Die Landschaft im Einzelhandel und in der Modebranche verändert sich rasend schnell. Angesichts des Aufstiegs autonomer KI-Einkaufsagenten und extrem beschleunigter Trendzyklen setzen Marken schneller denn je cloud Architekturen ein. Doch während Unternehmen darauf drängen, ihre SAP-Umgebungen zu modernisieren und KI für die Entwicklung maßgeschneiderter Codes zu nutzen, öffnen sie damit unbeabsichtigt die Tür für verheerende Cyberbedrohungen. Angesichts hochkarätiger Vorfälle wie des Ransomware-Angriffs auf die VF Corporation und immer strengerer globaler Vorschriften wie der EU-ESPR ist es keine Option mehr, sich auf reaktive Sicherheitsmaßnahmen zu verlassen. Die Umsetzung einer DevSecOps-Strategie im Sinne eines „Shift Left“ ist der einzig gangbare Weg in die Zukunft.
Das Wichtigste in Kürze
- Eine warnende Geschichte mit 35 Millionen Betroffenen: Der Cyberangriff auf den Bekleidungsriesen VF Corporation im Dezember 2023 führte zu Störungen bei der Auftragsabwicklung während der Weihnachtszeit und zum Diebstahl der Daten von 35,5 Millionen Verbrauchern. Dies macht deutlich, dass angegriffene Backend-Systeme katastrophale Folgen für den Geschäftsbetrieb und den Ruf eines Unternehmens haben können.
- Die versteckten Kosten der KI-Beschleunigung: Zwar ermöglichen KI-Entwicklungstools (wie SAP Joule) Entwicklern, maßgeschneiderte Anwendungen in beispielloser Geschwindigkeit zu erstellen, doch leiden diese Modelle unter „Kontextblindheit“. Ohne ein tiefgreifendes Verständnis Ihrer spezifischen SAP-Architektur können sie leicht kritische Berechtigungsprüfungen übersehen.
- Strenge neue Vorschriften für Lieferketten: Einzelhändler sehen sich mit einer Flut neuer Compliance-Anforderungen konfrontiert, von der EU-Verordnung über die umweltgerechte Gestaltung nachhaltiger Produkte (ESPR) bis hin zu strengen Datenschutzgesetzen wie der DSGVO. Diese Vorschriften erfordern nachprüfbare Backend-Systeme, die von Grund auf auf Datensicherheit ausgelegt sind.
- Sicherheit für den digitalen Shop: Durch „Shifting Left“ können Teams Schwachstellen bereits in der Entwicklungsphase erkennen und beheben. Onapsis Control die Sicherheit von SAP-eigenem Code und ermöglicht es Marken so, ihren „Clean Core“ zu schützen, den Mangel an Cybersicherheitsexperten zu überwinden und Innovationen sicher voranzutreiben.
Der Albtraum der Weihnachtszeit: Wenn die Lieferketten im Einzelhandel zusammenbrechen
Stellen Sie sich vor, es ist mitten in der Hochsaison des Weihnachtsgeschäfts. Die weltweite Nachfrage steigt rasant an, doch plötzlich kommen die Distributionszentren zum Stillstand, und die Bestandsanzeigen im E-Commerce frieren ein. Das ist kein hypothetisches Szenario. Vielmehr ist genau das der VF Corporation, der Muttergesellschaft von Kultmarken wie Vans, The North Face und Timberland, im Dezember 2023 widerfahren.
Ein Ransomware-Angriff verschlüsselte wichtige IT-Systeme, was weltweit zu erheblichen Verzögerungen bei der Auftragsabwicklung und der Warenauffüllung in den Filialen führte. Als sich die Lage wieder beruhigt hatte, hatten Hacker die personenbezogenen Daten von rund 35,5 Millionen Verbrauchern gestohlen. Angesichts der Tatsache, dass die durchschnittlichen Kosten einer Datenpanne im Fertigungssektor 5,56 Mio. US-Dollar betragen und 30 % der Ransomware-Angriffe im Einzelhandel auf ausgenutzte Sicherheitslücken zurückzuführen sind, wird deutlich, dass Angreifer mittlerweile über einfache Phishing-Angriffe hinausgehen. Sie zielen auf kundenspezifische Anwendungen und SAP-Anwendungsebenen ab, in denen das wertvollste geistige Eigentum und die Kundendaten einer Marke gespeichert sind.
