Illustration: Absmeier Pixabay

Es ist erstaunlich, wie einfach zugänglich der Einzelhandel heute ist, auch wenn Verbraucher gerade eigentlich nicht nach einem bestimmten Produkt suchen. Man braucht nur wie Mary Poppins in die Tasche zu greifen und auf »Jetzt kaufen« zu klicken, um so ziemlich alles online zu bekommen. Diese Einfachheit ist unbestreitbar, aber es gibt auch eine andere, dunkle Seite. Wenn Verbraucher ihre Namen, Adressen, Telefonnummern, E-Mails und Kreditkartendaten eingeben, also personenbezogene Daten, wer sorgt dann dafür, dass diese Daten sicher sind und nicht in die falschen Hände geraten? Der Einzelhändler? Der Verbraucher? Der Sicherheitsanbieter, der gewährleisten muss, dass sensible Daten nicht von einer Datenpanne betroffen sind?

Andreas Riepen, Head Eastern & Central Europe bei Vectra AI, geht der Frage nach:

»Die kurze Antwort lautet: alle, die beteiligt sind. Cybersicherheitsexperten sind sich der Möglichkeit einer Datenschutzverletzung im Einzelhandel und des Diebstahls von Daten durchaus bewusst. Die Verantwortung, die Einzelhandels- und E-Commerce-Marken für den Schutz von Verbraucherdaten haben, wurde mit der Einführung der DSGVO in Europa und dem California Consumer Privacy Act (CCPA) unter die Lupe genommen. Wenn aber bekannt wird, dass eine weitere Sicherheitspanne im Einzelhandel aufgetreten ist, sind die Kundendaten oft schon lange weg und es bleiben viele Fragen offen – für die Einzelhändler und Sicherheitsanbieter.

Was kommt auf die Sicherheitsteams zu, die dem Einzelhandel vor Cyberangriffen schützen sollen?

Es ist leicht, mit dem Finger auf andere zu zeigen, wenn etwas schiefläuft, aber bei einer Sicherheitsverletzung geht es oft weniger um die Frage, wer verantwortlich ist, sondern vielmehr darum, was getan werden kann, damit so etwas in Zukunft nicht mehr vorkommt. Was genau hat dabei die Hybrid-Cloud mit der Zukunft der Cybersicherheit im Einzelhandel zu tun? Nun, es ist die Welt, in der wir leben und in der die Sicherheitsteams jetzt gefordert sind, sie zu verteidigen.

Gartner definiert die Hybrid-Cloud hierbei als »richtlinienbasierte und koordinierte Servicebereitstellung, -nutzung und -verwaltung über eine Mischung aus internen und externen Cloud-Services«. Dies läuft darauf hinaus, dass Einzelhändler (oder tatsächlich jedes Unternehmen) heute in Umgebungen arbeiten, in denen Public Cloud, SaaS, Identität, Netzwerk, Endpunkte und alles dazwischen miteinander verbunden sind und zusammenarbeiten – das Netzwerk ist überall. Es ist bequem, schnell, effizient, immer verfügbar und einer der Hauptgründe für die Vergrößerung der Angriffsfläche – oder ein größerer Spielplatz für Cyberangreifer, auf dem sie ihre neuesten Tricks vorführen können. Gartner hat die »Vergrößerung der Angriffsfläche« als den wichtigsten Trend im Bereich der Cybersicherheit in diesem Jahr bezeichnet und festgestellt, dass »Unternehmen dadurch anfälliger für Angriffe werden«.

Unternehmen sind nicht nur aufgrund der erweiterten Angriffsfläche verwundbarer. Kevin Kennedy, SVP of Products bei Vectra, weist darauf hin, dass Sicherheitsteams jetzt in einer »Spirale des Mehr« arbeiten.

• Mehr Angriffsfläche bedeutet mehr Tools, was wiederum mehr Komplexität bedeutet.
• Mehr ausweichende Angreifer bedeuten mehr Regeln, was wiederum mehr Warnmeldungen und mehr Einstellungen bedeutet.
• Mehr Warnregeln, die abgestimmt und gepflegt werden müssen, bedeuten mehr Analysten, mehr Arbeit und mehr Burnout.

Sicherheitsteams, die jetzt mit »mehr« Aufgaben betraut sind, müssen Bedrohungen abwehren, von denen sie nicht wissen, dass sie in ihren Netzwerken existieren. Unbekannte Bedrohungen, die durch das »Mehr« verursacht werden, mit dem sie jeden Tag im SOC konfrontiert werden. Ist die unbekannte Bedrohung das größte Cybersicherheitsrisiko, dem Unternehmen heute ausgesetzt sind? Wir glauben ja.

