{"id":35664,"date":"2024-01-29T01:24:50","date_gmt":"2024-01-29T09:24:50","guid":{"rendered":"https:\/\/pathlock.com\/?p=35664"},"modified":"2026-03-05T09:15:32","modified_gmt":"2026-03-05T14:15:32","slug":"sap-security-im-retail-so-wird-shopping-nicht-zum-sicherheitsrisiko","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/sap-security-im-retail-so-wird-shopping-nicht-zum-sicherheitsrisiko\/","title":{"rendered":"SAP Security im Retail: So wird Shopping nicht zum Sicherheitsrisiko"},"content":{"rendered":"\n

Beitrag aus der s@pport, Ausgabe 10\/23<\/strong>. Gerade gr\u00f6\u00dfere Retail-Unternehmen bringen besondere Herausforderungen f\u00fcr die SAP Security<\/a> mit sich, die es f\u00fcr eine umfassende Absicherung der Systeme zu beachten gilt. So sind die hochsensiblen Kundendaten ein \u00e4u\u00dferst attraktives Ziel f\u00fcr Cyberangriffe, w\u00e4hrend es mit der Einf\u00fchrung der SAP S\/4HANA Cloud immer aufwendiger wird, den \u00dcberblick beim Risk und Access Management zu wahren.<\/p>\n\n\n\n

Komplexe Systemlandschaften und viele User, die Einhaltung strenger Compliance-Richtlinien, regelm\u00e4\u00dfige Sicherheitsupdates und die Gew\u00e4hrleistung eines reibungslosen Betriebs \u2013 Herausforderungen, vor denen nicht nur Handelsunternehmen stehen. Die Erfahrung zeigt aber, dass gerade in dieser Branche weitere H\u00fcrden und Anforderungen zu meistern sind, wie einige Best Practices und Erfahrungsberichte aus erfolgreichen Projekten, unter anderem mit Puma, S.Oliver, Sportscheck und Miele zeigen.<\/p>\n\n\n\n

Die zwei Kontrahenten: Compliance vs. Kosteneffizienz<\/strong><\/h2>\n\n\n\n

Branchentypisch ist der dominierende Zielkonflikt Compliance vs. Kosteneffizienz. Hier gibt es auf der einen Seite sehr hohe Anforderungen zum Schutz von Kundendaten sowie anderen personenbezogenen Daten und der sicheren, auch mobilen Zahlungsabwicklung. Auf der anderen Seite z\u00e4hlt im Retail meist jeder Euro und die IT ist oft nur Mittel zum Zweck.<\/p>\n\n\n\n

So ist eine h\u00e4ufige Herausforderung der PCI Compliance die Speicherung von Kreditkartendaten. Besteht mit einem Dienstleister, der das Gesch\u00e4ft f\u00fcr mich abwickelt, nur eine Schnittstelle, muss ich allein diese validieren. Wird aber ein eigenes Zahlungsverkehr-Gateway betrieben und die Verwaltung und Speicherung der Daten liegen in der eigenen Hand, treten Probleme oft schon beim Design auf. Erfahrungen zeigen: Wenn Sicherheits\u00fcberpr\u00fcfungen in solchen Projekten erst sp\u00e4t oder kurz vorm Go-live gemacht wurden, mussten diese entweder komplett gestoppt werden \u2013 und zwar mit allen finanziellen Konsequenzen \u2013 oder der Go-live erfolgte trotz der Schwachstellen. Eine Entscheidung, die sich meistens r\u00e4cht, da solche Systeme nur Minuten nach dem live setzen schon von den ersten Bots gescannt werden.<\/p>\n\n\n\n

Komplexit\u00e4t von Daten, Umgebungen und Prozessen<\/strong><\/h2>\n\n\n\n

Die Gesamtkomplexit\u00e4t ist im Retail aufgrund der Verarbeitung von Massen- und -Zahlungsabwicklungsdaten besonders gravierend, denn es gibt deutlich mehr Gesch\u00e4ftspartner als in anderen Branchen. Und diese Stammdaten gilt es zu sch\u00fctzen. Hinzu kommt die Relevanz der IT-Komplexit\u00e4t selbst: In unseren Projekten finden wir h\u00e4ufig eine gro\u00dfe divergente Systemlandschaft vor, auf die viele unterschiedliche Benutzer auf verschiedenste Arten Zugriff haben. Und da ist es zwingend notwendig, die Sicherheitsstandards jedes Systems auf dem aktuellsten Stand zu halten, Patchmanagement-Prozesse zu etablieren und Schnittstellen zu anderen Systemen sauber zu gestalten.<\/p>\n\n\n\n

