[datensicherheit.de, 03.04.2026] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. sieht die deutsche Wirtschaft Quantencomputing überwiegend als wichtige Zukunftstechnologie und Chance für das eigene Unternehmen an – doch die große Mehrheit treibt demnach dieses Thema noch nicht aktiv voran und wartet erst einmal ab: Zwei Drittel der deutschen Unternehmen ab 100 Beschäftigten (67%) sagten, Quantencomputing sei für sie eine Chance, 19 Prozent sähen eher ein Risiko und neun Prozent erwarten keinen Einfluss auf ihr Unternehmen. Aus Sicht von 80 Prozent der Unternehmen sei Quantencomputing eine wichtige Zukunftstechnologie für die deutsche Wirtschaft. 56 Prozent gingen davon aus, dass Wettbewerber Quantencomputing einsetzen würden. Grundlage dieser Angaben ist eine von Bitkom Research im Bitkom-Auftrag durchgeführte repräsentative Telefon-Umfrage unter 607 Unternehmen ab 100 Beschäftigten aus dem verarbeitenden Gewerbe und dem Dienstleistungssektor. Die Interviews seien im Zeitraum der Kalenderwochen 42 bis KW 48 des Jahres 2025 geführt worden.

Foto: Bitkom

Dr. Ralf Wintergerst rät deustchen Unternehmen: Es lohnt sich, frühzeitig Kompetenzen aufzubauen und mit Quantencomputing zu experimentieren!

Quantencomputing derzeit noch nicht in der Breite der Wirtschaft einfach zu nutzen – Abwarten dennoch nachteilig

Gleichzeitig gebe fast zwei Drittel der Unternehmen (64%) an, zunächst die Erfahrungen anderer abwarten zu wollen, bevor sie selbst aktiv werden. Nur acht Prozent beschäftigten sich bereits sehr intensiv mit dem Thema. Weitere 27 Prozent beschäftigten sich weniger intensiv damit, 42 Prozent planten, sich mit Quantencomputing zu beschäftigen oder könnten es sich für die Zukunft vorstellen.

• Dies sind Bitkom-Ergebnisse einer repräsentativen Befragung von 607 Unternehmen ab 100 Beschäftigten: Sie wurden am 31. März 2026 im Studienbericht „Quantencomputing in der deutschen Wirtschaft 2026“ veröffentlicht.

„Quantencomputing ist derzeit noch keine Technologie, die sich in der Breite der Wirtschaft einfach nutzen lässt. Quantencomputing hat aber das Potenzial, ganze Branchen zu verändern, von der Materialforschung und der Gesundheitsversorgung über die Logistik bis zum Einzelhandel“, erläutert der Bitkom-Präsident, Dr. Ralf Wintergerst. Er legt somit nahe: „Es lohnt sich, frühzeitig Kompetenzen aufzubauen und mit Quantencomputing zu experimentieren.“

Beim Quantencomputing gelten die USA momentan als führend

Unter Quantencomputing wird eine Technologie verstanden, welche Effekte der Quantenphysik nutzt, um besonders komplexe Berechnungen effizienter und schneller durchzuführen als mit herkömmlichen Computern.

• Quantencomputer könnten etwa in der Logistik, der Medikamentenentwicklung oder der Materialforschung Aufgaben lösen, welche für klassische Rechner praktisch als unlösbar gelten. Zugleich könnten sie aber auch heute gängige Verschlüsselungsverfahren potenziell aushebeln.

Im internationalen Vergleich schätzten nur drei Prozent der Unternehmen Deutschland als weltweit führend ein. 35 Prozent verorteten Deutschland im Mittelfeld, 29 Prozent als Nachzügler. Die USA gälten mit Abstand als führende Nation (32%), gefolgt von China (14%) und Japan (13%). Zwölf Prozent sähen derzeit noch keine Nation als führend.

Deutschland und Europa müssen beim Quantencomputing eine Führungsrolle einnehmen

„Europa ist in der Quanten-Forschung stark, bei der Mobilisierung von privatem Kapital und der Überführung der Forschungsergebnisse in konkrete Anwendungen tun wir uns aber noch schwer“, so Wintergerst. Sein Votum: „Deutschland und Europa müssen beim Quantencomputing eine Führungsrolle einnehmen! Hochentwickelte Fähigkeiten im Quantencomputing sind künftig eine Grundvoraussetzung für Digitale Souveränität.“

• Quantencomputing sei in der Wahrnehmung der Unternehmen eng mit dem Thema IT-Sicherheit verknüpft: 94 Prozent sähen darin grundsätzlich ein Risiko für ihre IT-Sicherheit. Dabei schätzten 44 Prozent das Risiko als „sehr groß“ oder „eher groß“ ein, 50 Prozent als zwar vorhanden, aber „eher gering“ oder „sehr gering“ ein. Zugleich habe selbst von jenen Unternehmen, die Quantencomputing nutzen oder sich für das Thema interessieren, rund ein Drittel (34%) noch keine Maßnahmen ergriffen, um sich auf damit verbundene Risiken vorzubereiten.

