Louis setzt auf YubiKeys – Phishing-resistente, passwortlose Authentifizierung am Point-of-Sale

Erhöhtes Cyberrisiko im Einzelhandel führt zur Einführung von passwortloser Authentifizierung

„Wir sind mit Ransomware, Malware, Social Engineering und Identitätsdiebstahl konfrontiert“, sagt Sascha Neuhaus, Chief Information Security Officer bei Louis. „Die größte Bedrohung geht von Phishing aus. Durch KI-gestützte Angriffe werden Phishing-Mails immer raffinierter und schwerer zu erkennen.“

Für Neuhaus hat Sicherheit oberste Priorität: „Es geht um ein sicheres Einkaufserlebnis. Kein Kunde möchte herausfinden, dass Zahlungen nicht ordnungsgemäß verarbeitet wurden oder personenbezogene Daten kompromittiert sind.“ Er betont, dass ein einziger Angriff ausreichen kann, um das gesamte Einzelhandelsnetzwerk zu gefährden und erhebliche Datenschutzverletzungen zu verursachen.

Angesichts der zunehmenden Anzahl und Raffinesse von Phishing-Angriffen entschied sich Louis, die Authentifizierungssicherheit zu verbessern. Obwohl bereits Multi-FaktorAuthentifizierung (MFA) genutzt wurde, mussten sich die Einzelhandelsmitarbeiter weiterhin mit Passwörtern anmelden. Dies machte sie anfällig für Phishing-Angriffe und führte zu Sicherheitsrisiken sowie ineffizienten Arbeitsabläufen. Komplexe Passwörter wurden häufig vergessen, und die telefonische Identitätsprüfung zur Rücksetzung gestaltete sich oft umständlich.

„Für uns waren wichtige Faktoren, dass wir Zeit sparen konnten und unsere Mitarbeiter keine Passwörter mehr benötigen“, sagt Neuhaus.

Die oberste Priorität war die Einzelhandelsumgebung, in der sich der Zeitaufwand für die Authentifizierung direkt auf den Kunden auswirkt. Um eine schnelle und sichere Authentifizierung zu gewährleisten, musste Louis Passwörter komplett abschaffen und arbeitete dafür mit den Experten für Arbeitsplatzsicherheit und -identität von TAP.DE zusammen, um die ideale passwortlose Lösung zu finden.

Sicherung des POS mit Microsoft, SAP und Yubico

Louis durchläuft derzeit eine digitale Transformation. „Unser Ziel ist es, technologisch auf dem neuesten Stand zu sein – und dafür brauchen wir die passende Sicherheit. Dabei sollte Sicherheit jedoch nicht vorgeben, wie Technologie funktioniert. Es sollte genau umgekehrt sein“, so Neuhaus. Daher war eine skalierbare passwortlose Lösung erforderlich, die sowohl mit Microsoft 365 als auch mit SAP Customer Checkout, der neuen POSSoftware von Louis, kompatibel ist.

„Unser Ziel war es, die Sicherheit am Point-of-Sale zu erhöhen und gleichzeitig den Kassierern ein optimales Nutzungserlebnis zu bieten“, erklärt Michael Krause, CEO von TAP.DE. „Gemeinsam mit Louis haben wir Sicherheit, Benutzerfreundlichkeit und Kosten gleichermaßen priorisiert.“

Als TAP.DE uns verschiedene potenzielle passwortlose Lösungen vorstellte, war klar, dass einige Ansätze komplexe Herausforderungen mit sich bringen würden. Die Authentifizierung per Mobilgerät ist anfällig für Bedrohungen durch MITM-Angriffe (Man-in-the-Middle) und setzt voraus, dass Mitarbeiter ein Geschäftstelefon erhalten oder ihr privates Gerät verwenden müssen. Obwohl Fingerabdruckscanner in Betracht gezogen wurden, war Louis besorgt, dass dies Compliance-Bedenken in Bezug auf biometrische Daten gemäß Datenschutz-Grundverordnung (DSGVO) mit sich bringen würde. Darüber hinaus musste jede Lösung die Möglichkeit der Nahfeldkommunikation (Near Field Communication, NFC) bieten, um die Authentifizierungsgeschwindigkeit zu erhöhen.

Nach sorgfältiger Evaluierung entschied sich Louis für die Implementierung des Security Key NFC von Yubico, einen Hardware-Sicherheitsschlüssel, der eine Phishing-resistente MFA mit höchster Sicherheit bietet, in Kombination mit HID-Lesegeräten. Der YubiKey speichert gerätegebundene Passkeys (FIDO2-Zugangsdaten) an einem besonders sicheren Ort und ist gleichzeitig sehr nutzerfreundlich auf breiter Ebene. Das Arbeitsplatzgerät ist sicher am Empfang in den Louis-Filialen untergebracht. Benutzer können einfach mit ihrem YubiKey gegen ein HID-Lesegerät tippen und sich so reibungslos bei Microsoft-365- und SAPSystemen authentifizieren.

