Zum Check-out: Sichere, datensensible Einkaufserlebnisse für mehr Kundenbindung schaffen

Attila Misota, Digital Integrity Solutions bei Telekom MMS

Cyber-Angriffe auf bekannte Retail-Unternehmen machen immer häufiger Schlagzeilen. „Wo sind meine Daten überhaupt noch sicher?“, ist daher eine der relevantesten Fragen – wenn es um die Verwaltung personenbezogener Daten geht. Laut einer aktuellen Studie der Plattform „YesWeHack“ (2022) waren im vergangenen Jahr über 85 % der befragten Händler von Cyber-Vorfällen betroffen. Damit steigt auch das Bedürfnis nach Sicherheit im Einzelhandel mit seinen vielfältigen, geschäftskritischen Prozessen. Nicht nur bei den Unternehmen selbst, sondern auch bei (potenziellen) Kund*innen.

Denn die Retail-Branche bietet eine Vielzahl digitaler Kundenschnittstellen, die durch die Omnichannel-Strategie geprägt sind. Dadurch ist der klassische Einzelhandel sowohl in stationären Filialen als auch online präsent und ermöglicht den Zugang zum Kundenservice per Telefon oder Chatbot. Wir zeigen, wie Geschäftsprozesse sowie wertvolle Kundendaten geschützt werden müssen, um damit nicht nur Angriffe auf Systeme zu verhindern, sondern gleichzeitig auch Kundenvertrauen und -bindung zu schaffen.

Das volle Angebot überblicken: Daten im Retail & Omnichannel-Strategie

Sogenannte „Omnichannel-Strategien“ umfassen eine Integration von Online- und Offline-Kanälen. Die Verbindung von der Filiale vor Ort und digitalen Touchpoints, wie etwa einem Online Shop, ermöglicht nahtlose Kundenerlebnisse, beispielsweise über das „Click & Collect“-Verfahren.
Diese Verbindung wiederum erfordert entsprechende Prozesse, Strukturen und Datenbanken. Die darin verwalteten Kundendaten werden dabei über verschiedene Wege gesammelt:

Direkt: Über Kundenkonten inkl. Kundenkarten & Smartphone-Apps oder
Indirekt: Über Kassendaten, Bewegungsmuster über WiFi, externe Daten über Social Media oder Bewertungsplattformen…

Anhand der Daten lässt sich dann ein sogenannter Customer Lifetime Value (CLV), also der „Kundenertragswert“ berechnen. Ebenso können gesammelte Daten genutzt werden, um bestimmte Präferenzen oder Herausforderungen der Kund*innen zu bestimmen, die wiederum zu passgenaueren Angeboten und Lösungen und somit zu einer besseren Customer Experience (CX) führen.

Daten sind also ein entscheidender Bestandteil für eine nachhaltige Kundenbindung, was es umso wichtiger macht, diese verantwortungsvoll zu nutzen und großen Wert auf Informationssicherheit und Datenschutz zu legen.

Auf die Wunschliste: Informationssicherheit und Datenschutz als Grundpfeiler im Einzelhandel

Eine umfangreiche Vernetzung und die fortschreitende Digitalisierung erfordern den umfassenden Schutz von IT-Systemen und Kundendaten. Im Einzelhandel sind Informationssicherheit und Datenschutz gleichermaßen von Bedeutung, da grundsätzlich niemand vor Angriffen geschützt ist. Die Faustregel besagt hierbei: Es ist nicht die Frage, ob ein (Cyber-) Angriff stattfindet, sondern eher wann und in welcher Form er geschieht.
Diesen doch eher theoretischen Ansatz bestätigen in der Praxis verschiedene, reale Cyber-Angriffe auf den Einzelhandel. Hier einige Beispiele:

Angriff auf den Großhändler Metro Ende 2022:

Bei dieser Attacke standen die Kassensysteme im Fokus, diese wurden teils lahmgelegt, außerdem erlangten die Angreifer Zugriff auf sensible Daten von Mitarbeitenden.