Immerhin 46 Prozent hätten Risikoabschätzungen oder Schwachstellenanalysen vorgenommen oder planten dies. 39 Prozent führten interne Informations- und Sensibilisierungsmaßnahmen durch oder hätten entsprechende Pläne, bei 29 Prozent gelte dies für die Umstellung auf quantensichere Verschlüsselungsverfahren und bei 22 Prozent für die Analyse kryptographischer Systeme.

Vor allem Mangel an personellen Ressourcen zur Befassung mit Einsatz und Auswirkungen von Quantencomputing

Die meisten Unternehmen hinderten aktuell fehlende personelle Ressourcen (65%), sich mit dem Einsatz und den Auswirkungen von Quantencomputing zu befassen. Dahinter folgten Unklarheiten über regulatorische Vorgaben sowie die Sorge, dass die Technologie noch nicht ausgereift sei (je 61%). 56 Prozent hätten keinen Überblick über Angebote zum Quantencomputing und geeignete Anwendungsbeispiele, 54 Prozent fehle es an Wissen über die Technologie und mögliche Risiken und 47 Prozent beklagten einen unklaren wirtschaftlichen Nutzen.

• 41 Prozent hielten den eingeschränkten Zugang zu Hardware oder Testinfrastrukturen für eine Hürde, 36 Prozent konzentrierten sich auf andere Zukunftstechnologien – und rund einem Viertel (27%) fehle ein ausreichendes Budget.

Den Unternehmen, die sich bereits für Quantencomputing interessieren oder es nutzen, würde finanzielle Förderung von Pilotprojekten helfen (69%). Ebenso wünschten sie sich einen niedrigschwelligen und vergünstigten Zugang zu Quantenplattformen, etwa über „Cloud“-Dienste (67%). Groß sei auch der Wunsch nach mehr Orientierung im Markt, beispielsweise zu Anbietern, „Tools“ und Plattformen (66%). Schulungen und Weiterbildungen (61%) sowie praxisnahe Anwendungsbeispiele (50%) stünden bei vielen ebenfalls auf der Wunschliste. „Die Unternehmen wollen keine hochtrabenden Visionen, sondern handfeste Einstiegshilfen ins Quantencomputing!“, kommentiert Wintergerst.

Bitkom veranstaltet AIDAQ-Summit in Berlin

Quantencomputing und seine Chancen für die Wirtschaft sollen auch Thema des „AiDAQ-Summit“ des Bitkom am 22. und 23. September 2026 im bcc Berlin sein. AIDAQ stehe als Akronym für „AI, Data und Quantum“.

• Dieser „AiDAQ Summit“ ist laut Bitkom die führende europäische Veranstaltung für Künstliche Intelligenz (KI), Datenökonomie und Quantentechnologie und soll mehr als 2.500 Entscheider aus Politik, Wirtschaft und Forschung zusammenbringen.

Die Teilnehmer erwarten mehr als 200 hochkarätige Redner und 140 Programmsessions auf vier Bühnen. Erstmalig übernimmt das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) die Schirmherrschaft.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Studie: Quantencomputing in der deutschen Wirtschaft 2026

bitkom dataverse
Technologien & Software: Quantentechnologien / Unternehmen zum Einsatz, Potenzial und Herausforderungen

AiDAQ
22 & 23 September 2026 | bcc Berlin / AI, Data and Quantum Summit

datensicherheit.de, 26.03.2026
KIT-Forschung zu Quantentechnologien: Optische Kontrolle von Kernspins in Molekülen bietet neue Perspektiven / KIT-Forscher demonstrierten erstmals die optische Initialisierung und Detektion von Kernspins in einem Europium-basierten Molekülkristall – als potenziell besonders stabile Träger von Quanteninformation

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 05.07.2025
Quantentechnologie: EU strebt Vorreiterrolle an / Die EU-Kommission hat am 2. Juli 2025 ihre „Quantum Strategy“ vogestellt – damit soll eine führende Rolle im globalen Wettlauf um Quantentechnologien angestrebt werden

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

[datensicherheit.de, 29.08.2025] Sophos hat seine jährliche erscheinende internationale Studie zur aktuellen Bedrohung des Einzelhandels durch Ransomware publiziert: „The State of Ransomware in Retail 2025“. Diese Studie beschreibt die Entwicklung und den Status im Einzelhandel im Kontext von Cyberattacken mit Ransomware. „Die Ergebnisse sind teils alarmierend: Beispielsweise zahlen immer mehr Einzelhandelsunternehmen die Erpressungssummen, welche die Cyberkriminellen nach der Verschlüsselung oder dem Diebstahl der Daten fordern.“

Abbildung: Sophos

Einzelhandel: Häufigste operative Gründe für Cyberattacken

TOM-Standardursachen für Cyberangriffe auf Einzelhandel

Die internationale Sophos-Studie „The State of Ransomware in Retail 2025“ zeige, „wie sich Ursachen, Auswirkungen und Strategien im Umgang mit Ransomware verändern und mit welchen Konsequenzen IT- und Cybersicherheitsteams im Einzelhandel zu rechnen haben“.

