Wenn Händler von einem Cyberangriff getroffen werden, gehen zwar nicht gleich buchstäblich sämtliche Lichter aus, aber das Geschäft kommt schlagartig zum Erliegen. Lebensmitteleinzelhändler, Mediamärkte, Getränkegroßhändler und Online-Versender – es hat schon viele erwischt. Sie mussten ihre IT-Systeme herunterfahren und auf „Handbetrieb“ umstellen – oft eine Woche und länger. Wenn die Telefone noch funktionierten: Glück gehabt. Dann konnten stationäre Händler die Bestellungen der Filialen immerhin mündlich annehmen, notieren und ans Lager zur Auslieferung weiterreichen oder faxen.
Wenn hier die IT, die die Disposition steuert, noch lief: zum zweiten Mal Glück gehabt. Im Onlinehandel jedoch mit seinen durchweg digitalen Kommunikationswegen zur Kundschaft und zum Fulfillment läuft ohne IT erst einmal so gut wie nichts mehr. Sind zentrale Systeme wie das ERP (Warenwirtschaft) oder die Lagerverwaltung beziehungsweise der Warenflussrechner betroffen, die für das Picken und Packen der Bestellungen wesentlich sind, ist keine Auslieferung mehr möglich, was im Ernstfall den Verlust bereits geschriebener Aufträge bedeutet.
„Die Cybersicherheit hat für unsere Mitgliedsunternehmen einen überragend hohen Stellenwert – im eigenen Interesse und im Interesse unserer Kundinnen und Kunden“, sagt Martin Groß-Albenhausen, stv. Hauptgeschäftsführer beim Bundesverband E-Commerce und Versandhandel Deutschland (bevh). Im Gegensatz zu anderen Handelsformen sei in dieser Branche ein Stillstand der Software der „Lockdown“, also gleichbedeutend mit dem Stillstand der Verkäufe mindestens über den eigenen Onlineshop.
Allenfalls könne man noch über Plattformen Dritter (Online-Marktplätze) Umsatz erzielen. Auch für Mark Michaelis, Geschäftsführer der Markant Services International (MSI), ist das Thema hochbrisant: „Cybersicherheit ist bei uns höher priorisiert als alle anderen Betriebsthemen, Aktivitäten oder Projekte.“
Tatort Deutschland
Forge Rock erinnert in seinem „Consumer Identity Breach Report 2022“ daran, dass eine der schwersten Datenschutzverletzungen im Online-Einzelhandel im Jahr 2021 hier in Deutschland stattfand: „Die Online-Marktplätze mehrerer großer Einzelhändler – Otto, Kaufland (ehemals Real), Media Markt, Check 24, Tyre 24, Idealo, Hood und Crowdfox – hatten drei Jahre lang eine unentdeckte Sicherheitslücke, aufgrund der die dort hinterlegten Daten fast komplett ungeschützt waren.“ Mehr als 700.000 Nutzer bundesweit waren betroffen.
Pandemie als Verstärker
Die Sorgen des Handels sind berechtigt. In einer Umfrage der KPMG gaben 39 Prozent der befragten Unternehmen an, seit 2019 von Computerkriminalität betroffen gewesen zu sein. Das mit Abstand häufigste Ziel der Täter sind die Mailserver der Unternehmen (67 Prozent). Betroffene Handelsunternehmen, auch das bestätigt die Umfrage, „mussten zum Teil ganze Geschäftsprozesse herunterfahren“.
Mit der Zunahme des Onlinehandels während der Pandemie sind Einzelhandels-Websites im Jahr 2021 zu noch attraktiveren Zielen für Cyberkriminelle geworden. Das zeigt der „Consumer Identity Breach Report 2022“ von Forge Rock, der weltweite Daten aus zahlreichen branchenrelevanten Quellen ausgewertet hat. Demnach war der Einzelhandelssektor 2021 von 24 Prozent aller erfolgreichen Angriffe durch Dritte betroffen. Und: Die Anzahl der erfolgreichen Angriffe im Retail steigt signifikant. Führten 2019 nur zwei Prozent aller Angriffe zum Erfolg, waren es 2020 bereits 16 Prozent und 2021 besagte 24 Prozent. Ziele waren am häufigsten Kreditkarten-, Zahlungs- und andere Kundendaten.
Branchenübergreifend wurden bei rd. 60 Prozent aller erfassten Angriffe Sozialversicherungsnummern, Geburtsdaten oder auch beides entwendet. Außerdem zeigt der Report, dass für Einzelhandelsunternehmen die durchschnittlichen Kosten pro Datenschutzverletzung um 63 Prozent gestiegen sind, auf 3,27 Mio. US-Dollar im Jahr 2021. „Und das“, so betonen die Autoren, „obwohl 99 Prozent aller Datenschutzverletzungen im Einzelhandel auf Angriffe von Dritten zurückzuführen sind.“
In unserer Branche ist ein Stillstand der Software der ‚Lockdown’, also gleichbedeutend mit dem Stillstand der Verkäufe mindestens über den eigenen Onlineshop, sodass man nur noch über Plattformen Dritter Umsatz erzielen kann.
