Anzeige

Cybersecurity WürfelDas ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser großen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle.

Cyber Security ist ein zentrales Thema bei Firmenentscheidern. Das zeigt auch die aktuelle CISO-Studie. Danach sehen deutsche Unternehmen in Cyber-Angriffen das größte Risiko für die eigene IT. 74 Prozent der fast 800 befragten IT- und IT-Security-Verantwortlichen schätzen das Ausmaß der Bedrohung als hoch oder sehr hoch ein. Kein Wunder, gibt es doch genügend Schwachstellen, die Hacker nutzen können. Eine oft unterschätzte und vernachlässigte Achillesferse stellt das ERP-System dar. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in der Konferenz Black Hat Europe demonstriert: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren.

Dieses drastische Szenario wirft bei vielen Firmen einige Fragen auf. Zum Beispiel, wo die Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen? Erste Antworten auf diese Fragen gibt der folgende Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert. 

ERP-Software: Welche Schwachstellen gibt es? 

Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Trotz umfangreicher Tests werden meist nicht alle Schwachstellen erkannt – einige davon sind sogar abseits der Software zu finden:

Schwachstelle Alter

Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert.

Disketten

Auch wenn das Disketten-Zeitalter schon lang vorbei ist: Viele Firmen nutzen stark veraltete Software und machen es so Hackern leichter, in das System einzudringen.

Schwachstelle Verschlüsselung

Eine weiterer wunder Punkt zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“  

Verschlüsselung

Die aktuellste Verschlüsselungstechnologie ist Pflicht. SSL 3.0 war die letzte Version. Die Weiterentwicklung erfolgte unter der Bezeichnung TLS, wobei die aktuelle Version TLS 1.2 ist. 2017 soll der Nachfolger TLS 1.3 folgen.

Schwachstelle Mensch

Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz  und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.  

Mitarbeiter

Gerade aus Unwissenheit wird vielen Hackern Tür und Tor zu den internen Systemen geöffnet. Ein falscher Klick und schon kann die Schadsoftware zum Beispiel zur Spionage ansetzen.

Guideline: 3 Tipps für eine sichere ERP-Software

Wie bei jeder Software, gibt es auch bei ERP-Systemen keine absolute Sicherheit. Jedoch lassen sich durch wenige Tipps bereits einige Risiken minimieren:

  • Status Quo: Um einen ersten Überblick zu bekommen, sollte die Ist-Situation der gesamten IT – und damit auch der Sicherheit – erfasst werden. Daraus lassen sich dann erste Schwachstellen oder Handlungsfelder identifizieren. Auch die Festschreibung von Zielen ist hier wichtig. Erst dann lassen sich konkrete Maßnahmen erarbeiten.
  • Updates: Regelmäßige Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle flankierenden Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft.
  • Mitarbeiter: Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage. Zudem sollte der Systemzugriff nur den Anwendern gestattet sein, die ihn benötigen. Vorbeugende und überwachende Rechtevorgaben in Form von Zutrittskontrollen erhöhen hier den Sicherheitsstandard.

ERP-Sicherheit: Umfassend für die Zukunft gewappnet sein 

ERP-Security wird zu einem wichtigen Baustein in der IT-Sicherheit. Dessen sind sich allerdings nicht viele Unternehmen bewusst. Die meisten gehen davon aus, dass sich die IT-Abteilung schon um die Sicherheit des ERP-Systems kümmert – hinter der Firewall des Unternehmens. Doch das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept. 

Matthias Weber

 

Autor: Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft) und Inhaber des Beratungsunternehmen mwbsc GmbH


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

ERP und DMS

ERP und DMS: Das "Dream-Team aus der Cloud"

Immer mehr Unternehmen setzen auf die Flexibilität, die ihnen Cloud-basierte Lösungen für Enterprise Resource Planning (ERP) bieten. Nach der Implementierung einer solchen ERP-Lösung stellen sie jedoch häufig fest, dass ihre Unternehmenssoftware zwar „in der…
Supply Chain

valantic launcht SaaS-Plattform für Supply Chain Manager

Die Corona-Pandemie mit weltweiten Produktionsausfällen zeigt deutlich, wie brüchig Supply Chains sein können. Um Engpässe zu vermeiden, ist es wichtig, die eigene Lieferkette bis ins letzte Glied zu kennen und die nötige Transparenz zu schaffen.
Supply Chain

Supply Chains müssen flexibler, stabiler und robuster werden

Der Aachener Optimierungsspezialist INFORM gibt vier Tipps zur Absicherung von Supply Chains in Krisenzeiten und zur Neuaufstellung für die Zeit danach.
digitales Business Team

Auch ohne IT-Ausbildung - Was einen guten SAP-Berater wirklich ausmacht

Ähnlich wie bei anderen Berufen aus der Sparte der Unternehmensberatung haben SAP-Berater top Karrierechancen und können mit überdurchschnittlichen Vergütungen rechnen. Gleichzeitig trauen sich viele Interessenten oft nicht an das Metier heran, weil sie eine…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!