Die Richtlinie zur Netz- und Informationssicherheit (NIS) gilt zukünftig unter anderem für Betreiber von elektronischen Marktplätzen wie Onlineshops. Da mittlerweile auch stationäre Händler Webshops betreiben, wird der Einzelhandel in großem Umfang betroffen sein. Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationalen Gesetze übernommen werden. Händler werden dann vorweisen müssen, dass ihre IT-Systeme bestmöglich gegen Cyberangriffe geschützt sind – und dass sie in der Lage sind, Sicherheitsvorfälle rasch aufzudecken und schnell zu melden.
Die zweite Neuerung ist die Datenschutz-Grundverordnung (DSGVO) oder GDPR (General Data Protection Regulation). Von Unternehmen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, verlangt die DSGVO hohe technische Standards beim Datenschutz. Händler, die Kundendaten speichern – sei es mittels Kundenkarten im stationären Handel oder in Form von Kundenprofilen im Onlinehandel – sind somit betroffen. Stichtag ist der 25. Mai 2018. Bei Verstößen drohen hohe Bußgelder.
Spektakuläre Cyberangriffe und Datenklau in großem Stil häufen sich. Sicherheitsmaßnahmen „auf dem Stand der Technik“, wie sie der Gesetzgeber fordert, sollen nun Abhilfe schaffen. Zudem werden künftig weitaus strengere Meldepflichten gelten, wenn es zu sicherheits- oder datenschutzrelevanten Ereignissen kommt. Sicherheitsvorfälle müssen dann beispielsweise innerhalb sehr kurzer Fristen erkannt und gemeldet werden. Dies erfordert bei Unternehmen eine bessere Sichtbarkeit und Kontrolle.
Lösungen für den Einzelhandel
Im Einzelhandel könnte in mehrfacher Hinsicht Handlungsbedarf bestehen – in Bezug auf die eigenen Systeme, genutzte externe Cloud-Dienste, Endgeräte und Netzwerke. Die gesamte IT muss besser geschützt werden, was insbesondere an den Endpunkten, also PoS-Systemen (Point-of-Sale) wie Kassenterminals, eine Herausforderung sein dürfte. Diese sind nicht unbedingt auf Cybersicherheit ausgelegt und laufen zudem oft auf veralteten Betriebssystemen, für die keine Sicherheitspatches verfügbar sind oder sie werden selten aktualisiert.
Punktuelle Sicherheitslösungen wie Antivirus‐Software, die in den IT-Umgebungen häufig zum Einsatz kommen, vermitteln ein falsches Gefühl der Sicherheit. Sie schützen nicht vor fortschrittlichen, zunehmend raffinierteren Cyberangreifern, bislang unbekannten Bedrohungen und hartnäckigen Angriffen durch sogenannte Advanced Persistent Threats (APTs). Die Cybersicherheitsbranche bietet Lösungen, die Malware und Angreifer nicht an Signaturen oder einzelnen Merkmalen, sondern an ihrem Verhalten erkennen. Sie sollen es ermöglichen, auch bisher unbekannte Malware wie Viren und Trojaner schnell zu erkennen und zu isolieren. Solche Multi-Methoden-Ansätze können Angriffe erkennen, die speziell für ein Ziel entwickelt wurden. Ergänzt werden solche Lösungen zunehmend um Komponenten, die auf maschinelles Lernen und künstliche Intelligenz setzen. Hierbei kann das System Vorgänge im Netzwerk erkennen, die ungewöhnlich und zugleich potenziell gefährlich sind.
Eine moderne automatisierte Sicherheitsplattform kann viele typische Szenarien abdecken. Das Zusammenspiel präventiv agierender Komponenten soll verhindern, dass Malware an irgendeiner Stelle und insbesondere an den besonders gefährdeten Endpunkten eindringen kann. Intelligenter Endpunktschutz schafft Abhilfe durch einen Multi-Methoden-Ansatz, bei dem eine Kombination von Malware- und Exploit-Erkennungsmethoden zum Einsatz kommt, um bösartige Techniken zu stoppen, sobald ein Angriffsversuch gestartet wird. Maschinelles Lernen hilft bei der Analyse unbekannter ausführbarer Dateien. Dies erfolgt im Gegensatz zu herkömmlicher Antivirus-Software ohne Signaturen, wodurch auch nicht gepatchte Endpunkte wie Kassenterminals effektiv geschützt werden können. Unterstützt und kontinuierlich aktualisiert wird der Endpunktschutz durch eine Bedrohungsanalyse-Cloud. Zeitgemäße Lösungen wie diese machen es durchaus möglich, das Sicherheitsniveau an die neuen gesetzlichen Anforderungen zügig anzupassen.
Foto: Palo Alto Networks Inc.
Weitere Informationen: www.paloaltonetworks.com