Stichwort Prozess-Komplexit\u00e4t: Immer wieder ergeben sich bei uns Projekte, in denen man als Au\u00dfenstehender mit dem Kunden erstmals \u00fcberhaupt dokumentiert, wie ein Prozess l\u00e4uft. Die Systeme funktionieren irgendwie und erst im Projekt stellen wir fest, dass nur sehr wenige Mitarbeiter im Unternehmen \u00fcber die laufenden Prozesse und Schnittstellen informiert sind. Das stellt ein gro\u00dfes Risiko dar, wobei die Erfahrung zeigt, dass dieser Mangel kein Einzelfall ist. Umso wichtiger ist es f\u00fcr Unternehmen, diese wenigen Mitarbeitenden ins Boot zu holen und sie zu \u00fcberzeugen, dass Compliance und Sicherheit keine Last sind, sondern eine Herausforderung. Das sorgt an den richtigen Stellen f\u00fcr Supporter und keine Bremser. Denn nur wenn Prozesse und Schnittstellen gut organisiert sind, kann das Unternehmen profitieren.<\/p>\n\n\n\n

Eine Mammutaufgabe: Verwaltung von Identit\u00e4ten und Zugriffen<\/strong><\/h2>\n\n\n\n

Gerade wenn wir von verschiedenen Systemen sprechen, ist die Verwaltung von Identit\u00e4ten und Zugriffen eine immense Aufgabe. Wie aktuell bei einem Konzernkunden: Dort werden verschiedene Shops verwaltet, das hei\u00dft, es muss eine zentrale Identit\u00e4t geben, die in den Shopsystemen auf diversen Accounts abgebildet wird. Dies muss transparent von vornherein geplant und robust implementiert werden. Und wenn die Identit\u00e4ten und Systeme einmal gesichert sind, m\u00fcssen sie fortlaufend \u00fcberwacht werden.<\/p>\n\n\n\n

Au\u00dferdem ist ein zentrales Identity-Accountmanagement wichtig. Wir haben gerade im B2C-Gesch\u00e4ft eine sehr hohe Anzahl von Kunden-Accounts im System. So hat einer unserer Kunden durchaus Shop-Systeme f\u00fcr Produkte im Betrieb, verkauft aber schwerpunktm\u00e4\u00dfig mehr Ersatzteile. Als Folge hat er dann drei bis vier Millionen Kunden in einem System. Darin finden sich neben den Kunden-Zugriffen allerdings auch Administratoren, sowohl eigene als auch Dienstleister. Und jeder, der mit zumindest etwas privilegierteren Berechtigungen Zugriff hat, muss im Auge behalten werden.<\/p>\n\n\n\n

Ein Learning ist hier: Die Integration mit Identity-Management-Systemen<\/strong><\/a> sollte homogen sein. Dies bedeutet, je mehr Produkte und Herstellerkomponenten und somit auch Schnittstellen vorhanden sind, desto gr\u00f6\u00dfer ist die Wahrscheinlichkeit von Br\u00fcchen. Diese liegen zum Beispiel vor, wenn ung\u00fcltige Accounts nicht geschlossen werden und Dienstleister-Accounts einfach aktiv bleiben. Wichtig ist auch, dass die eigenen Mitarbeiter und Berater \u00fcber das Personalmanagement direkt mit dem IDM gekoppelt sind.<\/p>\n\n\n\n

Cyberangriffe im Retail<\/strong><\/h2>\n\n\n\n

Manchmal gelingt es, Cyberangriffe auf Handelssysteme sozusagen live zu stoppen. So entdeckten wir im System eines Neukunden, dass dort auf Vorrat Administratoren-Konten angelegt worden waren, um dieses bei Bedarf zu verschl\u00fcsseln oder unbemerkt Ware oder Geld zu bewegen. Interessant war, dass wir im Rahmen eines initialen Penetration-Tests<\/strong><\/a> die entscheidende Schwachstelle bereits entdeckt hatten. Um das Problem dann live zu demonstrieren, legten wir einen Admin Account an und fanden im Zuge dessen sehr viele weitere falsche Admin Accounts.<\/p>\n\n\n\n

