Anwender speichern ihre Kreditkartendaten verstärkt in verschiedenen E-Wallets oder Apps, um schnell und unkompliziert bezahlen zu können. Apple Pay ist nach wie vor nicht offiziell in Deutschland verfügbar, aber das ist nur noch eine Frage der Zeit. Damit vergrößert sich die mögliche Angriffsfläche für Cyberkriminelle sogar noch weiter.
Über die Jahre haben Kriminelle herausgefunden, wie sie sich sensible Kundendaten zunutze machen können, die täglich POS-Terminals oder Onlinesysteme durchlaufen. Dazu zählen Kreditkartendetails oder Details zu Kaufgewohnheiten, personalisierte Coupons oder Mailinglisten. POS-Malware wurde dadurch in den vergangenen zehn Jahren zu einem enormen Geschäft für Kriminelle.
Die Zahl der Angriffe auf POS-Systeme hat in den letzten Jahren nicht gleichermaßen stark zugenommen, das Thema rückt jedoch stärker in den Fokus der Öffentlichkeit. Cyberkriminelle nutzen Malware bereits seit fünf bis zehn Jahren, um sich zu bereichern. Die Angriffe werden immer ausgeklügelter und die Gewinne immer höher. Dank dieser Professionalisierung ist POS-Malware mittlerweile ein profitables Geschäft.
Konsumenten können Bedrohungen durch POS-Malware nicht kontrollieren. Sie können lediglich dafür sorgen, dass ihre Kreditkarten nicht in die Hände von Betrügern gelangen und keine Abbuchungen außerhalb ihrer Sichtweite erfolgen. Zudem können sie die Abbuchungen auf den Abrechnungen prüfen. Bei POS-Malware sieht es anders aus: Sobald ein System befallen ist, sind Kunden dagegen machtlos. In diesem Fall sind Unternehmen dafür verantwortlich, Anomalien zu entdecken und entsprechende Schritte zu tätigen, um potentielle Bedrohungen bei den Kunden zu beheben.
Die Angriffe durch POS-Schadsoftware lassen sich nicht verhindern, jedoch früher erkennen. Nur wenige Unternehmen haben genügend Personal oder die geeigneten Werkzeuge, um ungewöhnliche Vorgänge in ihrem Netzwerk zu erkennen, die auf Malware hinweisen. In Deutschland kommt erschwerend hinzu, dass die Betriebssysteme der POS-Systeme häufig auf dem veralteten Betriebssystem Windows XP basieren, für das es keine Updates des Herstellers mehr gibt. Auch aktuelle Systeme bieten keinen hundertprozentigen Schutz. Erst mit einem vollständigen Überblick über ihren Sicherheitsstatus können Unternehmen die Gefahren für Kunden erheblich senken, Schwachstellen früher entdecken und beheben.
Über Jahre hinweg stützte sich die Sicherheit der POS Systeme von Einzelhändlern ausschließlich darauf, die Standards der Kreditkartenindustrie einzuhalten, die im Regelwerk des Zahlungsverkehrs enthalten sind, den Payment Card Industry Data Security Standards – PCI DSS. Ob PCI DSS Compliance wirklich hergestellt und dauerhaft eingehalten wurde, hing von der Fähigkeit der Sicherheitsteams ab, sämtliche Netzwerkgeräte zu erkennen und zu erfassen – über die moderne vernetzte und geografisch verteilte IT-Landschaft hinweg.
PCI-Compliance-Anforderungen erfüllen
Addiert man alle Systeme, bei denen in einem Einkaufszentrum mit durchschnittlicher Größe Kreditkartentransaktionen durchgeführt und Kundendaten genutzt werden – in allen Abteilungen inklusive den Kassen für Kundenservice, Bäckereien, Feinkostläden und Apotheken – kommen schnell 40 Point-of-Sale (POS)-Systeme zusammen, die gesichert werden müssen. Rechnet man diese Menge auf mehrere Standorte hoch, entstehen Netzwerke mit hunderten, vielleicht tausenden Geräten, die sich über Länder- und internationale Grenzen hinweg erstrecken.
Die zentrale Aufgabe der Einzelhändler besteht darin, jeden Endpunkt der Netzwerke zu erreichen und kontaktieren zu können, während gleichzeitig die PCI-Compliance-Anforderungen für jedes einzelne Gerät erfüllt werden müssen: Secure Builds, Patch-Management, Antivirus- und Anti-Malware-Schutz, Konfigurationsmanagement, das Erfassen von Veränderungen, Logging und Monitoring sowie insbesondere das Schwachstellenmanagement.
Security-Unternehmen investieren in moderne, optimierte Sicherheitstools, um POS-Attacken zu erkennen, zu verhindern und zu beheben. Dabei ist die zentrale Aufgabe, Anomalien bei den Vorgängen rund um Kreditkarten- und anderen Kundendaten zu erkennen und damit das Netzwerk sicher halten zu können. Dies erfordert keine vollkommen neue Technologie. Der Einzelhandel muss sich darüber klar werden, dass POS-Systeme genauso wie herkömmliche Rechner geschützt werden müssen. Dazu gehören das Installieren von Software zum Schutz der Host-Rechner und das Überwachen des Netzwerk-Traffics auf ungewöhnliche Vorgänge hin. Nur so können Einzelhändler identifizieren, was auf ihren Systemen vor sich geht, um ihren Kunden und deren sensiblen Daten ein möglichst hohes Grad an Sicherheit zu bieten.
Fotos (2): Tenable
Weitere Informationen: www.tenable.com