• Nach den Vorgängerstudien aus den Jahren 2023 und 2024 hätten Einzelhändler ausgenutzte Schwachstellen zum dritten Mal in Folge als häufigste technische Ursache für Ransomware-Angriffe benannt. In 30 Prozent der Fälle sei diese Form der kriminellen Infiltration nach wie vor ausschlaggebend.

„Auch operative Faktoren trugen dazu bei, dass Einzelhandelsunternehmen Opfer von Ransomware werden.“ Am häufigsten habe fast die Hälfte (46%) der Befragten unbekannte Sicherheitslücken als initialen Einstiegspunkt für die Cyberkriminellen genannt. Dicht dahinter rangiere mangelnde Fachkenntnis, welche in 45 Prozent der Angriffe eine Rolle gespielt habe – „was dem höchsten Wert entspricht, der in irgendeiner der untersuchten Branchen festgestellt wurde“.

Abbildung: Sophos

Einzelhandel: Häufigste technische Gründe für Cyberattacken

Datenverschlüsselung geht zurück – Lösegeldforderungen nehmen dennoch zu

Die Datenverschlüsselung durch Cyberkriminelle habe im Einzelhandel deutlich abgenommen. „Nur noch 48 Prozent der Angriffe führten 2025 zu einer tatsächlichen Verschlüsselung der Daten, verglichen mit 71 Prozent im Jahr 2023.“

• Parallel dazu habe die Zahl der vereitelten Verschlüsselungsversuche ein Rekordhoch erreicht, was auf verbesserte Abwehrmechanismen der Unternehmen schließen lasse.

Doch Cyberkriminelle passten sich indes an: „Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, hat sich innerhalb von zwei Jahren verdreifacht.“ Während 2023 lediglich zwei Prozent der Befragten betroffen gewesen seien, habe der Anteil 2025 bereits bei sechs Prozent gelegen.

Abbildung: Sophos

Einzelhandel: Entwicklung der Datenverschlüsselung nach Ransomware-Angriffen

Resignation: Nutzung von Backups als Strategie für Datenwiederherstellung nimmt ab

Die Art und Weise, wie Einzelhändler Daten nach einem Cyberangriff wiederherstellen, habe sich spürbar verändert: „Während 2021 noch 32 Prozent der Unternehmen das Lösegeld zahlten, um ihre Daten zurückzuerlangen, waren es 2025 bereits 58 Prozent – deutlich mehr als der branchenübergreifende Durchschnitt von 49 Prozent.“ Im Gegenzug sei die Nutzung von Backups auf ein Vierjahrestief gefallen. Zwar seien Backups nach wie vor die etwas häufiger gewählte Lösung, doch die abnehmende Tendenz deute auf eine zunehmende Abhängigkeit von anderen Wiederherstellungsmöglichkeiten hin.

• Die nun vorliegende Studie belege außerdem einen drastischen Anstieg der Lösegeldforderungen: „Im Jahr 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Jahr zuvor. Besonders stark zugenommen hat die Zahl der Forderungen von über 4,28 Millionen Euro, die von 17 Prozent im Jahr 2024 auf 27 Prozent im Jahr 2025 gestiegen sind.“

Verglichen mit dieser Entwicklung zeige sich der Einzelhandel im Durchschnitt widerstandsfähiger: „Die durchschnittliche Lösegeldzahlung erhöhte sich um fünf Prozent von 813.563 Euro im Jahr 2024 auf 856.382 Euro im Jahr 2025.“ Gleichzeitig seien die durchschnittlichen Kosten für die Wiederherstellung nach einem Angriff gesunken – ohne Lösegeldzahlungen – um 40 Prozent auf 1,41 Millionen Euro und damit auf den niedrigsten Wert seit drei Jahren.

Belastung für IT- und Sicherheitsteams geht an die Substanz

Die Studie mache zudem deutlich, dass die Folgen von Ransomware weit über finanzielle Schäden hinausgingen. Nahezu die Hälfte der Befragten (47%) habe von verstärktem Druck seitens des Managements berichtet, „wenn es infolge eines Angriffs zu einer Datenverschlüsselung kam“.

• Viele IT- und Cybersicherheitsverantwortliche hätten außerdem angegeben, unter erhöhter Angst oder Stress vor künftigen Angriffen zu leiden (43%). Auch krankheitsbedingte Abwesenheit aufgrund von Stress oder psychischen Belastungen (37%) sowie Schuldgefühle, den Angriff nicht verhindert zu haben (34%), seien häufig genannt worden.

