Wie schätzen Sie zurzeit die Gefährdungslage im Hinblick auf Cyber-Attacken auf Unternehmen ein?
Die Gefährdungslage ist bereits seit Längerem gravierend, doch bislang wurde dies in der Öffentlichkeit zu wenig thematisiert. Dass sich hier die Einstellung langsam ändert, belegen Studien wie „Industriespionage 2012“ des Beratungsunternehmens Corporate Trust. Im Rahmen der Befragung bekannten sich 21,4 Prozent der Unternehmen dazu, dass sie „mindestens [in] einem konkreten Fall durch Spionage geschädigt“ wurden. Zusammen mit den Verdachtsfällen, die nicht hinreichend konkretisiert werden konnten, sah sich summa summarum 54,6 Prozent der deutschen Wirtschaft mit dem Thema Spionage konfrontiert. Und diese Angriffe werden häufig via Cyber-Attacken durchgeführt. Und wo Spionage via Internet und IT möglich ist, da ist auch Sabotage möglich, sprich Angriffe auf IT-basierte Infrastrukturen mit dem Ziel der Störung bis hin zum Herbeiführen von Ausfällen kritischer Infrastrukturen.
Als wichtiges Signal erachte ich zudem, dass die Bundesregierung die Brisanz der Lage erkannt hat und entsprechend reagiert. So wurde im letzten Jahr das Nationale Cyber-Abwehrzentrum (NCAZ) etabliert – unter anderem, um eine „gemeinsame Plattform zum schnellen Informationsaustausch und
zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle“ zu schaffen. Konkrete Hilfestellung kann und soll hier allerdings nicht geboten werden – im Gegensatz zu der „Task Force IT-Sicherheit in der Wirtschaft“, eine Initiative des Bundesministeriums für Wirtschaft und Technologie (www.it-sicherheit-in-der-wirtschaft.de), die mit verschiedenen Fachverbänden viel dezidierter auf den Schutz der IT-Sicherheit im Mittelstand ausgerichtet ist.
Gibt es auch für den Handel handfeste Risiken?
Natürlich. Der Handel lässt sich unter verschiedenen Perspektiven als ein interessantes Angriffsziel einstufen. Zum einen obliegt ihm ein Teil der Verantwortung für die Aufrechterhaltung der Grundversorgung, zum anderen müssen Handelsunternehmen sich teilweise in einem schwierigen Marktumfeld gegen Wettbewerber behaupten. Der mögliche Täterkreis lässt sich genauso schlecht eingrenzen wie die Motivation. Es fängt beim Zufallstäter an und kann bis hin zu einem staatlich gelenkten Angriff gehen. Dabei ist es denkbar und seit der Entwicklung des Trojaners Stuxnet auch bewiesen, dass die Mess- und Regeltechnik in für die Versorgung der Bevölkerung sowie zur Aufrechterhaltung der Liefer- und Geschäftsfähigkeit wichtigen Teilen der Lieferkette wie Kühlhäusern, Lagern und Logistiksystemen angreifbar ist und so manipuliert werden kann, dass die gelagerte Ware verdirbt oder nicht mehr aufgefunden und ausgeliefert werden kann. Ebenso ist es möglich, über das Netzwerk eines Einzelhändlers POS-Kassenterminals anzugreifen.
Fakt ist, dass unabhängig von Art und Umfang des Angriffs eine Schwächung des betroffenen Handelsunternehmens damit einhergeht. Fakt ist ebenfalls, dass Angriffe schwerwiegender sein werden, da mittlerweile die kompletten Geschäfts- und Lieferprozesse der Handelsbranche auf dem Einsatz von IT basieren.
Ist die Handelsbranche aus Ihrer Sicht gut gegen mögliche Angriffe gerüstet?
Diese Frage lässt sich nicht pauschal beantworten wegen der Unterschiedlichkeit der Geschäftsmodelle. Das reicht vom flächendeckenden Einzelhandelsunternehmen, das auch auf Multichannel-Retailing setzt, bis hin zum kleinen Webshop. Bei dieser Bandbreite ist kein einheitlicher Status quo beschreibbar. Trotzdem können meine Mitarbeiter und ich schon erkennen, dass die Unternehmen allgemein bestrebt sind, ihr Sicherheitsniveau zu erhöhen, nicht nur am Point of Sale, sondern über die gesamte Lieferkette. Trotzdem gibt es noch Einiges zu tun. Zum einen, weil im Einzelhandel zunehmend mobile Anwendungen zum Einsatz kommen, die unter anderem WLAN-Anbindungen bedingen. Zum anderen auch aufgrund des bereits erwähnten Multichannel-Retailings und dem damit verbundenen vermehrten Aufbau von Onlineshops. Aufgrund dieser Faktoren erhöht sich das Gefahrenpotenzial noch einmal.
Was sollten Handelsunternehmen tun, um ihre Sicherheit zu verbessern?
Es gibt eine folgerichtige Vorgehensweise für Maßnahmen, die das Sicherheitsniveau verbessern. Zunächst gilt es, die fünf bis zehn Prozent des unternehmenskritischen Know-hows zu eruieren und für diese Daten einen besonderen Schutz zu etablieren. Zum anderen sind in der Handelsbranche stark spezialisierte und stark verteilte IT-Landschaften vorzufinden. Auch hier müssen die kritischen System-Umgebungen wie das Warenwirtschaftssystem, die Lager und Kühlhäuser und deren Abhängigkeiten von den IT-Infrastrukturen genau kontrolliert werden. Da im Einzelhandel der Prozessoptimierung eine entscheidende Bedeutung zufällt, ist insbesondere darauf zu achten, die Haupt-Schwachpunkte zu finden, um dann die Angriffsflächen zu verringern. Für die Aufrechterhaltung des Sicherheitsniveaus müssen Änderungen kontinuierlich überprüft und die eingesetzten Maßnahmen immer wieder hinterfragt werden. Selbst wenn die technischen Voraussetzungen für eine sichere Umgebung geschaffen sind – eines darf niemals außer Acht gelassen werden: die Mitarbeiter. Um deren Blick für das Gefahrenpotenzial zu schärfen ist es ratsam, Schulungsprogramme anzubieten, welche die Awareness für den Umgang mit den kritischen Systemen schaffen und aufrechterhalten.
Das Interview führte Michael Gerling.
Richtiges Verhalten bei Raubüberfällen
Die Berufsgenossenschaft Handel und Warendistribution BGHW ist Ansprechpartner sowohl für die Prävention von Raubüberfällen im Einzelhandel als auch für die Nachsorge bei stattgefundenen Raubüberfällen. Die BGHW hat aus ihren Untersuchungen Erkenntnisse und Empfehlungen für Handelsunternehmen abgeleitet.
Bargeldprozesse weiter optimieren
Seitdem die Bundesbank sich aus dem Cash-Recycling weitgehend zurückgezogen hat, sind im Handel mehr denn je intelligente Lösungen gefragt, welche das Bargeld-Handling nicht nur sicherer, sondern auch effizienter machen. Hier Praxisbeispiele von Bekleidungshaus Konen und dem Modefilialisten Tally Weijl.