Cyberattacken können jeden treffen

Datenschutz im Einzelhandel

Fachgeschäfte, Kaufhäuser oder Supermärkte – wer im Einzelhandel tätig ist, verarbeitet täglich sensible Daten von Kunden, Mitarbeitern oder Handelspartnern. Da die Abrechnungsprozesse in dieser Branche eine hohe Komplexität aufweisen, ist ein vollständig digitalisiertes System zum unverzichtbaren Bestandteil des Berufsalltags geworden. Gut, solange dessen Funktion gewährleistet ist – doch welche Folgen hat es, wenn die IT versagt oder angegriffen wird? Die meisten Anwender sind sich der zahlreichen Cyber-Gefahren gar nicht erst bewusst: Wer sich und sein Unternehmen effektiv schützen will, muss sich ausführlich informieren.

Kundendaten
Bankdaten
Buchhaltung
Partner- und Mitarbeiterdaten

Für diese Formen des Einzelhandels ist Cybersicherheit besonders wichtig:

Fachgeschäfte, Gemischtwarengeschäfte, Warenhäuser, Kaufhäuser, Filialisten, Kleinpreisgeschäfte, Markthallen, Supermärkte, Boutiquen, Ladenhandwerker, Einkaufszentren, Bestellmärkte und Wanderhändler

Viren, Malware und Co. – diese Gefahren können auch Sie treffen

Cybergefahren im Einzelhandel

Cyberattacken sind längst keine Einzelfälle mehr und gehören für deutsche Unternehmen zum Alltag. Es gibt zahlreiche Angriffspunkte für Hacker, vor allem wenn es darum geht, sensible Informationen und Daten zu erbeuten. Gerade im Einzelhandel wird mit einer Vielzahl von personenbezogenen Daten gearbeitet. Insofern ist es in dieser Branche unumgänglich, sich mit den einschlägigen Gefahren auseinanderzusetzen.

Der Hackerangriff und das organisierte Verbrechen

Sie glauben, Ihr Unternehmen ist nicht „groß genug“ für einen Angriff durch Hacker? Das kann ein sehr teurer Irrtum werden. Gerade im Einzelhandel werden täglich sensible Daten ausgetauscht, die für Cyberkriminelle äußerst interessant sein können. Von der Betriebs- und Wirtschaftsspionage über den Datendiebstahl bis hin zur Erpressung: Die Motive der Hacker können äußerst verschieden sein.

Datenschutz- oder Sicherheitsverletzung

Dabei muss es nicht unbedingt eine aktive Tat sein, die ein Cyberverbrechen zur Folge hat. Wenn Gesetze nicht eingehalten oder Vorschriften nicht umgesetzt werden, können die daraus resultierenden Lücken in der IT-Sicherheit sogar strafrechtliche Konsequenzen haben. Die neue Datenschutzgrundverordnung dient dabei als ein aktuelles Beispiel: Viele Einzelhändler haben Schwierigkeiten bei der Umsetzung der neuen Vorschriften zum korrekten Umgang mit personenbezogenen Daten. Damit riskieren Betriebe unter Umständen eine Verletzung der Informationssicherheit, was zu Schadensersatzforderungen führen kann.

Malware

Als Malware bezeichnet man eine bösartige (englisch: malicious) Software, die so programmiert ist, dass sie Computern, Smartphones oder Tablets schaden soll. Hier werden unter anderem Trojaner, Würmer, Viren oder Spyware eingesetzt. Die Nutzer merken in den meisten Fällen gar nicht, dass ihr Gerät befallen ist und lassen die schädliche Software so noch tiefer in das System eindringen. Gerade im Einzelhandel können die Folgen fatal sein, da eine Malware in der Lage ist, sensible Kunden-, Lieferanten- und Mitarbeiterinformationen zu sammeln oder zu zerstören.

Fehler oder Täuschung von Mitarbeitern

Einzelhandelsunternehmen versuchen sich oft nur vor externen Faktoren zu schützen. Doch zahlreiche Studien (Bitkom, BSI u. a.) belegen, dass die größte Sicherheitslücke innerhalb der Betriebe liegt. Dies sind aber nicht nur Mitarbeiter, die ahnungslose Opfer von Phishing-Mails werden und damit Cyberkriminellen die Tür öffnen – es gibt auch zahlreiche Fälle, in denen bewusst Daten gestohlen oder Firmen ausspioniert werden.

Auf einen Blick

Hackerangriff/organisiertes Verbrechen

  • Erpressung
  • Cyber-Diebstahl

Datenschutz- oder Sicherheitsverletzung

  • Verletzung der Datenschutzgesetze (bspw. DSGVO)
  • Schadensersatzansprüche nach einer Verletzung der Informationssicherheit

Malware

  • Komplexe Schadprogramme (z.B. Petya, WannaCry)

Fehler oder Täuschung durch Mitarbeiter

  • Verletzung der Netzwerksicherheit
  • Datenklau
  • Datenweitergabe
  • Sabotage

Unternehmen im Cyber-Check

5 Tipps für mehr IT-Sicherheit

Ob beim täglichen Abrufen der Mails, beim unvorsichtigen Surfen im Web oder beim Download einer neuen Software: Cybergefahren können überall lauern. Dabei haben es die Hacker erschreckend einfach, denn die Einfallstore stehen meist weit offen. Die folgenden Tipps können selbst mit einem kleinen Budget für deutlich mehr IT-Sicherheit im Einzelhandel sorgen:

1 Cybersicherheit ist Chefsache

Die IT-Sicherheit eines Betriebs erfordert einen ganzheitlichen Ansatz. Deswegen ist die Chefetage stets die erste Anlaufstelle für die digitale Sicherheit eines Unternehmens.

