Security-Offensive bei Target
Alles neu macht der Breach
Foto: John Mantell - shutterstock.com
Kundendaten zu schützen und zugleich ein gutes Einkaufserlebnis zu gewährleisten, stellt für Einzelhändler seit jeher eine Herausforderung dar. Multifaktor-Authentifizierung oder Sicherheitsfragen sorgen zwar für Reibungsverluste im Kaufprozess - ein Sicherheitsvorfall, der zum Verlust sensibler Kundendaten führt, hat jedoch weitaus größere Auswirkungen auf das Geschäft als ein paar Kaufabbrüche.
Ein typisches Beispiel ist der oft und vielzitierte Hackerangriff auf den US-Einzelhandelsriesen Target im Jahr 2013: Mehr als 41 Millionen Kundenkonten waren von diesem Breach betroffen, was das Unternehmen 18,5 Millionen Dollar kostete. Der Hack veranlasste das Unternehmen dazu, seine Sicherheitspraktiken und -richtlinien auf den Prüfstand zu stellen und zu optimieren - ohne dabei die Customer Experience aus den Augen zu verlieren. Im Jahr 2021 ist aus Target - nicht nur für die Retail-Branche - ein leuchtendes Security-Vorbild geworden.
Foto: Target
Daran hat CISO Rich Agostino erheblichen Anteil, der 2014 seinen Posten als Vice President of Technology and Risk Compliance bei GE aufgab, um Target im Bereich Cybersicherheit nach vorne zu bringen. Diese Aufgabe nimmt er auch heute - als Senior Vice President und CISO des Einzelhändlers - weiterhin wahr. Daneben legte Agostino den Fokus darauf, die Webschnittstellen des Unternehmens benutzerfreundlich zu gestalten - die Sicherheitsoptimierungen sollten für die Nutzer unbemerkt im Hintergrund ablaufen: "Jedes Mal, wenn der Kassiervorgang aus Sicherheitsgründen unterbrochen wird, kann das den Komfort des Einkaufserlebnisses beeinträchtigen. Wir tun also alles dafür, das Einkaufserlebnis zu optimieren und gleichzeitig die Sicherheit unserer Kunden zu gewährleisten."
Security auf "Nationalstaat"-Niveau
Dem Manager war bewusst, dass er zunächst die richtigen Schlüsse aus dem Hack von 2013 ziehen musste, bevor er den Cybersicherheitsansatz von Target überarbeiten konnte. Was er dabei herausfand, stand im Gegensatz zu den gängigen Annahmen: "Die Leute neigen dazu, den Angriff auf Target aus dem Jahr 2013 als bedeutsam zu betrachten, weil es sich um den ersten Angriff oder den größten Angriff auf Verbraucherdaten handelte - aber beides ist nicht korrekt. Der Angriff war deshalb bedeutsam, weil es das erste Mal war, dass wir eine Attacke auf den Einzelhandel beziehungsweise sensible Kundendaten erlebt haben, die sich in Sachen Raffinesse auf dem Niveau von staatlich gelenkten Hackerangriffen befand", konstatiert Agostino.
Die Schlussfolgerung des Chief Information Security Officer war, dass es nicht ausreicht, einfach nur die Löcher im Unternehmensnetzwerk zu stopfen: "Wir mussten das Vertrauen unserer Kunden, Mitarbeiter und Aktionäre sowie allen anderen, die von der Sicherheitsverletzung betroffen waren, zurückgewinnen. Also haben wir eine ziemlich kühne Strategie entwickelt, wie wir die Cybersicherheit bei Target umgestalten wollen. Der Schwerpunkt lag dabei auf dem Aufbau fortschrittlicher Fähigkeiten, die mit den sich entwickelnden Bedrohungen Schritt halten können."
Um diese Strategie umzusetzen, baute Agostino ein fähiges, internes Cybersicherheitsteam auf, das über die nötigen Zahlen, Kenntnisse und Programmierfähigkeiten verfügt, um wirksame Schutzmaßnahmen zu entwickeln und einzusetzen: "Wir haben Hunderte von Sicherheitsexperten aus allen Bereichen eingestellt, darunter aus dem Finanzwesen, von Regierungsinstitutionen sowie aus der Industrie und dem Einzelhandel."