Hacker-Angriff auf Media Markt und Saturn Ende 2021:

Hierbei wurden tausende Server außer Gefecht gesetzt, Verkaufsdokumente konnten beispielsweise teils nicht ausgestellt werden.

Attacke auf schwedische Supermarkt-Kette Coop Mitte 2021:

Auch bei diesem Angriff wurden die Kassensysteme lahmgelegt, was eine langwierige Störung mit sich führte.

Angriffe auf Retail-Unternehmen bedeuten nicht nur finanzielle Verluste, sondern auch sinkendes Vertrauen bei Kund*innen. Die Informationssicherheit spielt daher auch eine sehr wichtige Rolle in Bezug auf einen höheren CLV bzw. eine optimierte CX.

Wichtig ist in jedem Fall das Bewusstsein, dass Daten eine wichtige erfolgskritische Grundlage und damit auch ein beliebtes Ziel von Angreifern sind. Die gesamte IT-Infrastruktur mit den einzelnen Anwendungen, wie Apps, CRM-Systeme oder Rechenzentren bieten dabei eine große Angriffsfläche. Daher ist ein verantwortungsvoller und auch sparsamer Umgang mit ebendiesen Daten von höchster Relevanz.

Im Retail müssen folgende Maßnahmen also in Betracht gezogen werden bzw. sind teils sogar gesetzlich geregelt:

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten und ist für Unternehmen, Konzerne Behörden etc. EU-weit verpflichtend.
IT-Grundschutzstandards des Bundesamtes für Sicherheit in der Informationstechnik BSI und weitere Richtlinien können zur Steigerung der Informationssicherheit herangezogen werden.

Zum User Guide auf der Corporate Site der Telekom MMS

Und ab in den Warenkorb: IT-Sicherheit bleibt das Must-have

Was bedeutet IT-Sicherheit? Als unumgänglicher Faktor im Retail lässt sie sich in zwei Kernbereiche aufteilen: Die technische Sicherheit sowie die organisatorische bzw. strukturelle Sicherheit. Der technische Aspekt umfasst dabei grundsätzlich alle Technologien zur Überwachung, Identifikation, Bewertung und schlussendlich zum Schutz vor vielfältigen Cyberangriffen sowie auch der Einleitung entsprechender Gegenmaßnahmen.

Die strukturelle Sicherheit hingegen basiert auf der Frage: „Wie wird IT-Sicherheit im Unternehmen gelebt?“

Hierbei geht es, intrinsisch betrachtet, um die Etablierung sowie die Umsetzung einer IT-Sicherheitsstrategie, welche dann auch in der Praxis vom gesamten Unternehmen gelebt wird. Außerdem, unter extrinsischem Gesichtspunkt, um die Vorgabe der Umsetzung von regulatorischen oder Wettbewerbs-Anforderungen. Beispielsweise um die Umsetzung von Informationssicherheitsanforderungen im Unternehmen auf Basis einer Norm, Stichwort: ISO 27001.

Bestellung prüfen: Schwachstellen im Retail erkennen und Schutzmaßnahmen ergreifen

Schwachstellen und Angriffspunkte für Attacken auf den Einzelhandel liegen sowohl in IT-Systemen und Geschäftsprozessen, als auch im Faktor „Mensch“, bezogen auf Mitarbeitende sowie Kund*innen. Daher sind ganzheitliche Sicherheitskonzepte, die beide Faktoren berücksichtigen, von höchster Relevanz.

1) Schwachstelle IT-Systeme und Geschäftsprozesse

Innerhalb dieses Angriffspunktes lassen sich verschiedene Szenarien von Attacken herauskristallisieren:

Lahmlegen des Webshops/ der Website

Dieses Szenario kann beispielsweise über einen sogenannten „DDos (Distributed Denial of Services)-Angriff“ erfolgen. Hierbei wird eine Website mittels einer Reihe von Bots mit http-Anforderungen überflutet, was wiederum zur kompletten Überlastung bzw. zum Zusammenbruch führt.

Ein Beispiel-Szenario aus der Praxis ist hierfür ein Angriff auf Amazon AWS im Jahr 2020, bei dem es zu einer Systemüberlastung kam.

