SAP Security im Retail: So wird Shopping nicht zum Sicherheitsrisiko

Beitrag aus der s@pport, Ausgabe 10/23. Gerade größere Retail-Unternehmen bringen besondere Herausforderungen für die SAP Security mit sich, die es für eine umfassende Absicherung der Systeme zu beachten gilt. So sind die hochsensiblen Kundendaten ein äußerst attraktives Ziel für Cyberangriffe, während es mit der Einführung der SAP S/4HANA Cloud immer aufwendiger wird, den Überblick beim Risk und Access Management zu wahren.

Komplexe Systemlandschaften und viele User, die Einhaltung strenger Compliance-Richtlinien, regelmäßige Sicherheitsupdates und die Gewährleistung eines reibungslosen Betriebs – Herausforderungen, vor denen nicht nur Handelsunternehmen stehen. Die Erfahrung zeigt aber, dass gerade in dieser Branche weitere Hürden und Anforderungen zu meistern sind, wie einige Best Practices und Erfahrungsberichte aus erfolgreichen Projekten, unter anderem mit Puma, S.Oliver, Sportscheck und Miele zeigen.

Die zwei Kontrahenten: Compliance vs. Kosteneffizienz

Branchentypisch ist der dominierende Zielkonflikt Compliance vs. Kosteneffizienz. Hier gibt es auf der einen Seite sehr hohe Anforderungen zum Schutz von Kundendaten sowie anderen personenbezogenen Daten und der sicheren, auch mobilen Zahlungsabwicklung. Auf der anderen Seite zählt im Retail meist jeder Euro und die IT ist oft nur Mittel zum Zweck.

So ist eine häufige Herausforderung der PCI Compliance die Speicherung von Kreditkartendaten. Besteht mit einem Dienstleister, der das Geschäft für mich abwickelt, nur eine Schnittstelle, muss ich allein diese validieren. Wird aber ein eigenes Zahlungsverkehr-Gateway betrieben und die Verwaltung und Speicherung der Daten liegen in der eigenen Hand, treten Probleme oft schon beim Design auf. Erfahrungen zeigen: Wenn Sicherheitsüberprüfungen in solchen Projekten erst spät oder kurz vorm Go-live gemacht wurden, mussten diese entweder komplett gestoppt werden – und zwar mit allen finanziellen Konsequenzen – oder der Go-live erfolgte trotz der Schwachstellen. Eine Entscheidung, die sich meistens rächt, da solche Systeme nur Minuten nach dem live setzen schon von den ersten Bots gescannt werden.

Komplexität von Daten, Umgebungen und Prozessen

Die Gesamtkomplexität ist im Retail aufgrund der Verarbeitung von Massen- und -Zahlungsabwicklungsdaten besonders gravierend, denn es gibt deutlich mehr Geschäftspartner als in anderen Branchen. Und diese Stammdaten gilt es zu schützen. Hinzu kommt die Relevanz der IT-Komplexität selbst: In unseren Projekten finden wir häufig eine große divergente Systemlandschaft vor, auf die viele unterschiedliche Benutzer auf verschiedenste Arten Zugriff haben. Und da ist es zwingend notwendig, die Sicherheitsstandards jedes Systems auf dem aktuellsten Stand zu halten, Patchmanagement-Prozesse zu etablieren und Schnittstellen zu anderen Systemen sauber zu gestalten.

Stichwort Prozess-Komplexität: Immer wieder ergeben sich bei uns Projekte, in denen man als Außenstehender mit dem Kunden erstmals überhaupt dokumentiert, wie ein Prozess läuft. Die Systeme funktionieren irgendwie und erst im Projekt stellen wir fest, dass nur sehr wenige Mitarbeiter im Unternehmen über die laufenden Prozesse und Schnittstellen informiert sind. Das stellt ein großes Risiko dar, wobei die Erfahrung zeigt, dass dieser Mangel kein Einzelfall ist. Umso wichtiger ist es für Unternehmen, diese wenigen Mitarbeitenden ins Boot zu holen und sie zu überzeugen, dass Compliance und Sicherheit keine Last sind, sondern eine Herausforderung. Das sorgt an den richtigen Stellen für Supporter und keine Bremser. Denn nur wenn Prozesse und Schnittstellen gut organisiert sind, kann das Unternehmen profitieren.

Eine Mammutaufgabe: Verwaltung von Identitäten und Zugriffen

Gerade wenn wir von verschiedenen Systemen sprechen, ist die Verwaltung von Identitäten und Zugriffen eine immense Aufgabe. Wie aktuell bei einem Konzernkunden: Dort werden verschiedene Shops verwaltet, das heißt, es muss eine zentrale Identität geben, die in den Shopsystemen auf diversen Accounts abgebildet wird. Dies muss transparent von vornherein geplant und robust implementiert werden. Und wenn die Identitäten und Systeme einmal gesichert sind, müssen sie fortlaufend überwacht werden.

