Video: The Top 5 Restaurant POS Systems for 2020 (November 2024)
Im Dezember 2013 gab Target bekannt, dass ein Hacker über das POS-System des Unternehmens auf mehr als 70 Millionen seiner Kundenkredit- und Debitkartennummern zugreifen konnte. Als einer der größten Datenverstöße in der Geschichte der USA kostete der Target-Hack den CEO und den CIO des Unternehmens ihre Jobs.
Leider hätte der Hack für alle Beteiligten vermieden werden können, wenn nur Führungskräfte von Target die Funktion zur automatischen Tilgung in ihrem FireEye-Anti-Malware-System implementiert hätten. Das FireEye-Tool hat den Malware-Code im November dieses Jahres abgefangen und ihn möglicherweise aus dem Netzwerk von Target gelöscht, bevor Daten gestohlen wurden.
Obwohl immer noch unklar ist, wie der Hacker das Netzwerk von Target mit der Malware infiziert hat, gibt es viele Möglichkeiten, das POS-System eines Unternehmens auszunutzen. Für kleine bis mittelständische Unternehmen (SMBs) sind die Bedrohungen noch größer und häufiger als für größere Unternehmen. Dies liegt daran, dass die meisten KMUs nicht über die Ressourcen verfügen, um die erforderlichen Sicherheitsbeschränkungen zu erstellen, um Hacker in Schach zu halten (oder einen Treffer zu erleiden, wenn Hacker in ihre Systeme eindringen). Wir werden die acht wichtigsten Sicherheitslücken im Bereich POS untersuchen, die KMUs heute bedrohen. Wir sagen Ihnen nicht nur, worauf Sie achten müssen, sondern auch, wie Sie auf Nummer sicher gehen.
1. Anbieter, die Encyption Keys ohne Hardware-Sicherheitsmodul verwalten
Das Problem liegt auf der Hand: Wenn Ihr Unternehmen Verschlüsselungsinformationen an demselben Ort speichert, an dem es Benutzerdaten speichert, legen Sie alle Eier in einen zerbrechlichen Korb. Wenn Sie jedoch die Verschlüsselungsschlüsseldaten physisch von den Benutzerdaten trennen, hat ein Hacker, der Zugriff auf die Benutzerdaten erhält, keinen Zugriff auf die Verschlüsselungsinformationen.
Ein Hardware-Sicherheitsmodul ist ein physisches Gerät, auf dem Ihre Verschlüsselungsdaten gespeichert werden. Sie können dieses Gerät direkt an Ihre Computer oder Server anschließen, um auf die POS-Daten zuzugreifen, nachdem sie in Ihr Netzwerk hochgeladen wurden. Es ist ein weiterer Schritt beim Abladen Ihrer Daten, aber es ist nicht so schwierig, dem Rechtsbeistand Ihres Unternehmens zu erklären, warum Ihre Kundendaten in den Händen eines anderen sind.
2. Unternehmensnetzwerke mit nicht segmentierten POS-Daten
Wenn Ihr Unternehmen Ihr Unternehmensnetzwerk verwendet, um System- und Sicherheitsupdates an POS-Datenumgebungen und -Geräte zu senden, ist Ihr Unternehmen einem ernsthaften Risiko ausgesetzt. Wenn ein Hacker in diesem Szenario Zugriff auf Ihr Netzwerk erhält, hat er auch Zugriff auf alle Ihre POS-Daten.
Unternehmen mit tiefen Taschen und IT-Experten trennen diese beiden Netzwerke und erstellen kleine Pfade vom Unternehmensnetzwerk zur POS-Datenumgebung, um Systemänderungen vorzunehmen. Dies ist die Fort Knox-Version der POS-Sicherheit. Die Konfiguration ist jedoch unglaublich schwierig und teuer. Daher entscheiden sich kleinere Unternehmen häufig für die Aktivierung der Multifactor Authentication (MFA) vom Unternehmensnetzwerk zum POS-Gerät. Dies ist kein Traum-Sicherheitsszenario, aber die sicherste Option, die es für bescheidene Unternehmen gibt.
Ein weiterer wichtiger Hinweis: Cafés und Restaurants, die Kunden WLAN anbieten, sollten sicherstellen, dass ihre POS-Geräte nicht mit demselben Netzwerk verbunden sind. Sobald sich ein Hacker hinsetzt, an seiner Latte nippt und auf Ihr WLAN zugreift, kann er oder sie einen Weg in Ihre POS-Datenumgebung finden.
