Cyber-Sicherheitsbedrohungen geben Einzelhandelsunternehmen zunehmend Anlass zur Sorge, da sie zunehmend Self-Checkouts über Apple, Google Pay oder andere Zahlungsplattformen einführen. Seit 2005 haben Einzelhändler über 000, Datenschutzverletzungen hinweggesehen, hauptsächlich aufgrund von Fehlern und Schwachstellen in Zahlungssystemen.
Point-of-Sale (POS)-Systeme verwenden oft eine Fülle von externer Hardware, Software und Cloud-basierten Komponenten.
„Zumindest Einzelhändler müssen sicherstellen, dass ihr Vertragspartner sie einhält und dieselben Sicherheitsanforderungen einhält, die das Unternehmen selbst hat. Es gibt zahlreiche Möglichkeiten für einen Cyberkriminellen, das System auszunutzen, sei es an der Quelle des Anbieters, der die Lösung bereitstellt, oder wenn die Technologie vor Ort eingesetzt wird. Das Ausnutzen einer Schwachstelle in der auf POS-Geräten verwendeten Software (oder sogar in den Back-End-Cloud-Diensten) könnte es einem Cyberkriminellen ermöglichen, Malware auf dem POS-Gerät einzusetzen. Dies würde es ihnen außerdem ermöglichen, Finanzdaten zu sammeln, Malware-Angriffe wie Ransomware auszuführen oder das Gerät zu verwenden, um eine Verbindung zu anderen internen Systemen herzustellen“, sagte Chief Security Evangelist Tony Anscombe von ESET.
Cyber -Angriffe können hohe Bußgelder, Strafen, Datenverluste, finanzielle Verluste und Reputationsschäden nach sich ziehen.
Es gibt auch Sicherheitsbedrohungen, denen Benutzer bei der Verwendung von IoT-Geräten im Einzelhandel ausgesetzt sind. Über 84 Prozent der Organisationen verwenden IoT-Geräte. Allerdings haben weniger als 50 % solide Sicherheitsmaßnahmen gegen Cyberangriffe ergriffen. Beispielsweise verwenden die meisten Unternehmen über lange Zeit dieselben Passwörter, was Brute-Force-Angriffe verstärkt und es Hackern ermöglicht, Daten zu stehlen und zu manipulieren.
IoT-Geräte können verwendet werden, um Kundenbewegungen und Kaufhistorien zu verfolgen , und Hacker könnten möglicherweise Zugriff auf diese Daten erhalten. Darüber hinaus könnten Kunden bei der Nutzung von Zahlungsplattformen wie Apple Pay dem Risiko ausgesetzt sein, betrogen zu werden. Diese Betrügereien können viele Formen annehmen, wie z. B. gefälschte Apps, die persönliche Informationen stehlen, oder Websites, die Kunden dazu verleiten, ihre Kreditkartendaten einzugeben.
„Die Einführung dieser neuen Zahlungsmechanismen signalisiert den Beginn eines neuen Technologieeinführungszyklus. Aus Sicherheitssicht sind die Dinge in der Regel am anfälligsten. Darüber hinaus gelten vernetzte Geräte, die diese Transformation vorantreiben, bereits als das schwächste Glied in anderen viel ausgereifteren Bereitstellungsszenarien. Ich glaube, dass wir im Einzelhandel, genau wie in anderen Branchen, sehen werden, wie diese Geräte ausgenutzt werden, um eine dauerhafte Netzwerkpräsenz zu erlangen, sensible Daten offenzulegen, digitale Betrügereien durchzuführen und vieles mehr. Und selbst wenn die neuen Geräte selbst extrem sicher sind – und das ist ein großes IF – werden sie immer noch in eine Umgebung eingeführt, die bis zum Rand mit Legacy-IoT gefüllt ist, das verwendet werden kann, um ihre eigenen Abwehrmechanismen zu umgehen. Wenn wir die Dinge aus der Perspektive der schlechten Akteure betrachten, haben wir hier eine massive Erweiterung der Angriffsfläche – eine, die viele neue hochwertige „Möglichkeiten“ zu einer bereits zielreichen Umgebung hinzufügt“, sagte Natali Tshuva, the CEO und Mitbegründer von Sternum, einem codefreien, geräteresidenten IoT-Sicherheits-, Beobachtungs- und Analyseunternehmen.
Jedes IoT-Gerät hat seine eigene Software-Lieferkette im Inneren. Das liegt daran, dass der Code, der das Gerät ausführt, eigentlich eine Kombination aus mehreren Closed- und Open-Source-Projekten ist. Daher ist eine der unmittelbarsten Bedrohungen die Offenlegung sensibler oder sogar persönlicher Daten von Kunden durch Cyber-Betrug „Dies unterscheidet sich von anderen digitalen Betrügereien wie Phishing und anderen Arten von Social Engineering“, sagte Tshuva.