Die Cybersicherheitsexperten arbeiten inzwischen rund um die Uhr im "Cyber Fusion Center" (CFC) von Target in Brooklyn, Minnesota. Es handelt sich dabei um eine riesige, offen konzipierte Einrichtung, die dem Team den Raum gibt, Cybercrime-Trends zu beobachten und zu analysieren. Darüber hinaus entwickelt ein Incident-Response-Team Target-spezifische Erkennungs-Tools und spürt Bedrohungen für Netzwerke und Systeme auf. Alle Erkenntnisse und Maßnahmen im CFC werden dabei dokumentiert. Das CFC versetzt den Einzelhandelsriesen in die Lage, auf dem Niveau eines Nationalstaats auf Cyberattacken zu reagieren. Dabei ist jedoch auch das nötige Knowhow vorhanden, um die Security Tools im Hintergrund in Webschnittstellen und Betriebssysteme einzubetten und so den Kunden ein reibungsloses Online-Einkaufserlebnis zu bieten.
Neue Sicherheitskultur
Allzu oft werden Sicherheitsverletzungen im Internet durch unbeabsichtigte, aber verheerende Fehler von Nicht-IT-Mitarbeitern verursacht. Auch bezüglich des großen Hacks 2013 steht die Vermutung im Raum, dass eine Phishing-Mail bei einem Drittanbieter ursächlich gewesen sein soll.
Um zu verhindern, dass sich so etwas wiederholt, haben Agostino und sein Team die Mitarbeiter von Target - und auch die seiner Zulieferer - geschult: "Wir mussten das Bewusstsein im Unternehmen schärfen, dass diese Bedrohung nicht verschwinden wird, sondern täglich größer wird. Dazu gehörte, allen Schulungsteilnehmern einzubläuen, auch in ihrem Alltag über den Aspekt der IT-Sicherheit nachzudenken."
Das Vorgehen spiegelt Agostinos Überzeugung wider, dass es nichts bringt, Menschen dazu zu zwingen, Vorschriften einzuhalten: "Unser Fokus lag von Anfang an darauf, zu erziehen und nicht zu erzwingen. Darum haben wir uns bei der Schulung der technischen Teams auch auf Gamification-Ansätze verlassen. Außerdem haben wir beschlossen, unsere Richtlinien so zu gestalten, dass sie einfach zu befolgen sind - niemand sollte ein 60-seitiges Dokument lesen müssen, um zu wissen, was zu tun ist. Darüber hinaus haben wir den Teammitgliedern auch Self-Service Tools an die Hand gegeben, damit sie Sicherheitstests selbständig anstoßen können."
Geld ist nicht alles
Dieser ausgewogene Security-Ansatz ist laut CISO Agostino sehr erfolgreich: "Das manifestiert sich in Form des enormen digitalen Wachstums und all der neuen Funktionen, die wir vor und während der Pandemie einführen konnten, ohne das Unternehmen Risiken auszusetzen. Ich bin stolz auf das, was wir auf technischer Seite geleistet haben. Die Art und Weise, wie Target Security betreibt, ist ein echtes Differenzierungsmerkmal."
Zwar lehnte das Unternehmen ab, Vergleichsdaten zur Messung des Erfolgs seines Sicherheitsprogramms zur Verfügung zu stellen, aber laut eines Unternehmenssprechers habe die Sicherheit dazu beigetragen, ein "signifikantes, digitales Umsatzwachstum" zu ermöglichen. Das Sicherheitsteam von Target habe darüber hinaus inzwischen 17 Patente für eigenentwickelte Technologien angemeldet.
Für Agostino ist der monetäre Erfolg jedoch nicht das Wichtigste: "Meine Aufgabe ist es, ein Einkaufserlebnis zu schaffen, bei dem sich die Kunden sicher fühlen. Ja, manchmal müssen wir bei unseren Entscheidungen Kompromisse eingehen - aber am Ende des Tages kommt es darauf an, dass wir in der Lage sind, eine gesunde Balance zwischen Sicherheit und Customer Experience zu finden."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.