2 Updates und Patches aktuell halten

Welche Hard- und Software wird überhaupt in Ihrem Unternehmen genutzt? Verschaffen Sie sich zunächst einen Überblick darüber und stellen Sie anschließend sicher, dass die Updates und Patches aller Firmenrechner auf aktuellem Stand sind. Veraltete Betriebssysteme sollten keinesfalls noch verwendet werden. Wenn Sie diese einfachen Maßnahmen umsetzen, sind die Erfolgsaussichten von Cyberangriffen deutlich geringer.

3 Sichere Passwörter nutzen

Der Name des Betriebs, des Straßennamens oder schlicht „11112222“. In Ihrem Unternehmen sollten keinesfalls solche Passwörter verwendet werden, denn Hacker können Zugangscodes dieser Art meist ohne große Mühe entschlüsseln. Es gibt zwar kein Rezept für absolute Sicherheit – aber Sie können es den Angreifern so schwer wie möglich machen, indem sie mindestens acht zufällige Zeichen verwenden, die aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen bestehen. Passwörter dürfen nicht notiert oder mehrfach verwendet werden. Sorgen Sie außerdem dafür, dass die Zugangsdaten regelmäßig geändert werden.

4 Mitarbeiter regelmäßig schulen

Trotz aller externen Gefahren gelten die Mitarbeiter als eine der größten Gefahrenquellen für die IT-Sicherheit eines Betriebs. Ob sie dabei unvorsichtig surfen oder unbekannte Mailanhänge öffnen und weiterleiten: Der kleinste Fehler kann eine große Sicherheitslücke zur Folge haben. Gerade deshalb sollten Ihre Mitarbeiter regelmäßig geschult und für den Themenbereich der Cyber-Sicherheit sensibilisiert werden. Interne Kampagnen zu relevanten IT-Themen oder zu aktuell kursierender Malware können außerdem präventiv wirken.

5 Datensicherung ist elementar

Führen Sie regelmäßige Backups durch – damit schützen Sie Ihr Unternehmen nicht nur vor Datenverlust, sondern auch vor sogenannter „Ransomware“. Letztere wird von Cyberkriminellen verwendet, um Nutzer zu erpressen: Dabei werden die Daten auf einem Computer verschlüsselt und erst gegen ein Lösegeld wieder zugänglich gemacht. Sollte der Betrag nicht entrichtet werden, droht der Datenverlust. Außerdem sollten die Backups an verschiedenen Orten gesichert werden.

Jetzt ihre Website prüfen.

Damit eine Cyberversicherung abgeschlossen werden kann, muss ein Unternehmen oftmals bestimmte Grundvoraussetzungen erfüllen. Dazu gehört unter anderem die Datensicherung an unterschiedlichen Orten oder die ständige Aktualisierung von Sicherheitssoftware. Um Ihren Einzelhandelsbetrieb optimal auf einen Versicherungsabschluss vorzubereiten, können Sie im Folgenden eine Cyber-Checkliste downloaden und abarbeiten.

Mit dieser Checkliste können Sie einen Quick-Check durchführen:

  • Virenscanner, Spamschutz, Firewall und Sicherheitssoftware installieren
  • Daten regelmäßig und getrennt sichern
  • Eine Schlüsselsoftware installieren: Damit sind alle Daten nur über einen Schlüssel oder ein spezielles Passwort zugänglich
  • Unterschiedliche Passwörter nutzen und diese in regelmäßigen Abständen aktualisieren. Diese sollten zudem sicher sein und Groß- und Kleinbuchstaben, Ziffern und Buchstaben enthalten sowie mindestens acht Buchstaben haben
  • Keine Mails von unbekannten Adressaten öffnen
  • Mitarbeiter, die im Homeoffice arbeiten oder ein dienstliches Smartphone nutzen, müssen ebenfalls immer wieder ein Backup ausführen
  • Möglichst regelmäßig den Cache leeren
  • Sensibilisierung der Mitarbeiter für das Thema Datenschutz und Cyber-Kriminalität
Cyber-Checkliste downloaden

Die Folgeschäden einer Cyberattacke

Cyberschäden im Einzelhandel

Cyberattacken können schwerwiegende Folgen nach sich ziehen. Gerade wenn sie auf ein unzureichend geschütztes IT-System treffen, können hohe Kosten durch kurz- und langfristige Betriebsbeeinträchtigungen entstehen. Was selbst für größere Einzelhändler zu einem ernsthaften Problem werden kann, trifft gerade die mittelständischen Betriebe mit voller Härte: Das Vertrauen der Kunden und Partner leidet, die Lieferkette wird unterbrochen und unter Umständen muss das Geschäft für einige Tage geschlossen bleiben.

