Dass HUTH durch Sicherheitsupdates, Passwörter und Leseberechtigungen die Back-Office- und Warenwirtschaftssysteme schützt, ist für viele Kunden schon lange selbstverständlich. Die Angriffe auf Computersysteme nehmen jeden Tag zu und so bedürfen alle EDV-Systeme auch einer regelmäßigen Kontrolle. Hier bietet Huth in Zusammenarbeit mit F-Secure, einem bekannten Dienstleiter in der Sicherheitsbranche, schon seit vielen Jahren das HISS – Management an. Dies sorgt für die regelmäßige Versorgung der HUTH-Backoffice-Rechner mit den aktuellen Updates zur Abwehr der bekannten Malware.
Aber wie sieht es mit der Sicherheit vor Ort aus?
Sicherlich ist der HUTH-Techniker, der seit Jahren das Kassensystem vor Ort kompetent und zuverlässig betreut, bekannt. Aber was ist, wenn der zuständige Techniker in Urlaub oder erkrankt ist? Was, wenn die Kassiererin vor Ort alleine einem Techniker gegenübersteht, den sie nicht kennt? Soll sie dem Techniker ohne Sicherheitsprüfung den Zugang zur Kasse bzw. zum Back-Office gewähren? Meldungen über angebliche Techniker vor Ort, die dann an den Kassen bzw. Terminals Manipulationen vornehmen, mehren sich in letzter Zeit.
Für Betreiber eines HUTH-Systems können folgende Sicherheitsaspekte formuliert werden:
- Als erstes ist anzumerken, dass im Prinzip kein Technikerbesuch ohne vorherige schriftliche Terminankündigung (per Mail oder Fax) erfolgt.
- Darüber hinaus kommt ein HUTH Servicetechniker immer mit einem entsprechend gekennzeichneten Firmenfahrzeug. Sollte dieses nun in der Werkstatt sein, so kann sich ein HUTH Servicetechniker oder ein von HUTH beauftragte Dienstleister in jedem Fall mit seinem individuellen Technikerausweis vor Ort identifizieren.
- Als dritte Möglichkeit zur Überprüfung haben HUTH Kunden die Möglichkeit, vom HUTH Service eine Legitimation einzufordern, um Personen die vorgeben im Auftrag von HUTH zu handeln vor Ort oder am Telefon zu identifizieren. Über die per SSL gesicherte Internetseite https://www.huth.org/legitimation wird bei Aufruf ein Zahlencode generiert und der zu legitimierenden Person durch den Tankstellenpartner vor Ort oder fernmündlich bekanntgegeben. Der Algorithmus zur Berechnung des Antwortcodes ist geheim und wird nicht an Dritte weitergegeben. Soll laut der Person die mit dem Kassenpersonal in Kontakt steht eine andere URL aufgerufen werden, wird es sich um einen Betrugsversuch handeln! Nur ein HUTH Mitarbeiter ist technisch in der Lage zum erzeugten Zahlencode einen validen Antwortcode zu erhalten, da das dafür zu benutzende Portal nur HUTH intern erreichbar ist. Der Mitarbeiter kann den Antwortcode nur erhalten, wenn sie sich per VPN Client bei HUTH eingewählt und per Zwei-Faktor-Authentifikation angemeldet haben. Wird das HUTH interne Portal aus dem HUTH Warenwirtschaftssystem heraus aufgerufen, so ist jeder Legitimationsvorgang über die Statusabfrage im Kundenportal nachvollziehbar.
Unter Beachtung der oben beschriebenen Rahmenbedingungen und mit Nutzung des Authentifizierungsverfahrens sollte ein Betrugsversuch fehlschlagen.
Aufforderungen und Reaktionen am Telefon
Tankstellen stehen auch immer wieder im Fokus von Anrufen, bei denen es meist darum geht, telefonisch an die Cash-Codes der PrePaid-Karten zu gelangen, die dann im Internet als Zahlungsmittel eingesetzt werden können. Die Betrüger geben sich am Telefon meist als Mitarbeiter des Netzbetreibers oder jüngst auch als Mitarbeiter der Firma HUTH aus. In den Telefonaten behaupten die Anrufer, das Gerät müsste getestet werden und zu diesem Zweck müssten einige Codes aktiviert und dem Anrufer zwecks Überprüfung am Telefon durchgegeben werden. In der neuesten Version der Betrugsmasche meldet sich der Anrufer als Support-Mitarbeiter der Firma HUTH und kündigt einen Techniker für den nächsten Tag an, der ein neues Gerät bringen würde. Zuvor wäre nun ein Test notwendig.
Hier gilt: Firma HUTH unternimmt keinerlei solche Anrufe und bittet zu keiner Zeit um das Auslösen eines PrePaid-Kartenverkaufs!
Die Täter werden immer professioneller und besser. Da heute die Vortäuschung falscher Telefonnummern technisch kein Problem mehr darstellt, ist auch die Telefonnummer keine korrekte Identifikationsmöglichkeit mehr. Zur Unterstützung des Kassenpersonals wird bei der Warengruppe der PrePaid-Karten in der Regel ein Warnhinweis ausgegeben, der nochmals abfragt, dass nicht auf telefonische Anweisungen agiert wird. Sollten Sie diesen Warnhinweis nicht angezeigt bekommen, so wenden Sie sich bitte an Ihren e-Loading Netzbetreiber.