Anzeige

Cybersecurity WürfelDas ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser großen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle.

Cyber Security ist ein zentrales Thema bei Firmenentscheidern. Das zeigt auch die aktuelle CISO-Studie. Danach sehen deutsche Unternehmen in Cyber-Angriffen das größte Risiko für die eigene IT. 74 Prozent der fast 800 befragten IT- und IT-Security-Verantwortlichen schätzen das Ausmaß der Bedrohung als hoch oder sehr hoch ein. Kein Wunder, gibt es doch genügend Schwachstellen, die Hacker nutzen können. Eine oft unterschätzte und vernachlässigte Achillesferse stellt das ERP-System dar. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in der Konferenz Black Hat Europe demonstriert: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.

Dieses drastische Szenario wirft bei vielen Firmen einige Fragen auf. Zum Beispiel, wo die Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen? Erste Antworten auf diese Fragen gibt der folgende Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert. 

ERP-Software: Welche Schwachstellen gibt es? 

Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Trotz umfangreicher Tests werden meist nicht alle Schwachstellen erkannt – einige davon sind sogar abseits der Software zu finden:

Schwachstelle Alter

Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert.

Disketten

Auch wenn das Disketten-Zeitalter schon lang vorbei ist: Viele Firmen nutzen stark veraltete Software und machen es so Hackern leichter, in das System einzudringen.

Schwachstelle Verschlüsselung

Eine weiterer wunder Punkt zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“  

Verschlüsselung

Die aktuellste Verschlüsselungstechnologie ist Pflicht. SSL 3.0 war die letzte Version. Die Weiterentwicklung erfolgte unter der Bezeichnung TLS, wobei die aktuelle Version TLS 1.2 ist. 2017 soll der Nachfolger TLS 1.3 folgen.

Schwachstelle Mensch

Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz  und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.  

Mitarbeiter

Gerade aus Unwissenheit wird vielen Hackern Tür und Tor zu den internen Systemen geöffnet. Ein falscher Klick und schon kann die Schadsoftware zum Beispiel zur Spionage ansetzen.

Guideline: 3 Tipps für eine sichere ERP-Software

Wie bei jeder Software, gibt es auch bei ERP-Systemen keine absolute Sicherheit. Jedoch lassen sich durch wenige Tipps bereits einige Risiken minimieren:

  • Status Quo: Um einen ersten Überblick zu bekommen, sollte die Ist-Situation der gesamten IT – und damit auch der Sicherheit – erfasst werden. Daraus lassen sich dann erste Schwachstellen oder Handlungsfelder identifizieren. Auch die Festschreibung von Zielen ist hier wichtig. Erst dann lassen sich konkrete Maßnahmen erarbeiten.
  • Updates: Regelmäßige Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle flankierenden Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft.
  • Mitarbeiter: Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage. Zudem sollte der Systemzugriff nur den Anwendern gestattet sein, die ihn benötigen. Vorbeugende und überwachende Rechtevorgaben in Form von Zutrittskontrollen erhöhen hier den Sicherheitsstandard.

ERP-Sicherheit: Umfassend für die Zukunft gewappnet sein 

ERP-Security wird zu einem wichtigen Baustein in der IT-Sicherheit. Dessen sind sich allerdings nicht viele Unternehmen bewusst. Die meisten gehen davon aus, dass sich die IT-Abteilung schon um die Sicherheit des ERP-Systems kümmert – hinter der Firewall des Unternehmens. Doch das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept. 

Matthias Weber

 

Autor: Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft) und Inhaber des Beratungsunternehmen mwbsc GmbH


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

SAP

SAP-Strategie: Mit wenig Aufwand 2021 erfolgreich durchstarten

Das Jahr 2021 wird mit Sicherheit immer noch von den Auswirkungen des Coronavirus geprägt sein. Für Unternehmen bedeutet das, dass Mitarbeiter weiterhin vom Homeoffice aus arbeiten werden und dass eine virtuelle Kommunikation noch immer die Basis der…
2021

Kundenbeziehungen 2021: Dem mobilen CRM gehört das Morgen

Während sich 2020 dem Ende zuneigt, nimmt die Digitalisierung weiter Fahrt auf: Wie der aktuelle CIO-Priorities-Report bestätigt, nahmen IT-Entscheider aller Branchen die Corona-Krise zum Anlass, IT-Investitionen auszubauen, um vor allem die…
Puzzleteile

CRM und CXM: Ein unschlagbares Team

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH und Experte für Kundenmanagement, über die Unterschiede zwischen CRM und CXM sowie die Wichtigkeit von positiven Kundenerfahrungen für den langfristigen Erfolg eines Unternehmens.
ERP

SaaS-ERP-Systeme sind nur bedingt an die Anforderungen anpassbar

Cloud-ERP-Lösungen sind im Kontext der digitalen Unternehmenstransformation im Mittelstand kaum wegzudenken. So verfolgen vier von fünf Unternehmen eine Digitalisierungsstrategie, in der Cloud Computing und Cloud-ERP-Systeme wesentliche Bestandteile sind.
CRM

Der digitale Weg zur Kundschaft

Die Corona-Pandemie zwingt Handelsunternehmen zum Umdenken, und so wird ein bedrohlicher Virus zum Treiber für Veränderungsprozesse im Handel und dessen Beziehungsmanagement mit der Kundschaft. Diese verändert ihr Einkaufsverhalten rasant und der Handel muss…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!