Thought Leadership
Das ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser großen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle.
Cyber Security ist ein zentrales Thema bei Firmenentscheidern. Das zeigt auch die aktuelle CISO-Studie. Danach sehen deutsche Unternehmen in Cyber-Angriffen das größte Risiko für die eigene IT. 74 Prozent der fast 800 befragten IT- und IT-Security-Verantwortlichen schätzen das Ausmaß der Bedrohung als hoch oder sehr hoch ein. Kein Wunder, gibt es doch genügend Schwachstellen, die Hacker nutzen können. Eine oft unterschätzte und vernachlässigte Achillesferse stellt das ERP-System dar. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in der Konferenz Black Hat Europe demonstriert: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.
Dieses drastische Szenario wirft bei vielen Firmen einige Fragen auf. Zum Beispiel, wo die Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen? Erste Antworten auf diese Fragen gibt der folgende Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert.
ERP-Software: Welche Schwachstellen gibt es?
Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Trotz umfangreicher Tests werden meist nicht alle Schwachstellen erkannt – einige davon sind sogar abseits der Software zu finden:
Schwachstelle Alter
Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert.
Auch wenn das Disketten-Zeitalter schon lang vorbei ist: Viele Firmen nutzen stark veraltete Software und machen es so Hackern leichter, in das System einzudringen.
Schwachstelle Verschlüsselung
Eine weiterer wunder Punkt zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“
Die aktuellste Verschlüsselungstechnologie ist Pflicht. SSL 3.0 war die letzte Version. Die Weiterentwicklung erfolgte unter der Bezeichnung TLS, wobei die aktuelle Version TLS 1.2 ist. 2017 soll der Nachfolger TLS 1.3 folgen.
Schwachstelle Mensch
Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.
Gerade aus Unwissenheit wird vielen Hackern Tür und Tor zu den internen Systemen geöffnet. Ein falscher Klick und schon kann die Schadsoftware zum Beispiel zur Spionage ansetzen.
Guideline: 3 Tipps für eine sichere ERP-Software
Wie bei jeder Software, gibt es auch bei ERP-Systemen keine absolute Sicherheit. Jedoch lassen sich durch wenige Tipps bereits einige Risiken minimieren:
- Status Quo: Um einen ersten Überblick zu bekommen, sollte die Ist-Situation der gesamten IT – und damit auch der Sicherheit – erfasst werden. Daraus lassen sich dann erste Schwachstellen oder Handlungsfelder identifizieren. Auch die Festschreibung von Zielen ist hier wichtig. Erst dann lassen sich konkrete Maßnahmen erarbeiten.
- Updates: Regelmäßige Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle flankierenden Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft.
- Mitarbeiter: Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage. Zudem sollte der Systemzugriff nur den Anwendern gestattet sein, die ihn benötigen. Vorbeugende und überwachende Rechtevorgaben in Form von Zutrittskontrollen erhöhen hier den Sicherheitsstandard.
ERP-Sicherheit: Umfassend für die Zukunft gewappnet sein
ERP-Security wird zu einem wichtigen Baustein in der IT-Sicherheit. Dessen sind sich allerdings nicht viele Unternehmen bewusst. Die meisten gehen davon aus, dass sich die IT-Abteilung schon um die Sicherheit des ERP-Systems kümmert – hinter der Firewall des Unternehmens. Doch das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept.
Autor: Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft) und Inhaber des Beratungsunternehmen mwbsc GmbH