3. Laufen auf alten Betriebssystemen
Nicht jeder möchte auf Microsoft Windows 10 aktualisieren. Ich verstehe. Gut, aber wenn Sie immer noch eine alte Version von Windows verwenden, fragen Sie nach Problemen. Microsoft hat die Unterstützung für Windows XP im Jahr 2009, für Microsoft Windows Vista im Jahr 2012 und für Microsoft Windows 7 im Jahr 2015 eingestellt. Die Unterstützung für Microsoft Windows 8 wird im Jahr 2018 eingestellt. Wenn Sie Microsoft um erweiterte Unterstützung gebeten haben, werden Sie mindestens fünf Jahre nach Beendigung des Mainstream-Supports sicher. Wenn Sie Ihren Support nicht erweitert haben oder der erweiterte Support abgelaufen ist (wie bei Windows XP), muss beachtet werden, dass Microsoft keine Sicherheitspatches mehr hinzufügt, um Probleme im Betriebssystem zu beheben. Wenn Hacker einen Einstiegspunkt in die Software finden, werden Ihre POS-Daten offengelegt.
4. Standard-Herstellerkennwörter
Auch wenn Sie ein Zahlen-Assistent sind, der die komplexen Passwörter Ihres POS-Geräteherstellers speichern kann, ist es unglaublich wichtig, dass Sie das Passwort ändern, sobald Sie das Gerät an Ihre Software angeschlossen haben. Es ist bekannt, dass Hacker Listen dieser Passwörter aus den Netzwerken der Hersteller abrufen und sie auf Ihre Geräte zurückverfolgen. Selbst wenn Sie alle erdenklichen Vorkehrungen getroffen haben, um Ihre Daten zu schützen, lassen Sie die Tür dennoch für Hacker offen.
5. Betrügerische Geräte
Stellen Sie sicher, dass Sie eine Partnerschaft mit einem Unternehmen eingehen, das einen soliden Ruf hat. Andernfalls könnten Sie ein betrügerisches Kassensystem kaufen, was für Ihr Unternehmen und Ihre Kundendaten im Wesentlichen ein Spiel ist. Durch direkten Zugriff auf die Kreditkarte Ihres Kunden können diese Betrüger Daten abrufen, ohne dass Sie oder Ihr Kunde wissen, dass etwas schief gelaufen ist. Diese Maschinen teilen dem Kunden einfach mit, dass die Transaktion nicht abgeschlossen werden kann, und lassen den Kunden vermuten, dass ein Problem mit seiner Kreditkarte vorliegt oder dass ein Problem mit Ihrem Back-End-System vorliegt. Tatsächlich zieht die Maschine einfach die Kundendaten ein, ohne dass jemand der Klügere ist.
6. Malware über Phishing
Es ist wichtig, dass Sie Ihre Mitarbeiter darauf hinweisen, keine verdächtigen E-Mails zu öffnen. Hacker binden Links in E-Mails ein, die ihnen durch Klicken Zugriff auf den Computer Ihres Mitarbeiters gewähren. Sobald der Hacker die Kontrolle über den Computer übernommen hat, kann er im Netzwerk und auf Ihren Servern navigieren, um auf Daten zuzugreifen. Wenn Sie das Glück haben, Ihre POS-Daten nicht in derselben Netzwerkumgebung zu speichern, sind Sie immer noch nicht im Klaren, da Hacker remote auf ein POS-Gerät zugreifen können, das mit dem entführten Computer verbunden ist.
7. RAM-Scraping
Dies ist ein altmodischer Angriff, der immer noch ein bisschen Biss hat. RAM-Scraping ist eine Technik, mit der Angreifer Kreditkartendaten aus dem Speicher des POS-Geräts auslesen, bevor sie in Ihrem Netzwerk verschlüsselt werden. Wie bereits erwähnt, sollte die Isolierung Ihrer POS-Systeme von Ihrem Unternehmensnetzwerk diese Art von Angriffen einschränken (da Hacker weniger Zugangspunkte zu POS-Geräten haben als zu Ihrem Unternehmensnetzwerk). Sie sollten jedoch auch die Firewalls Ihres Unternehmens straffen, um sicherzustellen, dass POS-Systeme nur mit bekannten Geräten kommunizieren. Dies schränkt die Art und Weise ein, in der Hacker auf die Daten auf Ihren POS-Geräten zugreifen können, indem sie gezwungen werden, Computer oder Server in Ihrem Netzwerk zu hijacken, um den Arbeitsspeicher zu belasten.
8. Überfliegen
Dies ist leicht zu ignorieren, da es vor Ort Sicherheit erfordert, um sicherzustellen, dass niemand Ihre POS-Geräte lückenhaft handhabt. Beim Skimming müssen Hacker im Wesentlichen Hardware auf dem POS-Gerät installieren, damit sie Kreditkarteninformationen scannen können. Dies kann auch über Malware erfolgen, wenn Sie einige der zuvor genannten Schritte nicht befolgt haben. Wenn Sie mehrere Filialen betreiben, müssen Sie unbedingt überwachen, wie und von wem Ihre POS-Geräte verwendet werden.