Die o.g. Ergebnisse basierten auf einer unabhängigen, anbieterneutralen Befragung von 3.400 IT- und Cybersicherheitsverantwortlichen in 17 Ländern in Amerika, der „EMEA“- und der Asien-Pazifik-Region. „Darunter befanden sich 361 Teilnehmer aus dem Einzelhandel. Die befragten Unternehmen beschäftigen jeweils zwischen 100 und 5.000 Mitarbeiter.“ Die Erhebung sei von Vanson Bourne zwischen Januar und März 2025 durchgeführt worden – Grundlage seien die Erfahrungen der Befragten aus den vergangenen zwölf Monaten gewesen.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS, Rajan Sanhotra , 19.08.2025
The State of Ransomware in Retail 2025 / 361 IT and cybersecurity leaders reveal the ransomware realities for retail businesses today

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 11.06.2025] Offenkundig trifft derzeit eine internationale Welle gezielter Cyberangriffe den Einzelhandel: Marken wie Adidas, Victoria’s Secret, The North Face und Cartier gehören laut Medienberichten zu den Opfern. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger „FBI Special Agent“, kommentiert: „Die Cybersicherheitsbranche beobachtet derzeit eine Welle von Angriffen auf den Einzelhandel – sowohl in Nordamerika als auch in Europa. Was diese Entwicklung besonders alarmierend macht, ist ihr Ausmaß und die offenbar koordinierte Vorgehensweise!“

Foto: Arctic Wolf

Adam Marrè: Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche!

„Scattered Spider“ gilt als verdächtig, hinter aktuellen Cyberattacken auf Einzelhandel zu stecken

Marrè berichtet: „Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche.“ Die Gruppe „Scattered Spider“, welche bereits 2023 gezielt Lebensmitteldienstleister attackiert habe und auch mit den jüngsten Angriffen auf M&S in Großbritannien in Verbindung gebracht werde, stehe nun im Verdacht, hinter den aktuellen Angriffen auf Handelsmarken wie Adidas zu stecken.

Clare Loveridge, „Vice President & General Manager EMEA“ bei Arctic Wolf, führt ergänzt aus: „Zwar erscheinen die Angriffe auf Marken wie The North Face oder Cartier wie Einzelfälle – tatsächlich sind solche Vorfälle längst zur Realität für Unternehmen geworden.“ Diese Vorfälle zeigten, dass Kriminelle oft gestohlene Zugangsdaten aus einem Angriff für den nächsten nutzten. „So fiel The North Face offenbar einer Credential-Stuffing-Attacke zum Opfer“, so Loveridge.

Dringender Handlungsbedarf für Unternehmen im Einzelhandel

Sie legt dringend nahe: „Egal ob globaler Konzern oder mittelständischer Anbieter – Organisationen sollten jetzt ihre Incident-Response-Pläne prüfen und anpassen. Wer das Thema unterschätzt, riskiert massive wirtschaftliche Schäden: Bei M&S etwa wird mit Verlusten in Höhe von 300 Millionen Pfund gerechnet.“

Entscheidend sei jetzt, die Passwörter regelmäßig zu ändern, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und jede werbliche E-Mail mit Vorsicht zu behandeln – „besonders wenn sie zu gut klingt, um wahr zu sein!“

Weitere Informationen zum Thema:

ntv, 03.06.2025
Namen, E-Mails, Telefonnummern / Hacker greifen Kundendaten bei Adidas, Victoria’s Secret und Cartier ab

datensicherheit.de, 04.12.2024
Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen / 5 Darktrace-Tipps für Einzelhändler zum Schutz vor Cyber-Angriffen

[datensicherheit.de, 21.11.2022] Chris Harris, „EMEA Technical Director“ bei Thales, gibt in seiner aktuellen Stellungnahme Sicherheitstipps – nicht nur – für den „Black Friday“. Dieser (wie auch andere Sonderaktionen) führt offensichtlich immer wieder zu einem gewaltigen Anstieg der Online-Transaktionen und macht damit sowohl Verbraucher als auch Einzelhändler zu einem Ziel für Betrüger bzw. Cyber-Kriminelle.

Foto: Thales

Chris Harris: Branche in hohem Maße von hochwertigen, ständig verfügbaren Systemen abhängig, was sie zu einem attraktiven Ziel für Ransomware macht…

Robuste und widerstandsfähige Sicherheit – nicht nur am Black Friday

„Einzelhändler sind aufgrund ihrer Größe, ihrer hochgradig verteilten Infrastrukturen und der großen Anzahl von Online- und POS-Kreditkartentransaktionen ideale Ziele“, warnt Harris. Die Branche sei außerdem in hohem Maße von hochwertigen, ständig verfügbaren Systemen abhängig, was sie zu einem attraktiven Ziel für Ransomware mache – „da viele sensible Daten zur Verfügung stehen, die erbeutet werden können, und geschäftskritische Systeme bei einer Deaktivierung den Betrieb gefährden“.