KI-Programmierassistenten: Rasante Fortschritte – aber verursachen Sie dabei auch Probleme?
Um mit den rasanten, platform Anforderungen der Verbraucher Schritt zu halten, setzen Modehersteller zunehmend auf künstliche Intelligenz. Entwickler nutzen KI-Programmierassistenten intensiv, um maßgeschneiderten SAP-Code schneller denn je zu schreiben.
Beispielsweise könnte ein KI-Assistent, der mit der Entwicklung einer Schnittstelle für beschleunigte Rücksendungen beauftragt ist, unbeabsichtigt eine ABAP-Open-SQL-Injection-Schwachstelle einbauen oder unsichere, fest codierte Anmeldedaten verwenden. Plötzlich wird aus dem, was eigentlich ein einfaches Kundenservice-Portal sein sollte, eine Hintertür für Angreifer, über die sie die personenbezogenen Daten von Millionen von Käufern abgreifen oder kritische Bestandsdatenbanken manipulieren können. KI vergrößert unbeabsichtigt die Angriffsfläche, indem sie versteckte Schwachstellen und Schattenabhängigkeiten einführt, die ein menschlicher Prüfer in der Eile vor der Produktionsfreigabe leicht übersehen könnte.
Das immer größer werdende Netz der Compliance-Anforderungen: ESPR, ESG und Datenschutz
Die regulatorischen Rahmenbedingungen für die Mode- und Einzelhandelsbranche werden deutlich strenger. Die Aufsichtsbehörden begnügen sich nicht mehr mit freiwilligen Leitbildern, sondern verlangen hieb- und stichfeste, von unabhängigen Dritten bestätigte Nachweise für Nachhaltigkeit und Sicherheit.
· EU-ESPR (Verordnung über die umweltgerechte Gestaltung nachhaltiger Produkte): Dieses strenge neue Gesetz schreibt Praktiken der Kreislaufwirtschaft vor, verbietet insbesondere die Vernichtung unverkaufter Bekleidung und schreibt digitale Produktpässe vor. Sollte das SAP-Backend, in dem Ihre Materialrückverfolgbarkeit gespeichert ist, gehackt oder manipuliert werden, erlischt die Konformität.
· Erweiterter Datenschutz: Im Zuge der Verlagerung des Einzelhandels hin zum „Agentic Commerce“ steigt das Volumen der verarbeiteten Daten rasant an. Infolgedessen wird die Durchsetzung der DSGVO und des CCPA verstärkt, wodurch kontinuierliche Cybersicherheitsprüfungen zu einem unverzichtbaren Bestandteil der Datenverarbeitung mit hohem Risiko werden.
Die Lücke bei Fachkräften im Bereich Cybersicherheit schließen
Warum fallen so viele Unternehmen diesen Angriffen zum Opfer? Der Grund dafür ist ein gravierender Fachkräftemangel. Aufgrund struktureller Probleme auf dem Arbeitsmarkt besteht in der Lieferkette des Einzelhandels eine Lücke von 45 % bei Fachkräften im Bereich Cybersicherheit.
Sicherheitsteams verfügen schlichtweg nicht über die Kapazitäten, um Millionen von Zeilen benutzerdefinierten Codes manuell zu überprüfen … ganz zu schweigen von den speziellen ABAP-Kenntnissen, die für die Interpretation von SAP-Code erforderlich sind. Es überrascht daher nicht, dass 46 % der Einzelhandelsunternehmen, die Opfer von Sicherheitsverletzungen geworden sind, diese auf eine „unbekannte Sicherheitslücke“ zurückführen.
Sicherheitsautomatisierung mit Onapsis Control
Man kann zwar nicht zugunsten der Sicherheit auf Geschwindigkeit verzichten, kann sich aber auch keinen Datenverstoß in Millionenhöhe leisten. Die Lösung lautet DevSecOps. Als unangefochtene Experten für SAP-Cybersicherheit und als einziger Anbieter von Anwendungssicherheit im Rahmen des „SAP Endorsed Apps“-Programms ermöglicht Onapsis Mode- und Einzelhandelsmarken, Sicherheit direkt in ihre Entwicklungszyklen zu integrieren.