Mögliche Sicherheitsmaßnahmen für dieses Szenario sind:

Setzen Sie eine sogenannte DDos Sicherheitstechnologie ein, die den Webshop gezielt vor Überlastungs-Angriffen schützt.
Führen Sie regelmäßig interne und externe Penetration-Tests, also umfassende Sicherheitstests der Rechner und Netzwerke in Ihrem Unternehmen, zur Identifikation potentieller Schwachstellen durch.
Testen Sie regelmäßig alle von außen erreichbaren Systeme auf ihre Funktionalität und mögliche Sicherheitslücken.
Führen Sie umfassende Mobile Security Tests aller Unternehmens-Applikationen für die verschiedenen mobilen Endgeräte und Betriebssysteme durch.
Absicherung gegenüber Cyber-Attack Chain: Bauen Sie ein grundlegendes Verständnis über sogenannte Cyber-Angriffsketten auf, um die Abfolge der Ereignisse bei einem externen IT-Angriff besser zu verstehen und diesen somit auch besser entgegenwirken zu können.
Durch verschiedene Defender, also Abwehrsysteme, können die entsprechenden Systeme, die in der Angriffskette eine Rolle spielen, optimal geschützt werden (z.B. Office 365, IoT, Cloud…).
Zentralisieren Sie alle Sicherheitswarnungen in einem SIEM (Security Information and Event Monitoring) und Etablieren Sie ein eigenes oder externes bis zu 24/7 funktionierendes SOC (Security Operation Center), um eine Rund-um-die-Uhr-Überwachung aller Prozesse zu gewährleisten.

Gerade die letzte Maßnahme gilt als Königsdisziplin und ist bei nahezu allen, großen Retail-Playern bereits im Einsatz. Das Ziel ist die umfassende Überwachung aller Systeme und Geräte im Falle eines Angriffs.

Interne Systeme kompromittieren: z. B. Kassensysteme

Angriffe auf interne Systeme, vorwiegend Kassensysteme, führen oft zu einem längerfristigen Stillstand und können zudem sensible Daten preisgeben.

Beispiel-Szenarien aus der Praxis sind hier der Angriff auf das Kassensystem des Großhändlers Metro im Jahr 2022 sowie eine Attacke auf das Kassensystem der dänischen Filialen der Supermarkt-Kette 7-Eleven, ebenfalls im Jahr 2022. Alle Filialen des Supermarktes mussten im Zuge dieses Angriffs testen.

Mögliche Sicherheitsmaßnahmen für dieses Szenario sind:

Alle Kassensysteme oder sonstige IoT-Systeme kontinuierlich auf Schwachstellen innerhalb der Applikationen, Schnittstellen oder der gesamten Firmware testen
Beachten: Im Zuge der Digitalisierung gibt es mehr Self-Service-Kassen, die besondere Angriffsflächen bieten
Sicherheitstipp: Der Zugang der Mitarbeiter an Kassensystemen sollte durch eine PIN und einem zusätzlichen Authentifizierungsfaktor (Token oder App) gesichert sein

2) Menschliche Schwachstellen / Credential Diebstahl

Eine Vielzahl an Angriffen wird gezielt über den „Schwachpunkt“ Mensch durchgeführt.

Dabei reagieren Mitarbeitende besonders häufig auf den Klassiker Phishing-Mail und geben sensible Daten ein, die dann abgefangen und für den nächsten Schritt eines Angriffes bzw. zur Spionage genutzt werden.

Ein Beispiel-Szenario aus der Praxis ist hierfür der Versand einer Phishing-Mail an Mitarbeitende von IKEA im Jahr 2021. Der schwedische Möbelriese Ikea wurde dabei Opfer eines Cyber-Angriffs, bei dem Hacker zunächst Zugriff auf das E-Mail Konto von Mitarbeitern erlangt und dann über dieses Phishing Mails versendet haben. Es wurden keine Kundendaten erfasst, dennoch entstand ein hoher, wirtschaftlicher Schaden. Der Versand der E-Mails erfolgte über interne Microsoft Exchange-Server, was die Glaubwürdigkeit für die Mitarbeiter*innen deutlich erhöhte. Außerdem besonders tückisch: Der Angriff wurde über das „Reply-Chain-Prinzip“ durchgeführt – also das Einhacken in bestehende Konversationen, was die Angreifer wie „echte“ Arbeitskolleg*innen wirken ließ.