Harris berichtet: „Tatsächlich nannten die Befragten des Einzelhandels in einer unserer Studien über Datenbedrohungen Malware und Ransomware als die beiden größten Bedrohungen, denen sie ausgesetzt sind.“ Vor dem „Black Friday“ müssten Einzelhändler ihre Cyber-Sicherheitspraktiken neu bewerten, „um sicherzustellen, dass sie robust und widerstandsfähig genug sind – nicht nur für den größten Einkaufstag des Jahres, sondern das ganze Jahr über“.

Wichtigste Tipps für Einzelhandelsunternehmen u.a. zum Black Friday:

1. Das Verhältnis von Risiko und Nutzen verstehen!
Unternehmen müssten sicherstellen, dass eine Skalierung, die zur Bewältigung der gestiegenen Nachfrage erforderlich sei, „nicht auf Kosten der Sicherheit geht“. Es sei nicht in Ordnung, Sicherheits- und Datenschutzrichtlinien zu kompromittieren oder zu umgehen, nur um die Leistung zu steigern, und es müsse im Voraus darüber nachgedacht werden, ob die Datenschutzlösung zusammen mit Frontend- und Transaktionsverarbeitungssystemen skaliert werden soll.

2. Datensicherung diversifizieren!
„Unternehmen müssen wissen, wo ihre Daten gespeichert sind und wie sie geschützt werden sollen.“ Sie müssten sich über den Verbleib ihrer Daten informieren und diese nach Risikostufen klassifizieren, „um sicherzustellen, dass sensible Daten ausreichend geschützt und verschlüsselt sind“.

3. Zero-Trust-Prinzipien verfolgen!
Unternehmen müssten für ihre hochgradig verteilten, hochwertigen Daten und Vermögenswerte sowohl innerhalb als auch außerhalb des Netzwerks den Zugriff mit den geringsten Privilegien einführen. Durch die Segmentierung des Netzwerks und das Prinzip „Never Trust, Always Verify“ könnten Beschäftigte nur auf Daten zugreifen, „für die sie autorisiert sind, nachdem sie ihre Identität verifiziert haben“.

4. MFA implementieren!
Unternehmen sollten eine zusätzliche Sicherheitsebene hinzufügen, z.B. eine Zwei- oder Mehrfaktor-Authentifizierung, „um sicherzustellen, dass nur der berechtigte Benutzer auf das Netzwerk zugreifen kann“.

5. Schulungen zur Cyber-Sicherheit durchführen!
„Menschliches Versagen ist nach wie vor das schwächste Glied in der Sicherheitskette von Unternehmen.“ Diese müssten ein Schulungsprogramm zur Cyber-Sicherheit für ihre Mitarbeiter einführen, „damit diese kompetent und sicher mit den Risiken umgehen können“.

6. „Auf eine gute Cyber-Hygiene achten!
„Es braucht nur einen einzigen Mitarbeiter, der nicht aufpasst, damit Cyber-Kriminelle ein ganzes Netzwerk infiltrieren können.“ Unternehmen sollten sicherstellen, dass ihre Mitarbeiter eine gute „Passworthygiene“ praktizieren, indem sie z.B. keine Passwörter für verschiedene Websites wiederholen. Sie sollten Software einsetzen, „die eindeutige Passwörter generiert, so dass bei jeder Registrierung ein zufälliges Passwort für sie erstellt wird“.

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Black-Friday-Wochenende 2021: DDoS-Angriffe brechen Rekorde / Unternehmen mit Flut von DDoS-Angriffen jenseits der Terabit-Grenze konfrontiert

datensicherheit.de, 24.11.2021
Black Friday: 3 Tipps von Imperva zum Schutz persönlicher Daten / Auch in Deutschland zählt der Black Friday zu den umsatzstärksten Tagen im Jahr – Sicherheits-Tipps können helfen, Gefahren auszuweichen

datensicherheit.de, 16.11.2021
Black Friday: Zunahme von Betrugsversuchen zu erwarten / KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des Black Friday am 26. November 2021

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

[datensicherheit.de, 15.12.2021] Der durch die „Pandemie“ sowieso schon stark in Mitleidenschaft gezogene Einzelhandel sehe sich gerade im Weihnachtsgeschäft 2021 einer neuen Bedrohung ausgesetzt: Die kritische Schwachstelle, genannt Log4Shell, in der „Java“-Bibliothek „Log4j“ beunruhige seit dem 3. Adventswochenende 2021 Unternehmen und Behörden weltweit. Chris Vaughan, „Area Vice President“, „Technical Account Management“ bei Tanium, führt in seiner Stellungnahme aus: „Auch das BSI schlug bereits Alarm und warnte am Samstag vor einer extrem kritischen Bedrohungslage. Die Behörde hatte schließlich seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe ,Rot‘ hochgestuft, mit der Begründung, dass das betroffene Produkt sehr weit verbreitet sei und somit auch eine Vielzahl weiterer Produkte betreffe.“ Auch habe es aus Bonn geheißen, die Sicherheitslücke könnte leicht ausgenutzt werden, ein „Proof-of-Concept“ sei öffentlich verfügbar. In solchen Fällen könnten Angreifer betroffene Systeme vollständig übernehmen, dem BSI seien weltweit Massen-Scans und versuchte Kompromittierungen bekannt.