Onapsis Control fungiert als automatisierte Qualitätskontrolle und bietet Ihnen folgende Möglichkeiten:
- Nahtlose Integration: Binden Sie Sicherheitsscans direkt in Entwickler-IDEs und CI/CD-Pipelines ein, um sicherzustellen, dass nur fehlerfreier Code in die Produktion gelangt.
- KI-generierten Code validieren: Code, der sowohl von Menschen als auch von KI geschrieben wurde, automatisch scannen, um fehlende Autorisierungsprüfungen und versteckte Abhängigkeiten aufzudecken.
- Gewährleistung der Prüfungsbereitschaft: Testen Sie kundenspezifische Entwicklungen anhand von Hunderten von Testfällen, um die Einhaltung der DSGVO, der ESPR und strenger ESG-Vorgaben sicherzustellen.
Betrachten wir den Erfolg von JYSK, einem weltweit tätigen Einrichtungshändler mit über 3.600 Filialen und 34.000 Mitarbeitern. Durch die Integration von Onapsis Control den SAP-Entwicklungsworkflow konnte JYSK komplexe Sicherheitsaufgaben automatisieren und das Risiko, dass Schwachstellen jemals in die Produktionsumgebung gelangen, erheblich reduzieren. Dieser Schritt sicherte nicht nur die Migration zu hybriden cloud , sondern hob auch den Sicherheitsreifegrad des Unternehmens deutlich über den Durchschnitt der Konsumgüter- und Einzelhandelsbranche hinaus.
Im heutigen Einzelhandelsumfeld beginnt der Schutz Ihrer Marke mit dem Schutz Ihres Codes. Automatisieren Sie Ihre Sicherheit, setzen Sie auf „Shift Left“ und bringen Sie Innovationen ohne Kompromisse auf den Markt.
Häufig gestellte Fragen
Warum werden Hersteller im Einzelhandel zunehmend über ihre SAP-Anwendungen ins Visier genommen?
Cyberkriminelle wissen, dass SAP-Systeme das Nervensystem des modernen Einzelhandels bilden und alles steuern – von der E-Commerce-Abwicklung bis hin zur Lieferkettenlogistik. Schon eine einzige Sicherheitslücke in einer maßgeschneiderten SAP-Anwendung kann es Angreifern ermöglichen, den weltweiten Geschäftsbetrieb lahmzulegen oder Millionen von Kundendaten zu stehlen, was diese Systeme zu einem äußerst lukrativen Ziel für Erpressungen macht.
Was genau versteht man unter „Kontextblindheit“ bei KI-generiertem SAP-Code?
Zwar generieren KI-Tools durch das Erkennen von Standardmustern schnell Code, doch verstehen sie weder die markenspezifische Geschäftslogik noch die individuellen Sicherheitsregeln einer bestimmten Marke. Diese „Kontextblindheit“ führt häufig dazu, dass Code erstellt wird, der zwar funktional funktioniert, dem jedoch wesentliche Sicherheitsvorkehrungen fehlen, wie beispielsweise obligatorische Autorisierungsprüfungen.
Inwiefern wirken sich die sich ändernden ESG-Vorschriften (wie die EU-ESPR) auf die SAP-Sicherheit aus?
Neue ESG-Vorgaben sind mittlerweile nicht mehr nur freiwillige Ziele, sondern strenge gesetzliche Anforderungen. Die EU-ESPR verbietet beispielsweise die Vernichtung unverkaufter Bekleidung und schreibt nachprüfbare digitale Produktpässe vor. Sollten die SAP-Datenbanken, in denen Ihre Daten zur Materialrückverfolgbarkeit und zur Einhaltung von Vorschriften gespeichert sind, gehackt, manipuliert oder offline geschaltet werden, kann Ihr Unternehmen die Einhaltung der Vorschriften nicht nachweisen und riskiert schwerwiegende Strafen.
Welche Rolle Control Onapsis Control bei DevSecOps für Lieferketten im Einzelhandel?
Onapsis Control als automatisierter „Gatekeeper“ innerhalb des Softwareentwicklungszyklus. Durch die Verlagerung von Sicherheitstests in die frühesten Phasen der Entwicklung („Shifting Left“) scannt und identifiziert das System automatisch Schwachstellen sowohl in von Menschen als auch von KI geschriebenem Code, bevor dieser in die Produktion übernommen wird. Dadurch werden Zeit gespart, Kosten gesenkt und Betriebsausfälle verhindert.