Außerdem ist ein zentrales Identity-Accountmanagement wichtig. Wir haben gerade im B2C-Geschäft eine sehr hohe Anzahl von Kunden-Accounts im System. So hat einer unserer Kunden durchaus Shop-Systeme für Produkte im Betrieb, verkauft aber schwerpunktmäßig mehr Ersatzteile. Als Folge hat er dann drei bis vier Millionen Kunden in einem System. Darin finden sich neben den Kunden-Zugriffen allerdings auch Administratoren, sowohl eigene als auch Dienstleister. Und jeder, der mit zumindest etwas privilegierteren Berechtigungen Zugriff hat, muss im Auge behalten werden.

Ein Learning ist hier: Die Integration mit Identity-Management-Systemen sollte homogen sein. Dies bedeutet, je mehr Produkte und Herstellerkomponenten und somit auch Schnittstellen vorhanden sind, desto größer ist die Wahrscheinlichkeit von Brüchen. Diese liegen zum Beispiel vor, wenn ungültige Accounts nicht geschlossen werden und Dienstleister-Accounts einfach aktiv bleiben. Wichtig ist auch, dass die eigenen Mitarbeiter und Berater über das Personalmanagement direkt mit dem IDM gekoppelt sind.

Cyberangriffe im Retail

Manchmal gelingt es, Cyberangriffe auf Handelssysteme sozusagen live zu stoppen. So entdeckten wir im System eines Neukunden, dass dort auf Vorrat Administratoren-Konten angelegt worden waren, um dieses bei Bedarf zu verschlüsseln oder unbemerkt Ware oder Geld zu bewegen. Interessant war, dass wir im Rahmen eines initialen Penetration-Tests die entscheidende Schwachstelle bereits entdeckt hatten. Um das Problem dann live zu demonstrieren, legten wir einen Admin Account an und fanden im Zuge dessen sehr viele weitere falsche Admin Accounts.

In dem Moment wird ein Kunde natürlich nervös, weil er nicht weiß, was bereits mit den Accounts passiert ist. Wir konnten aber schnell klären, dass der Missbrauch noch nicht erfolgt war, haben die Konten entfernt, das System heruntergefahren, Patches eingespielt und das System wieder hochgefahren. In diesem Fall hatte unser Kunde Glück. Aber es passiert häufig bei ungenügend gesicherten Systemen, dass wie bei Log4j Hintertüren, Trojaner und mehr in die Systeme gebracht und später auf Knopfdruck aktiviert werden, meist um diese zu verschlüsseln. Das ist dann bereits die zweite Angriffswelle. Die erste wird fast nie erkannt, es sei denn, es gibt ein Monitoring von Anomalien.

Im dritten Schritt wird erfahrungsgemäß Geld verlangt. Eine Sabotage, dass jemand mutwillig einen Wettbewerber aus dem Netz nimmt, ist uns in der Praxis noch nicht begegnet. Dass jedoch hochpreisige Ware im Drittmarkt versteigert wird, teure Luxusartikel ohne Berechnung verschoben oder Bitcoins bewegt werden, durchaus. Gegen diese kreative Art von Einbrüchen, die meistens mit Insider-Beteiligung stattfinden, kommt man nur schwer an. Spätestens wenn der Webshop steht, steigt der Druck zu zahlen, insbesondere, wenn man sein Primärgeschäft daran koppelt. Das wird dann schnell sehr teuer. Wer also eine Primärabhängigkeit auf einem Kanal hat, ist wirklich gut beraten, diesbezüglich seine Hausaufgaben machen.

Das A und O: Eine ganzheitliche Projektmethodik und Sicherheitsstrategie

Sicherheit muss gerade bei Retail-Unternehmen von Beginn an ganzheitlich betrachtet und auf allen Ebenen durchgesetzt werden. Ausreichende Zeit und Kapazitäten für die Planung sind die entscheidenden Faktoren. Anschließend ist es wichtig, den Überblick zu wahren und auf dem Laufenden zu bleiben. Sicherheit ist ein dynamisches Thema, und es reicht nicht, sich auf einer punktuellen Bereinigung von Findings auszuruhen. Wir empfehlen stattdessen nachdrücklich die Etablierung eines zentralen, systemübergreifenden Monitorings zum Sicherheitsstatus der gesamten IT-Infrastruktur sowie eine Echtzeitüberwachung mit einer Strategie für die Reaktion auf Vorfälle.

Wenn Sie mehr über unser Angebot wissen möchten, kontaktieren Sie uns gerne.

Ralf Kempf (Geschäftsführung Pathlock Deutschland)

Roozbeh Noori-Amoli (Geschäftsführer, SecTune)

In unserem Expert Talk der IT-Onlinekonferenz erfahren Sie mehr über die Lösungsansätze zur Identifizierung von Schwachstellen sowie die Vorteile eines proaktiven Monitorings.