Schwachstelle die schlimmste, die Vaughan in seiner bisherigen Laufbahn gesehen hat…

Vaughan betont: „Diese Schwachstelle ist die schlimmste, die ich in meiner bisherigen Laufbahn gesehen habe, was die Anzahl der betroffenen Personen und Organisationen sowie die Schwere der möglichen Auswirkungen angeht.“ In den kommenden Tagen und Stunden werde er mit vielen Unternehmen über die Herausforderungen sprechen, denen sie sich bei der Erkennung und Behebung der Sicherheitslücke gegenübersähen.
Der Online-Handel sei ein Sektor, „der aufgrund der hohen Geldbeträge, die über diese Websites fließen, besonders ins Visier von Angreifern geraten wird“. Der Zeitpunkt des Auftretens dieser Sicherheitslücke sei besonders für diese Unternehmen ungünstig, da sie gerade jetzt, in der geschäftigsten Zeit des Jahres, so kurz vor Weihnachten, dringende Änderungen an ihren IT-Umgebungen vornehmen müssten. „Um die Auswirkungen so gering wie möglich zu halten, sollten sie denselben Rat befolgen, den ich Unternehmen aller Branchen geben würde, nämlich die Sicherheitslücke so schnell wie möglich zu schließen.“ Hierbei sollten sie zuerst mit den nach außen gerichteten Teilen ihrer IT-Infrastruktur beginnen, wie zum Beispiel ihrer Website, „bevor sie sich auf die internen Systeme konzentrieren“, so Vaughan.

Schwachstellen-Management-Tools könnten Log4Shell eventuell übersehen

Ein Fehler, der sich bei der Behebung des Problems in Unternehmen habe beobachten lassen, „ist, dass diese sich zu sehr auf herkömmliche Tools zur Verwaltung von Sicherheitslücken verlassen“. Diese Tools scannten installierte Anwendungen auf Probleme, „aber wenn ein Framework wie ,Log4j‘ umbenannt oder in einem anderen als dem Standardpfad installiert wurde, ist es wahrscheinlich, dass die Schwachstellen-Management-Tools diese übersehen“.
Aus diesem Grund sei es besser, eine Lösung zu verwenden, „die Konfigurationsstrings in Dateien analysiert“. Der Einsatz eines solchen Tools sei eine Möglichkeit, die Bedrohung durch solche Schwachstellen in Zukunft zu minimieren. Eine andere Möglichkeit wäre seiner Meinung nach, „Open-Source-Projekte wie ,Log4j‘ genauer unter die Lupe zu nehmen.“

Open-Source-Tools stärker auf potenzielle Schwachstellen überprüfen!

Diese Frameworks und Tools würden von Tausenden von Unternehmen eingesetzt, aber oft von Menschen in ihrer Freizeit als Hobbyprojekt betrieben. In der Regel sei es unklar, „wie viele Ressourcen für die Aufrechterhaltung von Sicherheitsstandards aufgewendet werden“, aber er glaube, dass Unternehmen dies in Zukunft vor dem Einsatz von „Open Source“-Tools stärker überprüfen würden.
Diese bedauerliche Nachricht sei eine weitere Erinnerung daran, wie wichtig Cyber-Hygiene und Asset-Management seien. „Wenn Unternehmen diese Grundlagen bereitgestellt haben, bevor es zu einem Vorfall kommt, sind sie in einer viel besseren Position, um entweder Schaden zu verhindern oder die Auswirkungen zu minimieren“, sagt Vaughan abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 15.12.2021
Log4Shell: Erste Ransomware-Attacken nutzen Schwachstelle aus / Amit Yoran ruft zu dauerhafter Wachsamkeit insbesondere gegenüber Schwachstellen auf

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 24.11.2021] Der „Black Friday“ (der Tag nach dem US-amerikanischen „Thanksgiving“) zählt offensichtlich mittlerweile auch in Deutschland zu den umsatzstärksten Tagen im Jahr. Die Kehrseite: Im Online-Einzelhandel wachsen mit steigenden Umsätzen zugleich die Risiken, Opfer einer Cyber-Attacke zu werden. Bereits im Oktober 2021 hat das Imperva-Forschungsteam nach eigenen Angaben einen „Anstieg von Sicherheits-Vorfällen im Einzelhandel um 20 Prozent“ beobachtet. Das Ziel der Hacker seien dabei persönliche Daten. Imperva hat aus aktuellem Anlass drei Tipps rund um den Schutz persönlicher Daten zusammengestellt, die helfen sollen, „dass es nach der Schnäppchenjagd kein böses Erwachen gibt“:

1. Tipp: Nutzung eines Passwort-Managers

Im Jahr 2020 habe der durchschnittliche Internetnutzer rund 100 Passwörter verwaltet (laut einer NordPass-Studie). Um sich eine große Anzahl an verschiedenen Passwörtern merken zu können, würden diese häufig mehrmals vergeben – damit hätten aber „Bots“ leichtes Spiel.
„Bad Bots“ nutzten die Angriffsmethode „Credential Stuffing“ unter der Annahme, dass viele Benutzer Kennwörter und Benutzernamen über mehrere Dienste hinweg wiederverwendeten. So verschafften sie sich Zugang zu den Konten.
„Passwort-Manager helfen eine Vielzahl von Passwörtern zu verwalten. Der Passwort-Manager speichert alle Passwörter an einem Ort, füllt sie bei der Anmeldung automatisch aus und kann sogar starke Passwörter eigenständig erstellen.“

2. Tipp: „Ja“ zur Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) verifiziere den Internetnutzer anhand zwei verschiedener Formen der Identifizierung. Die 2FA mache es Hackern schwer, unbefugten Zugang zum Konto zu erhalten, „selbst wenn ein Täter den ersten Authentifizierungsschritt überwindet“.
Laut Google verhindere die zweistufige Verifizierung per SMS 100 Prozent aller automatisierten Angriffe, 96 Prozent der Massen-Phishing-Angriffe und drei Viertel der gezielten Angriffe. Dabei gelte die zweistufige Verifizierung als eine der schwächsten Formen der 2FA. Der Einsatz der 2FA erfolge häufig bei Online-Banking-Websites, Social-Media-Plattformen und E-Commerce-Websites, um beispielsweise Kreditkarteninformationen oder persönliche Daten zu schützen.
„Wenn eine 2FA angeboten wird, sollte diese in jedem Fall genutzt werden!“

3. Tipp: Achtung Phishing!

2020 sei Phishing die am häufigsten genutzte Form der Cyber-Kriminalität gewesen. Beim Phishing gebe sich ein Angreifer als vertrauenswürdige Person aus und verleite das Opfer, eine E-Mail oder Textnachricht zu öffnen. In dieser sei ein bösartiger Link hinterlegt.
Beim Klinken auf diesen Link infiltriere eine Malware das System – das System werde quasi eingefroren (Ransomware-Angriff) oder vertrauliche Informationen würden preisgegeben. Für Einzelpersonen könne ein solcher Angriff verheerende Folgen haben – unberechtigte Einkäufe, Diebstahl, Identitätsbetrug oder eine Kombination aus allem.
„Auch wenn der Ratschlag extrem erscheinen mag, ist der beste Weg, einen Phishing-Angriff zu vermeiden, niemals auf einen Link zu klicken, der über irgendein Medium zugesandt wurde.“

Mit den genannten Tipps – nicht nur am Black Friday – Cyber-Diebstahl verhindern und Einkäufe sicher tätigen

Obwohl Hacker immer häufiger versuchten, auf persönliche Daten zuzugreifen und dabei in ihrem Vorgehen immer raffinierter würden, könne der Internetnutzer mit den genannten Tipps den Cyber-Diebstahl verhindern und seine Einkäufe sicher tätigen.
„Unser Bericht ,State of Security Within eCommerce‘, den wir kürzlich veröffentlicht haben, zeigt auf, in welch hohem Maß die Zahl der Cyber-Angriffe zunimmt; und wir gehen auch für die Weihnachtseinkaufssaison in diesem Jahr von erheblichen Störungen aus“, so Kai Zobel, „Area Vice President EMEA Central“ bei Imperva.
Einzelhändler müssten sich vor allem gegen bösartige „Bots“, DDoS-Attacken und Website-Angriffe wappnen und entsprechend technologisch aufrüsten. Zobel stellt abschließend klar: „Aber auch die Verbraucher selbst können unter anderem mit den oben skizzierten Maßnahmen dazu beitragen, den Online-Handel sicherer zu machen.“

Weitere Informationen zum Thema:

HDE Handelsverband Deutschland
Black Friday und Cyber Monday

tech.co, Adam Rowe, 09.11.2021
Study Reveals Average Person Has 100 Passwords / 100 is too many passwords to remember, but you probably knew that: 90 percent of us worry about our vulnerable logins.

imperva
What Is Credential Stuffing

imperva
What is two factor authentication (2FA)

TechBeacon, Rob Lemos
Multi-factor authentication comes of age / The state of MFA: 4 trends that portend the end of the solo password

FEDERAL BUREAU OF INVESTIGATION, INTERNET CRIME COMPLAINT CENTER
2020 Internet Crime Report

imperva
The State of Security within eCommerce

datensicherheit.de, 16.11.2021
Black Friday: Zunahme von Betrugsversuchen zu erwarten / KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des Black Friday am 26. November 2021