In dem Moment wird ein Kunde nat\u00fcrlich nerv\u00f6s, weil er nicht wei\u00df, was bereits mit den Accounts passiert ist. Wir konnten aber schnell kl\u00e4ren, dass der Missbrauch noch nicht erfolgt war, haben die Konten entfernt, das System heruntergefahren, Patches eingespielt und das System wieder hochgefahren. In diesem Fall hatte unser Kunde Gl\u00fcck. Aber es passiert h\u00e4ufig bei ungen\u00fcgend gesicherten Systemen, dass wie bei Log4j Hintert\u00fcren, Trojaner und mehr in die Systeme gebracht und sp\u00e4ter auf Knopfdruck aktiviert werden, meist um diese zu verschl\u00fcsseln. Das ist dann bereits die zweite Angriffswelle. Die erste wird fast nie erkannt, es sei denn, es gibt ein Monitoring von Anomalien.<\/p>\n\n\n\n

Im dritten Schritt wird erfahrungsgem\u00e4\u00df Geld verlangt. Eine Sabotage, dass jemand mutwillig einen Wettbewerber aus dem Netz nimmt, ist uns in der Praxis noch nicht begegnet. Dass jedoch hochpreisige Ware im Drittmarkt versteigert wird, teure Luxusartikel ohne Berechnung verschoben oder Bitcoins bewegt werden, durchaus. Gegen diese kreative Art von Einbr\u00fcchen, die meistens mit Insider-Beteiligung stattfinden, kommt man nur schwer an. Sp\u00e4testens wenn der Webshop steht, steigt der Druck zu zahlen, insbesondere, wenn man sein Prim\u00e4rgesch\u00e4ft daran koppelt. Das wird dann schnell sehr teuer. Wer also eine Prim\u00e4rabh\u00e4ngigkeit auf einem Kanal hat, ist wirklich gut beraten, diesbez\u00fcglich seine Hausaufgaben machen.<\/p>\n\n\n\n

Das A und O: Eine ganzheitliche Projektmethodik und Sicherheitsstrategie<\/strong><\/h2>\n\n\n\n

Sicherheit muss gerade bei Retail-Unternehmen von Beginn an ganzheitlich betrachtet und auf allen Ebenen durchgesetzt werden. Ausreichende Zeit und Kapazit\u00e4ten f\u00fcr die Planung sind die entscheidenden Faktoren. Anschlie\u00dfend ist es wichtig, den \u00dcberblick zu wahren und auf dem Laufenden zu bleiben. Sicherheit ist ein dynamisches Thema, und es reicht nicht, sich auf einer punktuellen Bereinigung von Findings auszuruhen. Wir empfehlen stattdessen nachdr\u00fccklich die Etablierung eines zentralen, system\u00fcbergreifenden Monitorings zum Sicherheitsstatus der gesamten IT-Infrastruktur sowie eine Echtzeit\u00fcberwachung<\/strong><\/a> mit einer Strategie f\u00fcr die Reaktion auf Vorf\u00e4lle.<\/p>\n\n\n\n

Wenn Sie mehr \u00fcber unser Angebot wissen m\u00f6chten, kontaktieren Sie uns<\/strong><\/a> gerne.<\/p>\n\n\n\n

\"Ralf Ralf Kempf (Gesch\u00e4ftsf\u00fchrung Pathlock Deutschland)<\/strong><\/p>\n\n\n\n

\"Roozbeh Roozbeh Noori-Amoli (Gesch\u00e4ftsf\u00fchrer, SecTune<\/strong>)<\/p>\n\n\n\n

In unserem Expert Talk<\/strong><\/a> der IT-Onlinekonferenz erfahren Sie mehr \u00fcber die L\u00f6sungsans\u00e4tze zur Identifizierung von Schwachstellen sowie die Vorteile eines proaktiven Monitorings.<\/p>\n\n\n\n

\n
[Expert Talk] SAP-Security im Retail: Herausforderungen, L\u00f6sungsans\u00e4tze und Best Practices<\/a><\/blockquote>