Ebenso weit verbreitet ist ein Hacking über externe Datenträger, also etwa das Einführen von USB-Sticks, welche Mitarbeitenden zuvor zugesendet oder aber direkt im oder um das Unternehmen herum ausgelegt wurden, um ein System lahm zu legen oder Daten zu hacken.

Mögliche Sicherheitsmaßnahmen für beide Szenarien sind:

Stärken und etablieren Sie Ihre E-Mail-Sicherheit zum Schutz vor Phishing.
Sichern Sie sämtliche Endgeräte gegen Ransomware (Schadprogramme).
Führen Sie ein IAM/CIAM (Identity Management) inkl. einer Multi-Faktor-Authentifizierung zur Überwachung und zum Schutz aller digitalen Zugriffe ein, um Identitäten zu schützen.
Etablieren Sie eine Cloud Security Strategie: Welche Cloud-Anwendungen dürfen genutzt werden und wer hat in welchem Umfang Zugriff auf die Daten?
Investieren Sie Zeit und Geld, um Mitarbeitende zu sensibilisieren und zu schulen (beispielsweise über Security Awareness Trainings).
Gewähren Sie Unbefugten keinen Zutritt und etablieren Sie einen Prozess für Besucher in Ihrem Unternehmen.
Erstellen Sie Sicherheitsrichtlinien sowie -Strategien und erwägen Sie den Aufbau und die Etablierung eines ISMS (Informationssicherheits-Management-Systems.

Nicht nur Angestellte, auch Kund*innen sind betroffen

Ähnliche Szenarien, wie oben beschrieben, können auch Kund*innen betreffen: In Form von Spam-Mails, welche im Namen des Unternehmens an Kund*innen gesendet werden mit dem Zweck sensible Daten abzugreifen.

Beispiel-Szenarien aus der Praxis sind hier ein fingiertes Gewinnspiel auf Facebook (2019), das auf eine gefälschte Website im typischen Design von Adidas leitete und Eingabe relevanter Daten forderte sowie Amazon-Fake-Emails (z.B. 2019, kursieren aber immer wieder), die zur Neu-Eingabe sensibler Daten aufrufen.

Mögliche Sicherheitsmaßnahmen, die Konsument*innen ergreifen können, sind:

E-Mails aufmerksam lesen und gezielt nach Fehlern suchen, beispielsweise im Absender, aber auch im Hinblick auf den sprachlichen Stil, Bestelldaten usw.
Verschiedene Überlegungen anstellen:

„Habe ich auch wirklich etwas bestellt oder ein Abo abgeschlossen?“
„Habe ich ein Konto bei der Bank, welche mich aufgefordert hat mich zu authentifizieren?“
„Hat der Online Shop, auf den ich geleitet werde, ein ausführliches und seriöses Impressum? Kurz: Bin ich auf dem richtigen Online Shop gelandet oder handelt es sich um einen Fake-Shop“

…

Unser Tipp: Gerade im Hinblick auf die Seriosität eines Online Shops kann der sogenannte Fakeshop-Finder der Verbraucherzentrale helfen. Dieser kann auch Unternehmen behilflich sein, unseriöse URLs mit Ihrem Unternehmensnamen nachzuverfolgen.

Grundsätzlich sind aber vor allem die Unternehmen in der Pflicht, die Kontaktdaten ihrer Kund*innen zu schützen und Betrügern keine Möglichkeit zu bieten, Phishing-Mails und andere Fake-Nachrichten zu versenden.

