Mit dem Beginn des stressreichen Weihnachtsgeschäfts legen viele Einzelhandelsunternehmen Updates und Konfigurationsänderungen in ihren Zahlungs- und Auftragsabwicklungssystemen vorübergehend auf Eis. Damit wollen sie das Risiko einer möglichen Unterbrechung oder Verlangsamung von unternehmenskritischen Systemen begrenzen. IT-Teams und Sicherheitsverantwortliche testen vorher die Systeme, überprüfen die Konfigurationen und können dann nur hoffen, dass die Systeme während des Shopping-Ansturms wie geplant zuverlässig funktionieren.
Dazu erklärt Trey Ford, Global Security Strategist bei Rapid7: »Dies schafft eine aus der Sicherheitsperspektive besonders interessante Situation: Mit Start der Adventszeit sind für die nächsten Wochen nur sehr wenige Updates vorgesehen. Sämtliche Maßnahmen zur Vermeidung von Zwischenfällen und zum Schutz vor Angriffen durch Kriminelle befinden sich jetzt in der Warteschleife – bis nach der Urlaubszeit.
Um sich dennoch vor Angriffen zu schützen, gilt es den Sicherheitszyklus von Prävention, Erkennung und Behebung zu betrachten – was auch hilft, das NIST-Cyber Security Framework zu vereinfachen. Vom jetzigen Zeitpunkt an sollte sich das Engagement von der Prävention hin zur Erkennung und Behebung von Zwischenfällen verlagern.
Angreifer, die bereits in ein Unternehmensnetz eingedrungen sind, werden sich zunächst ruhig verhalten, bis die Zeit reif ist. In den nächsten paar Wochen wird es nämlich insgesamt mehr Kreditkartentransaktionen geben als in den darauffolgenden sechs Monaten.«
Wie sich Unternehmen für die kommenden Tage vorbereiten können:
- Überprüfen Sie den Netzzugang für Dritte und Fernzugriffspfade zu Zahlungsnetzwerken. Ändern Sie Passwörter und sperren Sie alle Anbieter, die gerade jetzt keinen Zugang brauchen.
- Stellen Sie zu 100 Prozent sicher, dass Zahlungsnetzwerke in keinster Weise Zugriff auf das Internet haben – egal über welches Protokoll. Einige Systeme führen die Zahlungsabwicklung und Abrechnung online durch. Stellen Sie sicher, dass diese Systeme nur mit vorgegebenen Host-Namen oder -Adressen über definierte Ports kommunizieren können.
- Prüfen Sie doppelt und dreifach Netzwerkbeschränkungen und die Netzwerksegmentierung. Stellen Sie sicher, dass Gäste und Auftragnehmer nicht einen Weg in die Zahlungsnetzwerke finden können.
- Einige Unternehmen haben genug Ähnlichkeiten in ihren Systemen (wie Point-of-Sale-Register und Kioske) und können Live-Systeme mit »bekannt guten« Konfigurationen vergleichen – und auf Anomalien hin überprüfen.
- Beobachten Sie sorgfältig das Nutzeraccount-Verhalten. Überprüfen und untersuchen Sie sofort untypische Verhaltensmuster und Login-Ereignisse von unerwarteten Standorten, vor allem in bereinigten Zonen wie Zahlungsnetzwerken, Internet- und Datenbanksystemen.
- Verbessern Sie Ihre Einsicht durch Informationsaustausch. Es gibt Gruppen wie R-CISC, innerhalb derer Einzelhändler Informationen sicher austauschen. Angriffs-Tools und -Techniken werden dort aktiv identifiziert und es stehen Tipps bereit, wie sich diese erkennen lassen, wenn sie in der eigenen Umgebung bereits Fuß gefasst haben.