Einzelhandel in der Kritik: Würden Sie einen Verstoß bemerken, wenn er jetzt passieren würde?

Einzelhändler und ihre Lieferanten haben es in Großbritannien derzeit schwer. Eine Reihe schwerwiegender Sicherheitsverletzungen im Zusammenhang mit Ransomware-Angriffen hat zu leeren Regalen geführt, den Ruf von Unternehmen geschädigt und die Aktienkurse ins Wanken gebracht. Diese Vorfälle erinnern uns auch daran, dass Angreifer immer noch schneller agieren als Verteidiger. Und dass zu viele Unternehmen Compliance immer noch als eine nachträgliche Maßnahme betrachten.

Um wieder in die Offensive zu kommen, müssen britische Einzelhändler und ihre Kollegen aus anderen Branchen anfangen, Compliance und Risikomanagement als dynamisches Echtzeit-Vorhaben zu betrachten.

Angriffe auf den Einzelhandel zeigen die Vorteile von Hackern

Vier Sicherheitsverletzungen haben in den letzten Wochen den Einzelhandels- und Logistiksektor erschüttert. Hier erfahren Sie, was wir bisher wissen und welche Auswirkungen dies auf die einzelnen betroffenen Unternehmen hat.

Marks & Spencer: Der etablierte Einzelhändler gab am 21. April die Nachricht von einem „Vorfall“ bekannt. Dieser eskalierte schnell, und das Unternehmen war gezwungen, kontaktlose Zahlungen, Click & Collect und Online-Bestellungen auszusetzen. Auch die Lagerbestände in einigen Geschäften gingen nach Der Vorfall traf Logistikzentren. MS sagt jetzt Einige Kundendaten wurden gestohlen. Das Unternehmen verliert angeblich wöchentlich 40 Millionen Pfund Umsatz, während der Aktienkurs um 12 Prozent gesunken ist (Stand: 19. Mai).

Berichte schlagen vor dass hochentwickelte Bedrohungsakteure, die mit dem losen „Scattered Spider“-Kollektiv in Verbindung stehen, einige der VMware ESXi-Hosts des Unternehmens mit der DragonForce-Ransomware-Variante verschlüsselt haben. Es wird behauptet dass ein kompromittierter Drittanbieter (Tata Consulting Services) mit Logins zu seinen Systemen der erste Einstiegspunkt gewesen sein könnte. Die Angreifer hätten mit diesem Angriff möglicherweise größeren Schaden anrichten können, da sie kurz vor dem langen Osterwochenende zuschlugen.

Genossenschaft: Dieselben Bedrohungsakteure, die hinter der Razzia bei M&S stecken, sind Verantwortung übernehmen für einen Ransomware-Angriff auf den siebtgrößten britischen Einzelhändler. Sie geben an, dass das Unternehmen den Netzstecker gezogen habe, als es ungewöhnliche Netzwerkaktivitäten feststellte. Dies habe den Einsatz von Ransomware verhindert, aber nicht rechtzeitig genug, um die Exfiltration erheblicher Daten zu verhindern. Mengen an MitgliederdatenAuch die Lagerbestände in einigen Filialen sind betroffen. Die finanziellen Auswirkungen auf das Unternehmen sind noch unklar, aber die Kosten für neue IT-Sicherheitsinfrastruktur, Incident-Response- und Wiederherstellungsprozesse dürften in die Millionen gehen.

Harrods: Das legendäre Kaufhaus Knightsbridge hat sich zu einem Angriff, den es am 1. Mai bekannt gab, bedeckt gehalten. Es behauptet, einen unbefugten Zugriffsversuch entdeckt und gestoppt zu haben. „Unser erfahrenes IT-Sicherheitsteam hat sofort proaktive Maßnahmen ergriffen, um die Systeme zu schützen. Daher haben wir heute den Internetzugang an unseren Standorten eingeschränkt“, heißt es in einer Erklärung. Der Angriff scheint weder die Online- noch die stationären Filialen betroffen zu haben.

Peter Green Chilled: Der jüngste Name in der Liste der Opfer von Cyberangriffen ist ein wenig bekannter Logistikpartner von Tesco, Sainsbury's, Aldi und anderen Supermärkten. Der Ransomware-Angriff ereignete sich in der Woche ab dem 12. Mai, doch das Unternehmen gibt an, dass die Transportaktivitäten des Unternehmens unbeeinträchtigt blieben. Sollten Lieferungen beeinträchtigt werden, könnte dies für die Lieferanten kostspielig werden, da das Unternehmen Kühllagerlogistik für die Lieferkette anbietet.

Wie können Einzelhändler ein ähnliches Schicksal vermeiden?