[datensicherheit.de, 12.07.2012] Bislang galt es als unmöglich, die EC Kartendaten samt Geheimnummern von außen an den Kassen im Einzelhandel auszulesen – nun ist genau das IT Experten gelungen. Der Test hatte keinen kriminellen Hintergrund . Er wurde für das ARD-Magazin „MONITOR“ an Originalgeräten unter Aufsicht von Gutachtern versuchsweise durchgeführt.
Das ausgelesene Gerät stammt vom Branchenführer VeriFone. Rund 300.000 dieser Geräte stehen in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit.
IT-Experte Karsten Nohl von der Firma Security Research Labs hält die Sicherheitslücke für groß: „Anders als bei Skimming, wo Kriminelle einzelne Geldautomaten belagern müssen, könnten hier theoretisch viele Terminals auf einmal gehackt werden.“
Die Herstellerfirma VeriFone bestätigte gegenüber MONITOR inzwischen die Sicherheitslücke. Man sei dabei, für die Kartengeräte „ein Softwareupdate zu erstellen“, um die „Verwundbarkeit“ zu beheben.
Auch die Deutsche Kreditwirtschaft – Spitzenverband der Geldinstitute, die für die Sicherheit der bargeldlosen Zahlungssysteme garantiert, ist eingeschaltet und fordert VeriFone auf: „Der Hersteller ist …angehalten, kurzfristig ein Software-Update …bereit zu stellen.“ Die Sicherheitslücke ist dem Hersteller und den Banken seit Monaten bekannt.
Die IT-Experten der Firma Security Research Labs hatte den Marktführer Verifone schon im März diesen Jahres über die Sicherheitslücke informiert. Die Gutachter bestätigten gegenüber MONITOR, dass beim Versuch an den Originalgeräten tatsächlich auch die Geheimnummern ausgelesen werden konnten, nachdem sich die Hacker von außen über LAN Verbindung in das Kartenterminal eingewählt hatten. Mit den Kartendaten und Geheimnummern könnten Kriminelle neue EC Karten herstellen, um im Ausland abzuheben.
Ulrike Meyer, Professorin für IT –Sicherheit an der RWTH Aachen sieht die Anbieter in der Pflicht: „Es muss jetzt eine ganze Reihe Dinge passieren, an verschiedenen Fronten. Zum einen ist der Hersteller von dem EC-Terminal gefragt, dass er versucht diese existierende Lücke zu patchen. Wenn das nicht möglich ist, müssen natürlich neue Geräte verteilt werden. Langfristig muss geschaut werden, was in dem Zertifizierungsprozess fehlgeschlagen ist.“

Jedes Jahr werden 110 Mrd. Euro mit EC-Karten im Handel umgesetzt. 670.000 Kartenterminals sind dafür in Betrieb. 97 Millionen EC-Karten sind im Umlauf ( Zahlen von 2010).

Aktuelle Ergänzung:

Von der Sicherheitslücke betroffen sind nicht alle vom Hersteller Verifone vertriebenen Kartenterminal-Geräte, sondern der Gerätetyp „Artema-Hybrid- Terminal“. Von diesem Typ sind nach Angaben von Verifone etwa 300 000 Geräte im Markt.

Quelle: wdr.de

[datensicherheit.de, 21.07.2010] Die Suche nach Rabatten und anderen Preisnachlässen hat sich für viele Menschen zum wahren Volkssport entwickelt. In Zeiten, in denen die Haushaltskassen eng geschnürt sind, sind Preisnachlässe bei Produkten des täglichen Bedarfs und außergewöhnlichen Investitionen gern gesehen. Längst haben diesen Trend auch die zahlreichen Händler erkannt. Regelmäßig setzen sie den „Rotstift“ bei den eigenen Angeboten an. Dabei wird längst nicht nur bei Restposten mit deutlichen Rabatten gespielt. Auch bei aktuellen Produkten wird immer öfter mit satten Preisnachlässen geworben. Fanden sich Kundenaktionen, die Preisnachlässe versprachen, einst vordergründig im klassischen Einzelhandel, haben sie sich heute zur klassischen Manier im Web entwickelt:
Immer mehr Onlineshops setzen auf Aktionen, bei denen sie einen Gutschein oder einen Rabattcode für Kunden anbieten. Gerade der Rabattcode hat sich zu einem beliebten Bestandteil von Aktionen entwickeln können. Durch ihn können Kunden bei Bestellungen im Web bares Geld sparen. Der Rabattcode kann sich auf einen Pauschalbetrag beziehen, kann aber auch einen bestimmten prozentualen Nachlass ermöglichen. Angeboten wird er für Neu- und Stammkunden gleichermaßen.
Seine Verwendung wird durch die Händler genauestens definiert. Meist kann ein Rabattcode nur einmal verwendet werden – aus diesem Grund ist er mit einer Nummer oder einer Buchstabenfolge ausgestattet, durch die die Händler prüfen können, ob der Rabattcode bereits von einem Kunden verwendet wurde. Die Verwendungsmöglichkeiten dieser Codes sind sehr verschieden und können sich sowohl nur auf einzelne Produkte als auch auf das gesamte Sortiment beziehen. Es gibt zudem Händler, die diesen nur für Neukunden bereithalten und auf diesem Weg versuchen potenzielle Kunden zum Kauf zu bewegen.