Was bedeuten diese Unbekannten für Einzelhandelsunternehmen (oder jedes andere Unternehmen)? Nun, wie Kevin betont, »gibt es bei unbekannten Bedrohungen, egal, ob Cloud-basiert, Kontoübernahmen oder Angriffe auf die Lieferkette, einfach mehr Möglichkeiten, in ein Unternehmen einzudringen und sich seitlich zu bewegen.« Während Cyberangreifer also Pläne schmieden, um wertvolle Kundendaten zu entwenden, haben sie jetzt mehr Möglichkeiten, in das Unternehmen einzudringen und sich zu verstecken, wenn sie erst einmal drin sind. Dies wiederum bedeutet mehr Arbeit und Herausforderungen für Sicherheitsteams.

Welche Gegenmaßnahmen können Sicherheitsteams im Einzelhandel ergreifen?

Zwei häufig zitierte Ressourcen im Zusammenhang mit Vectra sind MITRE ATT&CK und MITRE D3FEND, die Sicherheitsexperten dabei helfen können, zu verstehen, wie Angreifer während eines Angriffs vorgehen (ATT&CK), und welche Gegenmaßnahmen (D3FEND) zur Bekämpfung von Angriffstechniken eingesetzt werden können. So werden beispielsweise Vectra-Erkennungen in den Bereichen Public Cloud, SaaS, Identität und Netzwerke MITRE ATT&CK zugeordnet, damit Sicherheitsteams die Ergebnisse von Untersuchungen diskutieren und präsentieren können. MITRE scheint eine sinnvolle Ressource für Sicherheitsexperten zu sein, aber wie können Anbieter Einzelhändler dabei unterstützen, dem nächsten Angriff einen Schritt voraus zu sein?

Da die weltweite Lücke im Bereich der Cybersicherheit derzeit bei alarmierenden 3,4 Millionen fehlenden Fachkräften liegt, gibt es eine offensichtliche Einschränkung bei den verfügbaren Sicherheitsressourcen, insbesondere in der Ära der Hybrid-Cloud. Eine Qualifikationslücke bedeutet, dass mehr Arbeit mit weniger Leuten erledigt werden muss. Vielleicht kann die Sicherheitsbranche hier helfen? Einer der Katalysatoren für Unbekanntes ist nach wie vor die Menge an Arbeit, mit der Sicherheitsteams konfrontiert sind. Ein großer Teil davon besteht darin, dass sie ständig Sicherheitswarnungen anpassen müssen, um Fehlalarme zu entschärfen, die nichts Anderes tun, als mehr Arbeit zu verursachen. Muss das so sein?

Vieles hängt davon ab, wie Analysten die verschiedenen Sicherheitsaufgaben bewältigen können und ob sie selbst über die nötigen Ressourcen verfügen oder ob sie für einen Teil der Arbeit erweiterte Ressourcen benötigen. Einzelhändler nutzen MDR (Managed Detection and Response) aus unterschiedlichen Gründen, je nach Art ihrer Umgebung, um Herausforderungen wie Fachkräftemangel, Analysten-Burnout, Verfolgung und Ermittlung oder die Optimierung der Vectra-Plattform zu bewältigen. Dies ermöglicht es den Kunden letztendlich, die Verantwortung mit Vectra zu teilen.

Ein »Global 2000«-Unternehmen war aufgrund verschiedener Cloud-Komplexitäten – insbesondere bezüglich Microsoft 365 – mit wachsenden Herausforderungen bei der Bedrohungsübersicht konfrontiert. In diesem Fall setzte das Unternehmen die eine Plattform ein, die KI-gestützte Attack Signal Intelligence nutzt, um dringliche Bedrohungen zu bewältigen. Angesichts eines kleinen Sicherheitsteams entschied man sich für Vectra MDR, um sicherzustellen, dass die Ressourcen für eine 24/7/365-Bedrohungsabdeckung vorhanden sind.

Haben es die Sicherheitsteams im Einzelhandel schwerer als die in anderen Branchen? Es sieht so aus, als gäbe es eine Menge zu bewältigen, wenn alles intern erledigt wird. 80 Prozent (263 Millionen Menschen) der US-Bevölkerung kaufen online ein und die Verbraucher sind sehr anspruchsvoll.

Die Herausforderungen für die Sicherheitsteams im Einzelhandel werden nicht weniger, insbesondere in der Cloud. Der »Cost of Data Breach 2022 Report« von IBM besagt, dass fast die Hälfte (45 Prozent) aller Datenschutzverletzungen in der Cloud stattfinden. Derselbe Bericht führt an, dass KI und Automatisierung die größten Kosteneinsparungen bieten: »Unternehmen, die über ein vollständig implementiertes KI- und Automatisierungsprogramm verfügten, waren in der Lage, eine Datenschutzverletzung 28 Tage schneller zu erkennen und einzudämmen als Unternehmen, die dies nicht taten.«

Wir befinden uns nicht nur auf dem Weg in eine Ära, in der menschliche und künstliche Intelligenz zusammenarbeiten können, um große Herausforderungen zu meistern, sondern wir sind bereits am Ziel. Die gute Nachricht für Sicherheitsteams im Einzelhandel: Wenn Angreifer es auf Cloud-Daten oder SaaS-Umgebungen abgesehen haben, haben sie jetzt die Möglichkeit, davon zu erfahren.«