Martin Groß-AlbenhausenNicht zu nahtlos werden
Immer mehr Angriffsfläche für Hacker bieten aus Sicht von Forge Rock die ständig erweiterten Tools der Onlinehändler für eine nahtlose Vernetzung der Angebote. „Dabei bleiben oft wichtige Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung auf der Strecke oder wurden zumindest vernachlässigt.“ Passwortlose Authentifizierung durch mobile Authentifizierungsmaßnahmen, FIDO2- Sicherheitsschlüssel und Fingerabdruckscanner oder Kameras seien die Mittel der Wahl, um die Nutzbarkeit von bereits entwendeten Passwörtern zu reduzieren. Nach Beobachtung von Mark Michaelis geht die größte Gefahr nach wir vor von Verschlüsselungsszenarien mit darauffolgender Erpressungssituation aus.
„Die Angreifer verfügen mittlerweile über hochprofessionelle Organisationen, welche vergleichbar einer Wertschöpfungskette zusammenspielen“, berichtet der Security-Fachmann. Die miteinander vernetzten Gangs würden sogar eigene Support Hotlines unterhalten. Grundsätzlich hätten auch Homeoffice- Strukturen, die Mobile Office nutzen, die Gefährdungslage erhöht. Denn während innerhalb des Unternehmensnetzwerks verschiedenste Sicherheitsmechanismen greifen, sind ebendiese im Mobile Office nicht vorhanden.
Für Michaelis ist die Sensibilisierung aller Mitarbeitenden deshalb ein entscheidender Sicherheitsschlüssel: „Sowohl im Mobile Office als auch im Büro kommt es auf jeden einzelnen an, um eine Cyberattacke zu verhindern. Der richtige Umgang mit Phishing-Mails, versendeten Links und dem Öffnen von Dateianhängen ist essenziell.“ Zum Aufbau der „Human Firewall“ seien daher immer wieder Awareness-Schulungen und die Verantwortung jedes Einzelnen für das Thema Cybersicherheit Grundvoraussetzung.
Mit dem Leistungsportfolio Cybersecurity bietet die Markant Händlern und Lieferanten einen digitalen Krisenraum, welcher nach einer erfolgreichen Cyberattacke genutzt werden kann, um schnell wieder die Kommunikation und den Wiederanlauf aufzunehmen.
Mark MichaelisMitarbeitende mitnehmen
Um die eigenen Prozesse, aber auch die Daten von Kund:innen und Lieferanten zu schützen, rät Michaelis zu einem koordinierten Vorgehen. Im ersten Schritt gehe es darum, die IT-Landschaft kontinuierlich auf Sicherheitslücken zu prüfen. Allerdings sei das bei der Vielzahl an Systemen und Softwareprodukten sowie der Schnelllebigkeit aufwendig. Der zweite Schritt ist der zielgerichtete Einsatz von „State of the Art“-Sicherheitstechnik, die die Hürde für einen Angriff höher legt.
Ein Back-up der IT-Landschaft und Vorbereitungen für den Wiederanlauf sind dann Maßnahmen, die auf den Zeitraum nach einer erfolgreichen Cyberattacke abzielen. Die Markant hat ein Leistungsportfolio Cybersecurity aufgestellt, das konkreten Support anbietet und zügig ausgebaut wird. So gibt es einen digitalen Krisenraum, den sowohl Händler als auch Lieferanten nach einer erfolgreichen Cyberattacke nutzen können, um schnell wieder die Kommunikation und den Wiederanlauf aufzunehmen. Weiterhin bietet Markant mit dem Paket „Smart & Easy“ eine Cyberversicherung und vorgefertigte E-Learnings, die Unternehmen direkt zur Schulung der eigenen Mitarbeitenden einsetzen können.
„Diese Maßnahmen werden auch von Cyberversicherungen vor einem Angebot einer Versicherung abgefragt“, unterstreicht Michaelis den praktischen Nutzwert. Auch der bevh unterstützt seine Mitglieder mit mannigfacher Expertise. So betont Martin Groß-Albenhausen, dass die Schulung der Beschäftigten in Sachen IT-Sicherheit eine zentrale Rolle spielt, nicht zuletzt im Kampf gegen Phishing-Mails. Weitere Empfehlungen: Remote Work, bei dem von außen auf internen Systemen gearbeitet wird, sollte grundsätzlich nur über ein VPN erfolgen.
Idealerweise richtet die IT-Abteilung den Arbeitsplatz ein, um auch strenge Sicherheitsmaßnahmen wie eine Vorab-Prüfung jeglicher Anhänge einer Mail zu gewährleisten. Auch die Sicherheit und Verschlüsselung des WLAN der Mitarbeitenden sollte „zwingend geprüft werden“. Generell sei eine Vermischung privater und dienstlicher Vorgänge auf Geräten zu vermeiden, die auf die Firmen-Systeme zugreifen, betont der Verband. Das geschehe am besten durch Notebooks, PCs oder Mobile Devices, die von der Firma ausschließlich für die interne Nutzung zur Verfügung gestellt werden.
„Aber was immer man an technischer Sicherheit unternimmt: Die Mitarbeiter müssen diese Geräte und Installationen möglichst unter Verschluss halten“, so der dringende Appell von Groß-Albenhausen. Außerhalb der Firma gelinge das allein schon durch Displayfolien und Bildschirmsperren, die Inhalte vor „Einblicken“ schützen. Die wichtigste Devise für ein Handelsunternehmen ist laut Groß-Albenhausen jedoch diese: „Niemals sagen, darauf kann ich mich beschränken.“