Folgeschäden
  • Datenwiederbeschaffung
  • Neueingabe von Daten
  • Neuinstallationen
  • Aufwendungen für Verschlüsselungen
  • Kosten aufgrund fehlerhaftem Versands
  • Schäden durch elektronischen Zahlungsverkehr
  • Telefonmehrkosten
  • Ertragsausfall und Mehrkosten
  • Aufwendungen für eine Ursachenermittlung
  • Notwendige Krisenkommunikation
  • Auftretende Informationskosten
  • Ersatz der Hardware
  • Anwaltskosten
  • Ansprüche nach der Weitergabe von Schadsoftware an Dritte

3 Leistungen, für die Sie externe Hilfe holen müssen

Dienstleister für Cybersicherheit im Einzelhandel

Um mit den Folgen einer Cyberattacke fertig zu werden oder um entsprechende Präventivmaßnahmen umzusetzen, ist die Inanspruchnahme externer Hilfe meist unumgänglich. Für einen umfassenden IT-Schutz sollten spezialisierte Dienstleister beauftragt werden, die Betriebe in den folgenden Punkten unterstützen können:

Online-Training

  • Nachhaltiges Training
  • Aktuelle Trainingsvideos über Sicherheitsrisiken
  • Konkrete Handlungsempfehlungen
Zum Online-Training

Mitarbeiterschulung

  • Gefahrenüberlick
  • Präventionsschulungen
Mitarbeiter schulen

Penetrations-Test

  • Angriffssimulation
  • Proaktives Erkennen von Sicherheitslücken
  • Detailierter Sicherheitsreport
Zum Pen-Test anmelden

Cyberattacke: Das müssen Sie jetzt tun

Sofort-Maßnahmen nach einem Cyberangriff

Selbst wenn alle Vorsichts- und Präventivmaßnahmen ergriffen wurden, kann es immer noch dazu kommen, dass IT-Systeme erfolgreich gehackt und beschädigt werden. Für diesen Fall sollte ein Notfallplan vorliegen, der speziell auf die Prozesse innerhalb Ihres Einzelhandelsbetriebs zugeschnitten ist. Darin sind sowohl die Zuständigkeiten als auch die Abläufe und die zu ergreifenden Maßnahmen klar definiert.

Die folgende Checkliste zeigt, was im Schadensfall konkret zu tun ist:

Was im Schadensfall konkret zu tun ist, zeigt diese Checkliste:

  • Interne Aufklärungsarbeit (Schwachstellen analysieren und Einfallstor schließen)
  • Kontinuierliche Überwachung der Systeme auf erneuten
  • Schaden (d.h. Datenabfluss/-verlust) ermitteln
  • Juristisch gebotene Schritte einleiten (zum Beispiel Meldepflichten gegenüber Aufsichtsbehörden)
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln
  • Konkrete Argumentationslinien und Kommunikation nach innen/außen entwickeln

Nach einem Cyberangriff ist unbedingt zu prüfen, inwiefern der Vorfall bestimmten Meldepflichten gegenüber Aufsichtsbehörden oder Stakeholder im In- und Ausland unterliegt. Nur so können etwaige Haftungsrisiken und Bußgelder vermieden werden.

Davor schützt eine Standard-Cyberversicherung

Cyberversicherung für den Einzelhandel

Wenn die Attacke auf das IT-System erfolgreich war, sind die Konsequenzen oft teuer und nehmen viel Zeit in Anspruch. Um die jeweiligen Schäden gering zu halten, ist der Abschluss einer Cyberversicherung ratsam. Da sich die einzelnen Policen stark voneinander unterscheiden können, sollte man sich genau erkundigen, welche Szenarien vertraglich abgesichert sind – und unter welchen Voraussetzungen der Versicherungsschutz greift.

Zu den Versicherungsprodukten

Ist eine Cyberversicherung sinnvoll?

Brauchen Einzelhändler eine Cyberversicherung?

Die Cyberangriffe durch die Malwares „Petya“ und „WannaCry“ haben deutlich gemacht, dass die entsprechenden Gefahren für Unternehmen omnipräsent sind. Dafür braucht es nicht einmal einen gut organisierten Zusammenschluss von Cyberkriminellen – nur eine kleine Unachtsamkeit eines Mitarbeiters kann ausreichen, um sensible Daten zu extrahieren oder das gesamte IT-System eines Einzelhandels zu beschädigen. Hier kommen die Cyberversicherer ins Spiel: Der finanzielle Schaden wird nicht nur in der vertraglich vereinbarten Höhe gedeckelt, die Dienstleister können darüber hinaus auch bei der Datenwiederherstellung behilflich sein. Einige Versicherer bieten zudem eine telefonische Beratung an, falls rechtliche oder anderweitige Fragen zu klären bleiben.