Was Angreifer sehen – Carletto prüft ihre digitale Angriffsfläche

Karin, was macht Carletto genau?

Carletto ist ein inhabergeführter B2B-Distributor mit Standorten in der Schweiz und Deutschland. Wir beliefern den Detailhandel in der gesamten DACH-Region mit rund 80 Marken und über 13’000 Artikeln – etwa Steiff, HABA, Sigikid, aber auch Pokémon oder unsere eigene Marke Game Factory, die rund 120 Gesellschaftsspiele umfasst. Unsere Produkte findet man unter anderem bei Migros, Manor, Digitec oder Amazon. Carletto gibt es seit über 35 Jahren, wir sind rund 100 Mitarbeitende.

Habt ihr eine eigene IT-Abteilung?

Wir haben intern eine kleine IT, die sich um Prozesse im ERP kümmert. Die gesamte Infrastruktur und IT-Sicherheit – Firewalls, Server, Hosting – wird von unserem langjährigen IT-Partner betreut.

Warum habt ihr euch für die Attack Service Analyse (ASA) entschieden?

Sicherheit ist ein Thema, das uns schon länger beschäftigt. Wie man so schön sagt: Es ist nicht die Frage, ob, sondern wann man angegriffen wird.

Wir betreiben zwei Webshops und haben zahlreiche Schnittstellen, VPN-Verbindungen und Systeme, die über das Internet erreichbar sind. Wir wollten deshalb wissen: Was ist von aussen überhaupt sichtbar? Gibt es veraltete Testsysteme, falsch konfigurierte Domains oder andere Schwachstellen, die einem gar nicht bewusst sind?

Die ASA schien uns ein effizienter Einstieg – ein externer Check, der automatisiert arbeitet, und durch GObugfree Security-Experten nochmals überprüft und bewertet wird. So wollten wir unabhängig nachvollziehen, ob auch die extern betreuten Systeme korrekt abgesichert sind.

Warum war euch eine unabhängige Prüfung wichtig?

Für uns war klar: Es braucht zusätzlich einen externen Blick auf unsere Systeme. Gerade weil wir als KMU nicht alle Kompetenzen selbst abdecken können, ist es hilfreich, eine neutrale Einschätzung zu bekommen. Wir vertrauen unserem IT-Dienstleister – er betreibt unsere Firewalls, sorgt für aktuelle Systeme und Sicherheitsupdates. Aber trotzdem bleibt eine gewisse Unsicherheit: Ist wirklich alles so umgesetzt, wie es sollte? Die ASA war für uns eine gute Gelegenheit, einen unabhängigen Realitätscheck durchzuführen.

Wie habt ihr die Resultate erlebt?

Sehr positiv. Der Report war übersichtlich aufgebaut, wir haben schnell verstanden, wo wir Handlungsbedarf haben – und was bereits gut umgesetzt ist. Besonders hilfreich fanden wir, dass nicht einfach nur technische Schwachstellen gelistet wurden, sondern klare Empfehlungen zur Behebung enthalten waren.

Der Bericht war auch ein gutes Awareness-Instrument – intern und gegenüber unserem IT-Partner. Wenn jemand von aussen prüft, ob wirklich alles up to date ist, schafft das Transparenz und Vertrauen.

Hat euch etwas überrascht?

Ja, ein paar Punkte sind uns tatsächlich neu aufgefallen – nichts Hochkritisches, aber genau dafür war der Test gedacht. Zum Beispiel zeigte ein DNS-Eintrag noch auf eine alte, nicht mehr gültige IP-Adresse. Der wurde korrigiert. Auch ein veralteter FTP-Server wurde deaktiviert. Es ging also weniger um grosse Lücken als vielmehr um den Realitätscheck: Was sehen andere über uns im Netz?

Wie nutzt ihr die Ergebnisse weiter?

Wir haben den Bericht auch bei unserer Cyber-Versicherung eingereicht – als Nachweis, dass wir uns aktiv mit dem Thema Sicherheit beschäftigen. Und natürlich haben wir die Empfehlungen intern priorisiert und umgesetzt. Es war ein pragmatischer, ressourcenschonender Weg, unsere Sicherheitslage besser einschätzen zu können.

Würdet ihr ASA weiterempfehlen?

Auf jeden Fall. Gerade für Unternehmen ohne eigene Security-Expert:innen ist es ein effizienter Einstieg: Man bekommt in kurzer Zeit ein fundiertes Bild der Angriffsfläche und sinnvolle Hinweise zur Verbesserung – ganz ohne Grossprojekt. Man kann nie genug für die Sicherheit tun, aber es muss auch im Kosten-Nutzen-Verhältnis stehen. Für uns war das der richtige Schritt.