Britische Einzelhändler sind nicht allein. Der französische Modegigant Dior hat benachrichtigte asiatische Kunden einer Datenpanne, während Google behauptet, Scattered Spider-Akteure seien auch Fokussierung auf US-EinzelhändlerDaher sind die gewonnenen Erkenntnisse für CISOs weltweit wichtig. Was können wir also zu den Vorfällen sagen?

Obwohl wir die spezifische Vorgehensweise der Ransomware-Akteure in den meisten Fällen noch nicht kennen, können wir sagen, dass bewährte Cyber-Hygiene-Praktiken zwar wichtig, aber kein Allheilmittel sind. Zwar sind Maßnahmen wie schnelles Patchen, Multi-Faktor-Authentifizierung (MFA) und Asset-Management unerlässlich, um die Angriffsfläche zu minimieren. Doch entschlossene Bedrohungsakteure werden immer einen Weg finden, ihre Ziele zu erreichen.

Daher ist eine kontinuierliche KI-gestützte Netzwerküberwachung unerlässlich. Diese Tools lernen, wie „normale“ Verkehrsmuster aussehen, und können so effektiver Alarm schlagen, wenn im Netzwerk etwas nicht stimmt. Dadurch können Sicherheitsteams (SecOps) schneller reagieren und Bedrohungen abwehren, bevor sie sich ausbreiten und/oder Daten exfiltriert und verschlüsselt werden können.

Automatisierte Risikobewertungstools sind eine weitere wertvolle Ergänzung. Sie ermöglichen es Unternehmen, ihre IT-Umgebung kontinuierlich zu überwachen, um ungepatchte Schwachstellen, Fehlkonfigurationen oder andere Sicherheitslücken zu erkennen, die behoben werden müssen. Sie tragen der Tatsache Rechnung, dass sich solche Umgebungen – insbesondere in der Cloud – ständig verändern und daher kontinuierliche Aufmerksamkeit erfordern. Dies macht das Unternehmen widerstandsfähiger und schließt mögliche Angriffspfade. Dies ist jedoch wiederum nur mit KI und Automatisierung effektiv möglich, und zwar rund um die Uhr.

„Cybersicherheitsschutz ist kein Ziel, sondern ein kontinuierlicher Prozess. Bedrohungsakteure entwickeln sich ständig weiter, und das sollte auch für unsere Sicherheitslage gelten“, erklärt Darren Williams, CEO von BlackFog, gegenüber ISMS.online. „Daher ist es wichtig, bei der Entwicklung neuer Tools neben den eher statischen und signaturbasierten Ansätzen der meisten Tools auch auf maschinenlernbasierten KI-Schutz zu setzen.“

Ein dynamischer Compliance-Ansatz

Generell verdeutlichen die Sicherheitslücken bei britischen Einzelhändlern erneut, dass die Einhaltung von Best-Practice-Standards und -Vorschriften für viele Unternehmen oft zu reaktiv ist. Beispielsweise basieren traditionelle Informationssicherheits-Managementsysteme (ISMS) auf zeitpunktbezogenen Bewertungen, die sich nicht an neue Geschäftsmodelle, Bedrohungen und Technologien wie Cloud und IoT anpassen lassen, was die Angriffsfläche vergrößern kann.

„Die Realität ist, dass Sicherheitsteams ständig effektiv sein müssen, während Bedrohungsakteure nur einmal erfolgreich sein müssen“, erklärt Dave McGrail, Leiter der Unternehmensberatung bei Xalient, gegenüber ISMS.online. „Dieses Ungleichgewicht unterstreicht die Notwendigkeit eines dynamischeren, adaptiveren Ansatzes für die Einhaltung der Cybersicherheitsvorschriften und das ISMS-Management.“

Genau das fördert ISO 27001:2022 durch einen Prozess der kontinuierliche Verbesserung des ISMS, dynamische Risikomodellierung und adaptives Risikomanagement.

„Mit den sich verändernden Bedrohungen müssen sich auch unsere Abwehrmaßnahmen ändern. Das Update 2022 der ISO 27001 unterstützt diesen Wandel, indem es regelmäßigere Risikoüberprüfungen fördert, aktuelle Bedrohungsinformationen integriert und das Bewusstsein im gesamten Unternehmen stärkt“, erklärt Neil Lappage, Gründer von 59 Degrees North, gegenüber ISMS.online.

Es geht nicht darum, einfach so mehr zu tun. Es geht darum, Dinge anders zu machen, Bewusstsein in die Einarbeitung zu integrieren, neu zu denken, was „Sicherheit“ im Alltag bedeutet, und den Mitarbeitern die Werkzeuge und das Selbstvertrauen zu geben, ungewöhnliche Anfragen zu hinterfragen. Technologie hilft, aber den größten Unterschied machen die Menschen, insbesondere wenn sie informiert, unterstützt und in das Gesamtbild einbezogen werden. Cybersicherheit ist nicht nur ein System; sie ist eine Kultur, und die bauen wir alle gemeinsam auf.“