Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Cybersecurity WürfelDas ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser großen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle.

Cyber Security ist ein zentrales Thema bei Firmenentscheidern. Das zeigt auch die aktuelle CISO-Studie. Danach sehen deutsche Unternehmen in Cyber-Angriffen das größte Risiko für die eigene IT. 74 Prozent der fast 800 befragten IT- und IT-Security-Verantwortlichen schätzen das Ausmaß der Bedrohung als hoch oder sehr hoch ein. Kein Wunder, gibt es doch genügend Schwachstellen, die Hacker nutzen können. Eine oft unterschätzte und vernachlässigte Achillesferse stellt das ERP-System dar. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in der Konferenz Black Hat Europe demonstriert: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.

Dieses drastische Szenario wirft bei vielen Firmen einige Fragen auf. Zum Beispiel, wo die Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen? Erste Antworten auf diese Fragen gibt der folgende Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert. 

ERP-Software: Welche Schwachstellen gibt es? 

Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Trotz umfangreicher Tests werden meist nicht alle Schwachstellen erkannt – einige davon sind sogar abseits der Software zu finden:

Schwachstelle Alter

Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert.

Disketten

Auch wenn das Disketten-Zeitalter schon lang vorbei ist: Viele Firmen nutzen stark veraltete Software und machen es so Hackern leichter, in das System einzudringen.

Schwachstelle Verschlüsselung

Eine weiterer wunder Punkt zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“  

Verschlüsselung

Die aktuellste Verschlüsselungstechnologie ist Pflicht. SSL 3.0 war die letzte Version. Die Weiterentwicklung erfolgte unter der Bezeichnung TLS, wobei die aktuelle Version TLS 1.2 ist. 2017 soll der Nachfolger TLS 1.3 folgen.

Schwachstelle Mensch

Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz  und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.  

Mitarbeiter

Gerade aus Unwissenheit wird vielen Hackern Tür und Tor zu den internen Systemen geöffnet. Ein falscher Klick und schon kann die Schadsoftware zum Beispiel zur Spionage ansetzen.

Guideline: 3 Tipps für eine sichere ERP-Software

Wie bei jeder Software, gibt es auch bei ERP-Systemen keine absolute Sicherheit. Jedoch lassen sich durch wenige Tipps bereits einige Risiken minimieren:

  • Status Quo: Um einen ersten Überblick zu bekommen, sollte die Ist-Situation der gesamten IT – und damit auch der Sicherheit – erfasst werden. Daraus lassen sich dann erste Schwachstellen oder Handlungsfelder identifizieren. Auch die Festschreibung von Zielen ist hier wichtig. Erst dann lassen sich konkrete Maßnahmen erarbeiten.
  • Updates: Regelmäßige Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle flankierenden Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft.
  • Mitarbeiter: Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage. Zudem sollte der Systemzugriff nur den Anwendern gestattet sein, die ihn benötigen. Vorbeugende und überwachende Rechtevorgaben in Form von Zutrittskontrollen erhöhen hier den Sicherheitsstandard.

ERP-Sicherheit: Umfassend für die Zukunft gewappnet sein 

ERP-Security wird zu einem wichtigen Baustein in der IT-Sicherheit. Dessen sind sich allerdings nicht viele Unternehmen bewusst. Die meisten gehen davon aus, dass sich die IT-Abteilung schon um die Sicherheit des ERP-Systems kümmert – hinter der Firewall des Unternehmens. Doch das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept. 

Matthias Weber

 

Autor: Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft) und Inhaber des Beratungsunternehmen mwbsc GmbH

Neuste Artikel

Smileys vor Gesichtern

Gespielte Fröhlichkeit schadet am Arbeitsplatz

Das Vortäuschen von positiven Emotionen am Arbeitsplatz hat negative Auswirkungen auf das tatsächliche Wohlbefinden und die Beziehung zu Mitarbeitern. Laut einer Studie der University of Arizona ist es dagegen von Vorteil, die eigenen Emotionen tatsächlich zu…
New Version

NGINX Controller 3.0 von F5

F5 Networks (NASDAQ: FFIV) hat die neue Generation der Cloud-nativen Lösung zur Bereitstellung von Anwendungen NGINX Controller 3.0 herausgebracht. Die 3.x-Serie steigert die Produktivität und Effizienz, indem sie als erste Multi-Cloud-basierte…
Android Smartphone

Google bietet Android-Support per Twitter an

US-Tech-Gigant Google bietet ab sofort Android-Usern über Twitter Support bei Smartphone-Problemen an. Nutzer müssen lediglich das Hashtag #AndroidHelp verwenden, um das Team von Google schnell zu kontaktieren. Dann erhalten sie Tipps bei Fragen, wie…
E-Scooter

E-Scooter sind leichtes Ziel für Hacker

E-Scooter sind äußerst anfällig für Angriffe von Hackern, die es auf den Diebstahl von wichtigen Daten abgesehen haben. Nutzer der populären Roller können so nicht nur überwacht, sondern auch auf ihrem Weg in die Irre geführt werden. Das ergibt eine Studie…
Blockchain

Für den Blockchain-Durchbruch fehlt es an Rechtssicherheit

Der Digitalverband Bitkom warnt angesichts von zahlreichen offenen Fragen zum Datenschutz vor Verzögerungen beim Einsatz der Blockchain-Technologie in Deutschland. Zugleich erhofft sich Bitkom vom morgigen Roundtable zum Thema Blockchain und Datenschutz im…
Tb W246 H150 Crop Int 0df0170134ea655be38d7bc66a9a7ec1

Das neue plentymarkets Produkt für große Händler

Nach der Einführung von plentymarkets PLUS schafft die plentysystems AG mit ENTERPRISE nun ein Produkt für große Händler. Neben dem Geschäftsmodell ist die Bereitstellung in einer eigenen Cloud-Umgebung das primäre Unterscheidungsmerkmal.

Anzeige

GRID LIST
Kompass

Wie SAP-Kunden ihre Digitalisierung 2020 vorantreiben

Die Digitalisierung steht auf der Agenda fast aller Unternehmen. Für SAP-Anwender ist…
Kunststoffbehälter

ERP-MES-System mit Mehrwerkesteuerung

Flexibilität ist eine der zentralen Anforderungen von Weber Kunststofftechnik an ein…
Kristallkugel

Vorhersagen für 2020: Das ändert sich in der ERP-Welt

Für Anbieter von ERP-Lösungen und Enterprise Software haben diese Entwicklungen starke…