„Hier hat das Ziel keine Möglichkeit, den Angriff durch Wachsamkeit oder auch nur Verdacht zu verhindern dass etwas passiert – erst recht nicht, wenn es zu spät ist.“
„Wir umgeben uns mit w Mit vernetzten Geräten, aber sie sind für uns „Black Boxes“, und wir wissen nie wirklich – oder haben Möglichkeiten zu wissen – was wirklich im Inneren vor sich geht.“
Laut Tshuva sind die meisten IoT-Geräte bereits heute laufen auf Code von mehreren (vielleicht ein paar Dutzend) verschiedenen Softwareanbietern, von denen Sie teilweise noch nie gehört haben. Normalerweise sind diese Komponenten von Drittanbietern für die Verschlüsselung, Konnektivität und andere sensible Funktionen zuständig. Und sogar das Betriebssystem könnte eine Mischung aus mehreren verschiedenen zusammengebackenen Betriebssystemen sein.“
„Dies stellt eine der größten Herausforderungen der IoT-Sicherheit dar, die wiederum auf die Idee zurückgeht, den Angriff auszuweiten auftauchen. Denn mit jedem Gerät, das Sie in das System einführen, fügen Sie tatsächlich eine Codemischung von mehreren Softwareanbietern hinzu, von denen jeder seine eigenen Schwachstellen hat, die Sie in den Mix einbringen können“, schloss Tshuva.
Einzelhändler müssen eine Reihe von Maßnahmen ergreifen, um sich und ihre Kunden vor Cyber-Sicherheitsbedrohungen zu schützen. Sie sollten sicherstellen, dass ihre Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand sind, und sie sollten auch über einen umfassenden Sicherheitsplan verfügen. Mitarbeiter sollten darin geschult werden, Sicherheitsbedrohungen zu erkennen und darauf zu reagieren, und Kunden sollten auf die Risiken der Verwendung von IoT-Geräten im Einzelhandel aufmerksam gemacht werden.
„Da Einzelhändler IoT zur Standortüberwachung ihrer Kunden einführen , bauen sie umfangreiche Datensätze über die Bewegungen und Kaufgewohnheiten der Verbraucher auf. Diese Aufzeichnungen erzeugen eine Datenspur, die sehr sorgfältig geschützt werden muss, da Kaufinformationen in Verbindung mit Bewegungen äußerst private Gewohnheiten offenbaren können. Wir haben eine Vielzahl von gezielten Angriffen auf Einzelhändler am Point of Purchase erlebt, und wenn dies mit dem Weg gekoppelt werden kann, den Kunden durch ein Geschäft, ein Einkaufszentrum oder sogar über Städte und Kontinente hinweg gehen, werden die Verbraucher starke Ansprüche auf Schadensersatz geltend machen können Einzelhandelsketten“, sagte Sean O’Brien, Gründer des Yale Privacy Lab.
Um die Bedrohungen zu verstehen, müssen Organisationen verstehen, dass die Einführung digitaler Lösungen durch Einzelhandelsunternehmen die Einführung softwareabhängiger Lösungen und die Erhöhung der Angriffsfläche für Cyberkriminelle.
„Was früher eine mechanische Registrierkasse war, ist heute eine „intelligente“ Verkaufsstelle, die Zahlungsinformationen von Kunden verarbeitet und sammelt, was sie zu einem begehrten Ziel macht. Diese Systeme sind häufig mit einer größeren E-Commerce-Lösung wie Online-Shops/Abrechnung/Inventar usw. verbunden, was sie zu einem Einstiegspunkt für wichtigere Systeme machen könnte. Aufgrund ihrer Abhängigkeit von intelligenten Lösungen sind Einzelhandelsunternehmen auch anfällig für Ransomware- und Denial-of-Service-Angriffe, die ihre Fähigkeit zur Durchführung von Transaktionen blockieren. Außerdem können die PoS-Geräte als kleine Computer für große Botnet-Angriffe verwendet werden“, sagte Maty Siman, CTO und Gründer von Checkmarx.
E-Commerce-Unternehmen nutzen viele verschiedene Anbieter für ihre Prozesse. Von Hardware und Software bis hin zu Betriebs- und Finanzdienstleistungen verwenden alle Anbieter mehr Software und Komponenten von Drittanbietern, die wiederum auch von Komponenten von Drittanbietern abhängig sind.
„Wenn ein böswilliger Akteur unterwegs eine „Hintertür“ zu irgendeiner Komponente ausnutzen oder einführen kann, erhält er im Wesentlichen Zugang zu den endgültigen Lösungen, die später in Einzelhandelsunternehmen zu finden sind. Wenn heutzutage alles auf Software angewiesen ist, verschärft die Abhängigkeit von Open-Source-Software diese Probleme“, sagte Siman.
Laut Siman ist die Schulung der Mitarbeiter in Bezug auf bewährte Sicherheitspraktiken von entscheidender Bedeutung. „Daten müssen regelmäßig gesichert werden, und Einzelhändler sollten starke Passwörter und MFA verwenden. Das für Transaktionen verwendete Netzwerk muss von anderen Netzwerken isoliert werden, und die Geräte und ihre Software müssen regelmäßig aktualisiert und gepatcht werden.“
Menschen sind nach wie vor die größte Bedrohung, sagt Sean Tufts, IoT/OT-Sicherheitsleiter bei Optiv. „Weniger Mitarbeiter oder persönliche Interaktion am Point-of-Sale und/oder an der Kasse führt zu mehr physischem Diebstahl, aber es macht diese Einzelhändler auch anfälliger für Manipulationen durch versierte Bedrohungsakteure, die versuchen, einen Laden auszunutzen vertrauen. Je mehr diese Maschinen unbeaufsichtigt bleiben, desto mehr Schnittstellen können und werden manipuliert, zB Skimmer installiert und auf Ports zugegriffen.“