Optimierung des POS-Erlebnisses

Louis hat den Authentifizierungsprozess weiter vereinfacht: Passwörter wurden vollständig entfernt, und alle Mitarbeiter erhielten ein ausziehbares Schlüsselband für ihre YubiKeys. Der YubiKey wird an das HID-Lesegerät gehalten, und zur Bestätigung wird eine kurze PIN eingegeben. Im Gegensatz zu Passwörtern, die über Netzwerke übertragen werden und somit potenziell abgefangen werden können, wird die PIN ausschließlich lokal auf dem jeweiligen Gerät genutzt – dadurch ist sie immun gegen Phishing-Angriffe.

„Die PIN ist kurz und leicht zu merken, ähnlich wie bei einer Kreditkarte“, erklärt Neuhaus. „Selbst wenn sie in falsche Hände gerät, ist sie wertlos, da sie an einen spezifischen YubiKey gebunden ist.“ Compliance stand im Entscheidungsprozess von Louis zwar nicht an erster Stelle, aber der YubiKey hilft dem Unternehmen dabei, die Anforderungen gemäß PCI DSS v4.0.1 für sicheren Zugriff der Manager auf den POS zu erfüllen.1 Louis’ Entscheidung wurde auch durch die Tatsache beeinflusst, dass Yubico ein europäisches Unternehmen ist, das die YubiKeys in Schweden herstellt.

„Unser Hauptanliegen bestand darin, die Authentifizierungszeit zu verkürzen“, sagt Neuhaus. „Die ersten Rückmeldungen, die wir von unseren Mitarbeitern über die Verwendung der YubiKeys erhalten haben, waren fantastisch. Die Mitarbeiter greifen schnell auf die benötigten Anwendungen zu, was für sie, die Sicherheit und für die Kunden, die von schnellerem Service profitieren, von Vorteil ist.“

Louis hat auch Maßnahmen für verlorene oder vergessene YubiKeys implementiert: Jede Filiale verfügt über Reserveschlüssel, die leicht zugewiesen werden können. Mitarbeiter werden zudem ermutigt, ihren YubiKey auch privat zu nutzen, um die Akzeptanz zu erhöhen. Die Verwendung des YubiKey „macht nicht nur das Arbeitsleben der Mitarbeiter einfacher und sicherer; diese Vorteile lassen sich auch auf ihr Privatleben ausweiten“, erklärt Krause.

Erweiterung der passwortlosen Authentifizierung im Unternehmen

Nach den erfolgreichen Erfahrungen mit der Phishing-resistenten, passwortlosen Anmeldung im Einzelhandel sieht Neuhaus weitere Chancen, die Authentifizierung im gesamten Unternehmen zuverlässig abzusichern. So werden YubiKeys etwa eingesetzt, um den Zugriff von Softwareentwicklern auf die eCommerce-Systeme von Louis zu schützen – und auch Mitarbeiter, die ihr privates Mobilgerät nicht für die Arbeitsauthentifizierung nutzen möchten, profitieren davon. „Für die Softwareentwicklung sind sie ideal geeignet“, betont Neuhaus. „Wir verzeichnen täglich zahlreiche Phishing-Versuche – teilweise bis zu 100. Die YubiKeys bieten hierbei einen entscheidenden Schutz vor Sicherheitsverstößen.“

Obwohl die Authentifizierung per Mobilgerät in vielen Bereichen noch Standard ist, bemerken Neuhaus und seine Kollegen eine zunehmende MFA-Müdigkeit. Da die Yubico-Security Keys als die sichersten Passkeys auf dem Markt gelten, möchte Louis seine Sicherheitsarchitektur weiter modernisieren. „Wir beobachten, dass Anfragen eingehen und die Mitarbeiter nicht immer daran denken, ob sie wirklich Zugriff angefordert haben – sie betätigen schlicht die Taste am Authentifikator. Dabei könnte es auch ein Angreifer sein“, erklärt Neuhaus. Durch die verstärkte Nutzung des YubiKeys lässt sich dieses Risiko reduzieren, denn die FIDO2- Authentifizierung (Passkey) ist ausschließlich mit dem registrierten Online-Service oder der spezifischen Website möglich. „Mit einer phishingsicheren Methode der Authentifizierung gibt es keine Kompromisse“, resümiert Neuhaus: „Die Mitarbeiter haben den YubiKey stets bei sich und authentifizieren sich sicher beim System.“

Langfristig hofft Louis, auch im Online-Shop eine Phishing-resistente, passwortlose Anmeldung anzubieten, um digitale Identitäten von Kunden zu schützen. „Unsere Community soll das beste Motorrad-Erlebnis haben – dazu gehört auch der Schutz ihrer Online-Konten“, sagt Neuhaus. „Wir wollen unsere Kunden in jeder Hinsicht schützen. Wir glauben, dass wir Sie auch unterstützen sollten, wenn Sie unseren Online-Shop besuchen, indem wir es Ihnen ermöglichen, einen Passkey zu verwenden.“