3 Möglichkeiten zum Umgang mit POS-Sicherheitsrisiken in der Einzelhandels-IT

Oktober 31, 2019
John Emmitt
Einzelhandel

Angesichts der zunehmenden Häufigkeit von Cyberangriffen legen Unternehmen heute großen Wert auf Sicherheit. Der Einzelhandel bildet dabei keine Ausnahme.

Zu den bekanntesten Sicherheitsverletzungen im Einzelhandel gehört, dass 2013 bei Target die Daten von 40 Millionen Kunden gestohlen wurden. Bei demselben Angriff wurden weitere 70 Millionen Daten kompromittiert.

Im Jahr 2018 haben die Kaufhausketten: Saks Fifth Avenue und Lord & Taylor gerieten in die Negativschlagzeilen, weil die Daten von 5 Millionen Zahlungskarten von Kunden offengelegt wurden. Die Online-Kunden eines anderen beliebten Einzelhändlers, Macy's, wurden Opfer einer Datenpanne, die fast zwei Monate andauerte, und infolgedessen sah sich der Einzelhändler einer Sammelklage seiner Kunden gegenüber. 

Ebenfalls im Jahr 2018 wurde British Airways von einer Datenpanne getroffen, von der rund 380.000 Kunden betroffen waren, die die Website und die mobile App des Unternehmens nutzten. Einem Artikel auf activereach.net zufolge wurden "die Zahlungskartendaten der Kunden verletzt, aber die kompromittierten Daten enthielten keine Reise- oder Passdaten".

In diesem Blogbeitrag werden wir einige Möglichkeiten diskutieren, wie wir mit den Sicherheitsrisiken umgehen können, die mit einem der größten Risikobereiche im Einzelhandel verbunden sind: den POS-Geräten (Point of Sale). 

Einzelhandelsgeschäfte können zwar ohne POS-Geräte (Point of Sale) nicht funktionieren, doch diese Geräte bergen große Sicherheitsrisiken, da sie ständig mit dem Internet verbunden sind, nicht immer den IT-Sicherheitsstandards entsprechen und von mehreren users Terminal-Updates genutzt werden. 

Im Folgenden finden Sie drei Möglichkeiten, wie Einzelhandelsunternehmen ihre POS-Geräte sichern und Datenschutzverletzungen im Zusammenhang mit sensiblen Kreditkarteninformationen abwehren können. 

1. Verschärfung der Software- und Sicherheitsrichtlinien zur Vermeidung von POS-Malware-Angriffen 

POS-Malware wurde speziell für POS-Terminals entwickelt und dient dem Diebstahl von Kundenkartendaten bei Transaktionen im Einzelhandel.  

Wenn ein Verkauf stattfindet, werden die Zahlungskartendaten in der Regel vom Händler auf einem System gespeichert, wenn er die Karte belastet. Diese Daten werden auf dem System, das den Endpunkt darstellt, verschlüsselt. Es gibt jedoch einen Bruchteil einer Sekunde, in dem die Zahlung verarbeitet wird und die Daten noch nicht verschlüsselt sind, wenn Hacker angreifen und die Daten stehlen. 

Dieser Angriff wird durch das Einschleusen von Malware auf den Endpunkt ermöglicht. Einzelhandelsunternehmen können mit veralteten Systemen übersät sein, die schwer zu patchen sind und daher ein leichtes Ziel für Malware-Angriffe darstellen. Um Malware zu vermeiden, müssen Einzelhändler Folgendes tun: 

  • ihre POS- und Server-Endpunkte durch regelmäßige Patches auf dem neuesten Stand halten
  • Vermeiden Sie POS-Endpunkte, die auf das Internet zugreifen
  • Stellen Sie grundlegende Sicherheitsebenen wie firewalls Antiviren-/Anti-Malware-Software (AV/AM) auf allen Endgeräten bereit.

2. Investieren Sie in Schulungen zur Sensibilisierung Ihrer Mitarbeiter für Sicherheitsfragen 

Schützen Sie Ihre Daten, indem Sie menschliche Fehler minimieren. Für Einzelhändler ist es unerlässlich, ihre IT-Fachkräfte und andere Mitarbeiter in bewährten Sicherheitsverfahren wie Zugriffskontrollen, Passwortkomplexität und der Identifizierung nicht autorisierter Geräte an POS-Terminals zu schulen. Die Schulung sollte auch geeignete Verfahren für die Reaktion auf verdächtige Aktivitäten umfassen. 

3. Aufrechterhaltung der PCI-Konformität 

Der Payment Card Industry Data Security Standard (PCI DSS) gewährleistet den Schutz von Zahlungskartendaten durch Richtlinien wie:

  • Beschränkung des Zugriffs auf Karteninhaberdaten nach der Notwendigkeit, sie zu kennen
  • Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten
  • Beschränkung des physischen Zugangs zu Systemen mit Karteninhaberdaten
  • Verpflichtende Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe, die nicht über eine Konsole erfolgen
  • Und mehr

Die PCI-Konformität allein kann keine vollständige IT-Sicherheit gewährleisten. Einzelhändler können jedoch die Konformität nutzen, über die Mindestanforderungen hinausgehen und bewährte Verfahren für Cybersicherheit einführen, um den Schutz des Zahlungslebenszyklus zu maximieren. 

Wenn Sie mehr über die Herausforderungen erfahren möchten, mit denen IT-Experten im Einzelhandel konfrontiert sind, laden Sie unser eBook herunter Wie Sie 7 schwierige IT-Herausforderungen im Einzelhandel meistern.

Über den Autor John Emmitt

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken