Cybersicherheit für den Einzelhandel

Da immer mehr Verbraucher online einkaufen, müssen sich Ladengeschäfte und Filialen an die neuen Kundenvorlieben anpassen. Mit einem strategischen Ansatz bei der Digitalisierung, dem Internet der Dinge (IoT) und Kundenanalysen können Einzelhändler im Ladengeschäft ein flexibles, persönliches Einkaufserlebnis schaffen, das ein reiner Online-Händler nicht bieten kann.

Eine wichtige Voraussetzung dafür ist ein schneller, stabiler und sicherer WLAN-Zugang im Ladengeschäft. Mit der Secure SD-WAN-Lösung von Fortinet in Kombination mit einer FortiGate lassen sich die Anforderungen an die Bandbreite und Verbindungsqualität (QoS) eines Einzelhandelsnetzwerks erfüllen und gleichzeitig marktführende Sicherheitskontrollen und ein zentrales Richtlinien-Management einführen. Gemeinsam mit Fortinet Secure Wireless Access können Ladengeschäfte getrennt vom Unternehmens-WLAN einen gesonderten WLAN-Gastzugang für Kunden implementieren.

Mit diesen Lösungen lässt sich auch FortiPresence für standortbasierte Analysen bereitstellen. FortiPresence nutzt die Deep-Packet-Inspektion der FortiGate, um Kunden in den Verkaufsräumen zu identifizieren. Nach der Analyse der Anwesenheitsdaten mit seiner Presence Analytics Engine schickt FortiPresence dann aktuelle Kauftipps und Sonderangebote, die den online verfügbaren Angeboten entsprechen, an Smartphones und die digitale Ausschilderung im Geschäft.

Mit dem FortiAP und der FortiGate können Einzelhändler Kunden ein sicheres Omnichannel-Einkaufserlebnis bieten und profitieren gleichzeitig von zahlreichen betrieblichen und Marketing-Vorteilen:

• schnelle Implementierung mit automatisiertem Funk-Management
• Erkennung von Rogue APs und PCI-konformes Reporting
• Captive Portal mit Anmeldung über soziale Netzwerke
• intelligente Erkennung von Kunden im Geschäft mit Daten zum aktuellen Aufenthaltsort
• dynamische standortbezogene Werbung
• Unternehmenslösung mit vollständigem Funktionsumfang – keine zusätzlichen Lizenzkosten für die Freischaltung einzelner Funktionen

Filialnetze im Einzelhandel sind oft geografisch weit verstreut und jeder Standort kann recht unterschiedliche Netzwerk- und Security-Anforderungen haben. Auch erwarten Kunden heutzutage vom Einzelhandel ein Omnichannel-Einkaufserlebnis, was dem Netzwerk zusätzliche Komplexität beschert – angefangen bei der Bereitstellung von WLAN-Gastzugängen bis hin zum Einsatz von IoT-Geräten (Internet der Dinge). Einzelhändler stellt dies vor schwierige Entscheidungen, wenn ein gutes Einkaufserlebnis mit den Sicherheitsanforderungen einzelner Standorte in Einklang gebracht werden muss.

Dieser steigenden Komplexität und dem zunehmenden Mangel an Cyber-Security-Fachkräften kann nur mit effizienteren Betriebsabläufen begegnet werden. Mit FortiManager, FortiAnalyzer und FortiDeploy profitieren Einzelhändler von einem hohen Automatisierungsgrad und einer zeitsparenden Zero-Touch-Bereitstellung. Sie erhalten damit über eine einzige „Schaltzentrale“ netzwerkweite Transparenz und Kontrolle . So lassen sich selbst mit einem kleinen IT-Team mehrere Filialen problemlos betreuen.

Fortinet-Lösungen bieten Funktionen, mit denen Einzelhändler die wachsende Netzwerk-Komplexität selbst mit kleinen IT-Teams in den Griff bekommen, wie z. B.:

• zentralisierte Transparenz und Verwaltung – eine einzige Konsole mit Sicht auf das gesamte Netzwerk
• Konfigurationsmanagement mit Templates, Skripts und APIs
• integrierte Suite mit einfach anpassbaren Security-, Performance- und Nutzungsberichten
• automatisiertes Reporting zur Einhaltung gesetzlicher Vorschriften im Einzelhandel
• One-Touch-Bereitstellung von Geräten mit bewährter Skalierbarkeit auf über 10.000 Standorte 

Der PCI-DSS-Standard für Kreditkartenzahlungen und das kommende PCI Software Security Framework (SSF) geben strenge Anforderungen vor, wie Einzelhändler die Kreditkartendaten von Kunden schützen müssen. Werden jedoch für die PCI-DSS-Konformität isolierte Einzellösungen eingesetzt, müssen sich unterbesetzte Security-Teams womöglich zwischen einem sicheren Netzwerk-Schutz oder der Erfüllung des PCI-DSS-Standards entscheiden.

Angesichts der ständig wechselnden Anforderungen und immer komplexeren Vorschriften wird es zunehmend schwierig, mit manuellen Verfahren eine netzwerkweite Transparenz zu erreichen und notwendige Sicherheitskontrollen durchzusetzen. Sollen zudem Web- und Smartphone-Apps, Auftragslieferlösungen und andere Dienste direkt in das PoS-Netzwerk (Point-of-Sale) integriert werden, dürften Security-Teams durch weitere Sicherheitsaufgaben noch stärker belastet werden.

Mit der Fortinet Security Fabric können Einzelhändler die Einhaltung von PCI DSS und SSF einfacher nachweisen und aufrechterhalten. Dafür werden Fortinet-Geräte und -Dienste mit Drittlösungen integriert, um auch externe Informationen zu erfassen. Fortinet arbeitet zudem mit einem offenen API-Ecosystem und vielen Drittanbietern zusammen.

Die Fortinet Security Fabric bietet dem Einzelhandel viele Funktionen für eine effiziente, konsequente Einhaltung der PCI-DSS-Konformität, darunter:

• zentralisiertes, einheitliches Richtlinien-Management
• sofort verwendbare Berichte für PCI DSS und andere regulatorische Auflagen
• netzwerkweite Topologie-Abbildung mit Identifizierung von Geräten
• Echtzeit-Telemetriedaten für Fortinet-Produkte und Fabric-Ready-Partnerlösungen
• automatisierte Erkennung und Abwehr von Bedrohungen mit Automation-Stitches

Einzelhändler benötigen schnelle, skalierbare Netzwerk-Verbindungen, um nahtlose Transaktionen für Verkauf, Einkauf und Bestandswesen zu ermöglichen. Gegenüber klassischen MPLS-Leitungen (Multiprotocol Label Switching) für Verbindungen zwischen Filialen oder von Filialen zur Unternehmenszentrale bietet eine softwaredefinierte WAN-Architektur (SD-WAN) einen flexibleren Ansatz. Einzelhandelsunternehmen profitieren hiermit von schnelleren Verbindungen zu geringeren Gesamtbetriebskosten (TCO).

Während die Umstellung auf eine SD-WAN-Lösung gegenüber MPLS-Verbindungen mehr Flexibilität und Kostensenkungen eröffnet, müssen Einzelhändler aber auch neue Sicherheitsvorkehrungen treffen. Statt SD-WAN-Geräte nur um Firewalls und andere Netzwerk-Infrastruktur zu ergänzen, bietet Fortinet eine SD-WAN-Komplettlösung mit integrierter Sicherheit. Einzelhandelsunternehmen erhalten damit eine einheitliche Security-Abdeckung – vom Internet bis zur Switching-Infrastruktur. FortiGate Secure SD-WAN bietet dank dem ersten speziell entwickelten SD-WAN-Chip der Branche einen robusten SD-WAN-Bedrohungsschutz mit marktführender Leistung, der auch Sicherheitskontrollen auf Layer 3 bis 7 umfasst.

Viele Einzelhandelsfilialen nutzen vorhandene WAN-Verbindungen für Voice over IP (VoIP) statt eines separaten Telefonanschlusses. Doch VoIP-Anwendungen benötigen nicht nur mehr WAN-Bandbreite. Auch kann ihre Verfügbarkeit und die Sprachqualität durch Cyberangriffe gefährdet sein. FortiVoice bietet eine flexible, einfach konfigurierbare VoIP-Lösung, die sich mit den Vermittlungs- und Zugangskontrolle-Funktionen von Fortinet SD-Branch sichern und von öffentlichen WLANs isolieren lässt. FortiExtender kann zudem eine 3G/4G-Backup-Verbindung bereitstellen, damit das Geschäft in Filialen selbst bei einem Netzwerk-Auswahl reibungslos weiterläuft.

FortiGate Secure SD-WAN hat die niedrigsten Gesamtbetriebskosten der Branche und bietet einen robusten Funktionsumfang, um eine hohe Anwendungsleistung und -verfügbarkeit zu gewährleisten:

• automatische Erkennung und optimales Routing von über 5.000 Anwendungen
• neueste Malware-Signaturen, bereitgestellt als Updates der Anwendungsdatenbank von FortiGuard Labs
• umfassender Schutz vor Bedrohungen, einschließlich Firewall, Virenschutz, Intrusion Prevention System (IPS) und Anwendungskontrolle
• SSL-/TLS-Inspektion (Secure Sockets Layer/Transport Layer Security) mit hohem Durchsatz und minimalen Leistungseinbußen, damit der Komplettschutz vor Bedrohungen nicht zu Lasten der Bandbreite geht
• Web-Filter zur Durchsetzung einer sicheren Internet-Nutzung, ohne dass ein separates sicheres Web-Gateway (SWG) erforderlich ist
• hochskalierbare Overlay-VPN-Tunnel mit hohem Durchsatz, die sicherstellen, dass vertraulicher Datenverkehr immer verschlüsselt übertragen wird

Mit Fortinet SD-Branch können Einzelhändler die Security mit dem Netzwerk-Zugang kombinieren, indem sie Lösungen und Funktionen bereitstellen wie:

• FortiGate und FortiNAC zum Erkennen und Sichern von IoT-Geräten im Netzwerk
• Integration von WLAN- und LAN-Netzwerken in die Sicherheitsinfrastruktur
• zentralisiertes Management von Firewalls, Ethernet-Switches und WLAN-Schnittstellen
• zentrale Transparenz und Kontrolle für die Zero-Touch-Bereitstellung

Laut Untersuchungen von Fortinet haben 87 % der Einzelhandelsunternehmen schon einmal einen Angriff oder eine andere Sicherheitsverletzung hinnehmen müssen. Weiter zeigt die Analyse von FortiGuard Labs, dass es sich bei bis zu 40 % der an einem beliebigen Tag entdeckten Malware-Fälle um unbekannte Gefahren oder Zero-Day-Bedrohungen handelt.

Da Angriffe unvermeidlich sind, müssen sich Einzelhändler auf eine wirkungsvolle Bedrohungsabwehr vorbereiten. Dafür braucht es vor allem eines: verlässliche Bedrohungsinformationen in Echtzeit. Diese Aufgabe übernehmen die FortiGuard Labs. Sie sammeln, analysieren und klassifizieren Bedrohungen in Maschinengeschwindigkeit mit extrem hoher Genauigkeit. Zur umfassenden Erkennung von Bedrohungen nutzt Fortinet künstliche Intelligenz (KI) und maschinelles Lernen (ML), um neue Malware-Signaturen in Echtzeit zu schreiben und über die gesamte Fortinet Security Fabric bereitzustellen.

Der Einzelhandel ist wegen seiner Vernetzung zahlreichen Risiken ausgesetzt. Dezentrale Netzwerke, WLAN-Zugänge für Kunden oder der Einsatz von IoT-Geräten stellen eine Gefahr dar: So werden viele unbekannte Bedrohungen über mobile Geräte von Kunden oder Mitarbeitern sowie über unterschiedlichste Anwendungs- und Benutzeroberflächen in Einzelhandelsumgebungen eingeschleust. Erkennt eine FortiGate-Firewall verdächtige Inhalte, die nicht als bekannte Bedrohung identifiziert werden können, sendet sie diese an die FortiSandbox. Dort kommen die Verdachtsfälle in Quarantäne und werden überprüft – einschließlich Inhalte, die mit SSL (Secure Sockets Layer) und TLS (Transport Layer Security) verschlüsselt sind. Erst wenn alles in Ordnung ist, werden diese Inhalte für das Netzwerk freigegeben. FortiSandbox informiert dann über die Fortinet Security Fabric die anderen Sicherheitskomponenten über alle erkannten Bedrohungen.

Ein intelligenter Bedrohungsschutz muss auch unternehmensinterne Aktivitäten abdecken. Mit FortiDeceptor können Einzelhändler böswillige Insider und Angreifer identifizieren, die Zugang zum Netzwerk erhalten haben. FortiInsight übernimmt die Benutzer- und Verhaltensanalyse (UEBA, User Entity and Behavior Analytics) und überwacht Endgeräte und Benutzer auf anomales, regelwidriges oder verdächtiges Verhalten, das eine Bedrohung für das Unternehmen darstellen könnte.

Eine mehrstufige Bedrohungsabwehr ist der beste Ansatz für die Netzwerk-Security und sollte mindestens folgende Funktionen umfassen:

• robuste Erkennung und Schutz vor bekannten und unbekannten Bedrohungen
• Identifizierung und Behebung von Bedrohungen im Unternehmensnetzwerk
• automatisierte Bedrohungsanalyse in isolierten Sandboxen
• „Täuschungsmanöver“ (Deception) zur Erkennung von Bedrohungen im Netzwerk
• Bedrohungsinformationen in Echtzeit, gestützt von künstlicher Intelligenz (KI) und maschinellem Lernen (ML)
• kontinuierliche Updates über das FortiGuard-Netzwerk

Mit digitalen Innovationen für ein Omnichannel-Einkaufserlebnis können Einzelhändler im hart umkämpften Online-Markt weiterhin Kunden erfolgreich gewinnen und binden. Digitale Innovationen sind aber auch notwendig, um Kosten zu senken und die betriebliche Effizienz zu verbessern.

Beispielsweise setzen viele Einzelhändler unüberwachte IoT-Geräte (Internet der Dinge) und RFID-Technologien (Radio Frequency Identification) ein, um Prozesse der Lagerhaltung und Logistik zu rationalisieren. Diese zusätzlichen – und oft unsicheren – Netzwerk-Knoten erweitern jedoch die Angriffsfläche. Einzelhändler sollten deshalb bei solchen Netzwerk-Erweiterungen zuerst an die Sicherheit denken, um nicht das gesamte Netzwerk zu gefährden.

Ein sicherheitsorientierter Netzwerk-Ansatz umfasst z. B. getrennte Netzwerke und individuelle Sicherheitslösungen. Mit SD-Branch von Fortinet können Einzelhändler Geschäfts- und Gastnetzwerke parallel betreiben, um IoT-Geräte vom öffentlich zugänglichen WLAN zu isolieren. Jedes Netzwerk erhält die erforderliche Sicherheitsstufe und verfügt über eine sofort einsatzbereite Zugriffskontrolle. Geschäftlich genutzte IoT-Geräte werden so effektiv geschützt.

Fortinet-Lösungen ermöglichen digitale Innovationen im gesamten Einzelhandelsunternehmen mit einer Vielzahl von Funktionen:

• WLAN-Verbindungen mit integrierter Sicherheit in ausgezeichneter Qualität (QoS)
• einheitliche Transparenz und Kontrolle für Multi-Cloud-Umgebungen
• One-Touch-Bereitstellung von Geräten mit bewährter Skalierbarkeit auf über 10.000 Standorte
• integrierte Netzwerk-Zugangskontrolle (NAC) für Sichtbarkeit und Schutz von IoT-Geräten

Für die großen Netzwerke und geografisch weit verteilten Filialen im Einzelhandel bieten sich Cloud-Dienste geradezu an. Public und Private Clouds haben beide ihre Vorteile und mit einer sicheren, softwaredefinierten WAN-Architektur (SD-WAN) lassen sich Latenzzeiten und die Belastung des Netzwerks in der Unternehmenszentrale verringern. Jedoch entsteht durch eine Netzwerk-Infrastruktur, die sich über Private Clouds, Public Clouds und On-Premise-Rechenzentren erstreckt, häufig eine stark isolierte, schwer zu sichernde Umgebung.

Der erste Schritt bei der Bereitstellung der Netzwerk-Security sollte es daher sein, die netzwerkweite Transparenz und ein zentralisiertes Konfigurationsmanagements sicherzustellen – zwei Dinge, die auch der PCI-DSS-Standard für Kreditkartenzahlungen verlangt. Die Fortinet Security Fabric bietet eine native Integration mit allen wichtigen Cloud-Anbietern. Dies bedeutet, dass Security-Teams einheitliche Sicherheitsrichtlinien im gesamten Netzwerk von einer einzigen „Schaltzentrale“ aus durchsetzen können, statt jede einzelne Sicherheitseinstellung bei verschiedenen Cloud-Anbietern manuell konfigurieren zu müssen.

Fortinet bietet auch Sicherheitslösungen für cloudbasierte Anwendungen an: FortiWeb, die Web Application Firewall (WAF) von Fortinet, schützt webbasierte Dienste – einschließlich Unternehmens-Websites, Zahlungsportale und Web-APIs – und kann On-Premise als virtuelle Maschine (VM) oder als Software-as-a-Service (SaaS) bereitgestellt werden. Da DevOps-Teams zunehmend Cloud-Umgebungen einsetzen, ist eine WAF eine wichtige Komponente für die Aufrechterhaltung der PCI-DSS-Konformität.

FortiMail umfasst ein E-Mail-Gateway, das cloudbasierte SaaS-E-Mail-Lösungen wie Microsoft Office 365 und klassische E-Mail-Clients gleichermaßen schützt. FortiGate Next-Generation Firewalls (NGFWs)) kommen mit einer IaaS-Option (Infrastructure-as-a-Service), die für jede Umgebung eine skalierbare, cloudnative Security bietet.

Mit den dynamischen Cloud-Sicherheitslösungen von Fortinet erhalten Einzelhändler die richtigen Tools für eine optimale Sicherheit in Multi-Cloud-Umgebungen, wie z. B.:

• native Integration von Sicherheitsfunktionen, die von Cloud Service Providern (CSP) bereitgestellt werden
• zentrale Transparenz und Verwaltung von Multi-Cloud-Umgebungen
• cloudbasierte Firewall-, E-Mail- und Website-Schutzlösungen
• KI-basierte Bedrohungsinformationen, die in Echtzeit über die Sicherheitsinfrastruktur verbreitet werden
• automatisierte Identifizierung und Klassifizierung des Datenverkehrs, einschließlich verschlüsselter Cloud-Anwendungsdaten
• Secure SD-WAN zur Bereitstellung eines direkten, sicheren Zugriffs auf Cloud-Ressourcen von Filialen aus