeinformationen oder persönliche Informationen einzugeben oder Malware zu installieren.
Die Gruppe FIN7 beispielsweise verwendet Spear-Phishing-Techniken, um Point-of-Sale-(POS) Malware zu verbreiten, häufig kombiniert mit bemerkenswert kühnen Social Engineering-Techniken, bei denen sie ihre Opfer anruft, um sicherzustellen, dass diese bösartige Dateien auch öffnen. Seit ihrem Auftreten im Jahr 2015 hat die Gruppe Hunderte von Unternehmen, Tausende von POS-Endgeräten und Millionen Zahlungskarten kompromittiert. FIN7 wird mit prominenten Datenpannen bei Arby‘s, Chili‘s, Chipotle, Red Robin, Jason‘s Deli und Sonic in Verbindung gebracht. Nach einem erfolgreichen Einbruch bietet FIN7 die kompromittierten Karten üblicherweise in dem Untergrund-Kartenshop Joker’s Stash zum Verkauf an.
Faktisch sind Phishing-Kampagnen im Retail-Sektor einerseits aufgrund der mangelhaften Cybersicherheits-Ausbildung der Mitarbeiter besonders erfolgreich, andererseits aufgrund des umfangreichen Profils, das Einzelhandelsmarken nun einmal im Internet haben. Die bloße Menge an versandten E-Mails (Marketing, Zahlungsbestätigungen, Versandinformationen usw.) erschwert die Erkennung eines bösartigen Angriffsversuchs inmitten der zulässigen Inhalte. Um in breit angelegten Phishing-Kampagnen auch unbedarfte Kunden zu täuschen, verwenden Angreifer häufig Firmenlogos und echt anmutende Links.
Geklonte Webseiten
Gefälschte Webseiten stellen ein weiteres Risiko für Einzelhändler dar. Die Anzahl von Domains, die Einzelhändler unterhalten – insbesondere diejenigen, die auf mehr als einem Markt tätig sind – zieht nach sich, dass die Unternehmen und ihre Kunden schneller Opfer von Cybersquatting werden, da mehr URLs vorhanden sind, die angegriffen werden können.
Eine solche sorgfältig erstellte Spoof-Seite imitiert Design, Logos, Schriftarten und Tonfall der angegriffenen Webseite. Häufig wird eine ähnliche URL verwendet oder eine URL, die seriös genug aussieht, um den Besucher zu überzeugen, dass die Seite sicher ist. Die nachgebildete Webseite kann verschiedenen Zwecken dienen, einschließlich fortgeschrittener Phishing-Kampagnen, um Malware zu verbreiten und an Informationen der Besucher zu gelangen, die später für kriminelle Zwecke verwendet werden.
Immer beliebter wird auch der Rückerstattungsbetrug. Hierbei versuchen Schwindler, unter falschen Vorwänden Rückerstattungen von großen Einzelhandelsunternehmen zu erhalten. Ähnlich wie beim Phishing werden keine kompromittierten Zahlungskarteninformationen, sondern vielmehr Social Engineering-Techniken verwendet, um die Rückzahlung zu erhalten. Die Betrüger bemühen sich, Mitarbeiter des Kundenservices glauben zu machen, dass beim Versand oder der Lieferung des gekauften Produkts ein Problem aufgetreten ist. Häufige Lügengeschichten, die sie dabei auftischen, sind, dass das Paket nie angekommen ist, gestohlen wurde, leer war oder dass die Artikel im Paket irgendwie beschädigt wurden.
Unentdeckte Malware-Infektionen
Die Verwendung von Malware-Stealern zur Erlangung von sensiblen Informationen ist ähnlich weit verbreitet. Beispielsweise sind nach einem aktuellen Bericht bis zu 87% der Seiten, die die E-Commerce-Plattform Magento verwenden, nach wie vor einem hohen Angriffsrisiko ausgesetzt. Dies ist Folge einer groß angelegten Malware-Kampagne, bei der Zahlungskartendaten gestohlen wurden. Bei der Mehrheit der Betroffenen handelte es sich um kleinere, regionale Unternehmen.
Kritisch ist, dass die meiste Malware über erhebliche Zeiträume hinweg nicht entdeckt wird, wie etwa im Fall der Hudson‘s Bay-Einzelhandelsgruppe, die im Februar 2018 gehackt wurde. Dabei wurden rund fünf Millionen Kreditkartenkonten gestohlen und 125.000 davon im Dark Web zum Verkauf angeboten. Bei dem Angriff wurden Daten und Metadaten für Point-of-Sale- und Kreditkartentransaktionen langfristig kompromittiert und an die Cyberkriminellen ausgefiltert. Die Malware-Infektion dauerte mindestens 500 Tage an.
Proaktive Schutzmaßnahmen
Die Dauer dieses Angriffs verdeutlicht die Notwendigkeit, in Präventions- und Erkennungssysteme zu investieren, um Angriffe innerhalb des Netzwerks rechtzeitig zu erkennen. Es ist – einfach gesagt – unmöglich, alle Daten, Systeme und Anwendungen zuverlässig zu schützen. Organisationen müssen deshalb proaktive Sicherheitsmaßnahmen ergreifen, die ihnen bei der Erkennung und Priorisierung von Risiken und Angriffen helfen und es ihnen erlauben, schneller auf Vorfälle zu reagieren.
Dazu gehören unter anderem Prozesse, die das Cybersicherheitsverhalten innerhalb und außerhalb des Unternehmens förden. Mit gezielten Mitarbeiterschulungen sollten Händler sicherstellen, dass gerade Mitarbeiter, die direkt oder indirekt an Projekten beteiligt sind, welche ein Risiko für die Marke darstellen können, bei allen Handlungen Sicherheitsbeurteilungen vornehmen. Kontinuierliche Sicherheitstests sind ebenfalls wichtig: Soft- und Hardware muss laufend überwacht werden, um robuste Sicherheitsprotokolle zu gewährleisten – beispielsweise das Front-End der Webseite mit seinen dazugehörigen Plug-ins.
Schließlich können Retailer ein viel besseres Verständnis ihrer Bedrohungslandschaft erlangen, indem sie Threat Intelligence-Lösungen einsetzen. Bei Threat Intelligence handelt es sich um relevante and aktuelle Bedrohungsinformationen, die automatisch geliefert werden, sodass Organisationen Risiken sowohl inner- als auch außerhalb ihres Netzwerks erkennen und ihre Reaktionen darauf priorisieren können.
Eine solche Lösung hilft unter anderem dabei, kompromittierte Anmeldeinformationen oder gestohlene Kunden- und Kartendaten innerhalb kürzester Zeit zu identifizieren. Wenn diese binnen Tagen (und nicht wie üblich binnen Monaten) entdeckt werden, dann lassen sich die weiteren Folgen eines Angriffs deutlich mindern. Fortgeschrittene Threat Intelligence- Lösungen bieten daneben Funktionen zum Domain-Schutz, zur Aufspürung gefälschter Social Media-Accounts und mobiler Anwendungen und sogar zur Beobachtung relevanter krimineller Aktivitäten im Darkweb.
Eine modulare Threat Intelligence-Plattform stellt damit eine robuste Lösung bereit, mit der die bestehenden Sicherheitsmaßnahmen von Einzelhändlern wertbringend ergänzt werden können, unabhängig von der Größe der Organisation. Insgesamt ist es entscheidend, eine starke Cybersicherheitskultur innerhalb der Organisation zu etablieren. Dies sollte sich vom management bis hinunter zu den neuesten Angestellten erstrecken. Letztendlich ist das Ziel, den Angreifern immer einen Schritt voraus zu sein.
