VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cybersecurity WürfelDas ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser großen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle.

Cyber Security ist ein zentrales Thema bei Firmenentscheidern. Das zeigt auch die aktuelle CISO-Studie. Danach sehen deutsche Unternehmen in Cyber-Angriffen das größte Risiko für die eigene IT. 74 Prozent der fast 800 befragten IT- und IT-Security-Verantwortlichen schätzen das Ausmaß der Bedrohung als hoch oder sehr hoch ein. Kein Wunder, gibt es doch genügend Schwachstellen, die Hacker nutzen können. Eine oft unterschätzte und vernachlässigte Achillesferse stellt das ERP-System dar. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in der Konferenz Black Hat Europe demonstriert: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.

Dieses drastische Szenario wirft bei vielen Firmen einige Fragen auf. Zum Beispiel, wo die Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen? Erste Antworten auf diese Fragen gibt der folgende Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert. 

ERP-Software: Welche Schwachstellen gibt es? 

Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Trotz umfangreicher Tests werden meist nicht alle Schwachstellen erkannt – einige davon sind sogar abseits der Software zu finden:

Schwachstelle Alter

Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert.

Disketten

Auch wenn das Disketten-Zeitalter schon lang vorbei ist: Viele Firmen nutzen stark veraltete Software und machen es so Hackern leichter, in das System einzudringen.

Schwachstelle Verschlüsselung

Eine weiterer wunder Punkt zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“  

Verschlüsselung

Die aktuellste Verschlüsselungstechnologie ist Pflicht. SSL 3.0 war die letzte Version. Die Weiterentwicklung erfolgte unter der Bezeichnung TLS, wobei die aktuelle Version TLS 1.2 ist. 2017 soll der Nachfolger TLS 1.3 folgen.

Schwachstelle Mensch

Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz  und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.  

Mitarbeiter

Gerade aus Unwissenheit wird vielen Hackern Tür und Tor zu den internen Systemen geöffnet. Ein falscher Klick und schon kann die Schadsoftware zum Beispiel zur Spionage ansetzen.

Guideline: 3 Tipps für eine sichere ERP-Software

Wie bei jeder Software, gibt es auch bei ERP-Systemen keine absolute Sicherheit. Jedoch lassen sich durch wenige Tipps bereits einige Risiken minimieren:

  • Status Quo: Um einen ersten Überblick zu bekommen, sollte die Ist-Situation der gesamten IT – und damit auch der Sicherheit – erfasst werden. Daraus lassen sich dann erste Schwachstellen oder Handlungsfelder identifizieren. Auch die Festschreibung von Zielen ist hier wichtig. Erst dann lassen sich konkrete Maßnahmen erarbeiten.
  • Updates: Regelmäßige Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle flankierenden Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft.
  • Mitarbeiter: Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage. Zudem sollte der Systemzugriff nur den Anwendern gestattet sein, die ihn benötigen. Vorbeugende und überwachende Rechtevorgaben in Form von Zutrittskontrollen erhöhen hier den Sicherheitsstandard.

ERP-Sicherheit: Umfassend für die Zukunft gewappnet sein 

ERP-Security wird zu einem wichtigen Baustein in der IT-Sicherheit. Dessen sind sich allerdings nicht viele Unternehmen bewusst. Die meisten gehen davon aus, dass sich die IT-Abteilung schon um die Sicherheit des ERP-Systems kümmert – hinter der Firewall des Unternehmens. Doch das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept. 

Matthias Weber

 

Autor: Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft) und Inhaber des Beratungsunternehmen mwbsc GmbH

GRID LIST
Tb W190 H80 Crop Int 8543def0cb74c33f4fcceff7723370c9

Daten-to-Go: Routenplan für die mobile ERP-Einführung

Wer im Netz surft, ist mittlerweile mobil via Smartphone oder Tablet unterwegs – der PC…
Tb W190 H80 Crop Int 71fe7429c647c85f12065545d13c660f

Wie SAP-Anwender von Echtzeit-Daten profitieren

Alle wichtigen Geschäftskennzahlen in Echtzeit übersichtlich auf dem Tablet für…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

Neues Release: AP plus 6.4

Das neue APplus-Release, das exklusiv zur CeBIT vorgestellt wird, erweitert das bisherige…
Tb W190 H80 Crop Int 9b4731a254f5866959e73e601ec536d6

Neues abas ERP Release

Die neue abas ERP Version 2018 bietet Neuerungen in den Bereichen Behältermanagement,…
Tb W190 H80 Crop Int A4d4de1a86cb9d8b5ae45f2a40e5ff50

Wie Unternehmen von einer ERP-Software profitieren

IT-Systeme werden immer besser und verfügen über zunehmend mehr Funktionen. Längst sind…
Kundenservice

Mobil, digital und flexibel zu besserem Kundenservice!

Mehr Flexibilität, mehr Transparenz – alles im Sinne eines starken Kundenservice: Um ihre…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security