Check-out & Fazit: Datengetrieben? Ja. Aber mit Verantwortung für mehr Kundenvertrauen

Ein solides Fundament des Vertrauens im Einzelhandel ist von entscheidender Bedeutung, um Kund*innen langfristig zu binden. Digitale Zuverlässigkeit ist dabei der Schlüssel, um Verbrauchervertrauen grundlegend aufzubauen. Digitales Vertrauen wiederum bestärkt Kaufentscheidungen auch in einer Zeit, in der Risiken und Angriffe im digitalen Raum allgegenwärtig sind. Einzelhandelsunternehmen können durch proaktive Maßnahmen zur Sicherung und zum Schutz ihrer kritischen Geschäftsprozesse sowie sensibler Daten das Vertrauen in ihre digitale Zuverlässigkeit aufbauen. Dadurch schaffen sie für ihre Kund*innen eine vertrauensvolle Basis im digitalen Umfeld.
Der Einsatz robuster Sicherheitssysteme und modernster Technologien sowie Schulungen der Mitarbeitenden bietet Konsument*innen schlussendlich sorgenfreie Einkaufserlebnisse, die zu einer langfristigen Bindung führen.

Als Digital Powerhouse von Digitalisierungsprojekten übertragen wir unsere Expertise mit einem Team von 2100+ Digital Natives und Innovatoren auf die Retail Branche.

Attila Misota, Business Development Manager und PreSales-Consultant

Seit 2016 ist Attila im Bereich Digital Integrity Solutions bei Telekom MMS tätig. Sein Team erbringt Beratungs-, Architektur- und Implementierungsleistungen rund um die Themen Informationssicherheit, Datenschutz und Blockchain. Zu den Schwerpunkten zählen die Implementierung und Prüfung von Datenschutz- und Sicherheitsmanagementsystemen (z.B. ISO27001), Erstellung von Sicherheitskonzepten, der Betrieb von Sicherheitslösungen, Training & Sensibilisierung von Mitarbeitern und die Beratung zur Einhaltung von Datenschutzanforderungen (z.B. EU-DSGVO) für Projekte und Organisationen.

Gastautor*in

Ob Digitalisierungsexpert*in, Werkstudent*in oder Schülerpraktikant*in – Hier berichten unsere Gastautoren aus ihrem Alltag.

Name	Cookie-Einstellungen
Anbieter	Deutsche Telekom MMS GmbH, Impressum
Zweck	Speicherung der Cookie-Einwilligungen, die beim Aufruf der Website gegeben wurden.
Datenschutzerklärung	https://www.telekom-mms.com/datenschutz.html
Host(s)	blog.telekom-mms.com
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Mapp (ehem. Webtrekk)
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Betrieb und bedarfsgerechte Gestaltung
Datenschutzerklärung	https://leistungen.telekom-mms.com/datenschutz.html
Host(s)	tsystems01.webtrekk.net
Cookie Name	WTEID_, WT_, WTSID_*
Cookie Laufzeit	6 Monate (Cookie), Bis zum Beenden des Browsers (Session Cookie)

Name	Social Media Funktionen
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Ermöglicht es, die Social Funktionen auf der Webseite zu aktivieren, um Inhalte über Social Media zu teilen.
Datenschutzerklärung	https://blog.telekom-mms.com/datenschutzhinweise
Host(s)	blog.telekom-mms.com
Cookie Name	social, lokaler Speicher (blog.telekom-mms.com)
Cookie Laufzeit	1000 Tage (Cookie), Bis zum Löschen des Caches (lokaler Speicher)

Akzeptieren	soundcloud
Name	soundcloud
Anbieter	SoundCloud Limited
Zweck	Wird von SoundCloud eingesetzt, um registrierte Nutzer plattform- und geräteübergreifend zu erkennen
Datenschutzerklärung	https://soundcloud.com/pages/privacy
Host(s)	soundcloud.com, w.soundcloud.com
Cookie Name	sc_anonymous_id, Session Cookie (w.soundcloud.com), lokaler Speicher
Cookie Laufzeit	10 Jahre (Cookie), Bis zum Beenden des Browsers (Session Cookie), Bis zum Löschen des Caches (lokaler Speicher)