Ganzheitliche IT-Sicherheit braucht ERP-Security

Mehr als jedes zweite Unternehmen in Deutschland wird attackiert, ausspioniert und bestohlen. Die Folge: Ein Schaden von rund 55 Milliarden Euro, den die deutsche Wirtschaft aufbringen muss. Zu diesem Ergebnis kommt eine Studie des Digitalverbands Bitkom. Diese alarmierenden Zahlen zwingen immer mehr Unternehmen zum Handeln. Sie entwickeln Sicherheitskonzepte und investieren in leistungsfähige Software. Aber beides hilft nichts, wenn die IT-Sicherheit nicht ganzheitlich betrachtet wird. Dazu gehört auch die Berücksichtigung des ERP-Systems.

Gibt es hier Schwachstellen, kann das nicht nur für das Unternehmen Folgen haben, sondern auch für die Gesellschaft. Letzteres hat die Konferenz Black Hat Europe 2015 mit einem Experiment bewiesen. Spezialisten drangen über Sicherheitslücken in die ERP-Lösung eines Ölkonzerns ein und zeigten, wie sich der Pipeline-Druck manipulieren lässt. Solche (Horror-)Szenarien werfen Fragen auf. Zum Beispiel, welche Schäden Hacker in ERP-Systemen anrichten können, wo die Schwachstellen liegen und was man dagegen tun kann. Erste Antworten gibt dieser Artikel, der auf einer Experten-Umfrage von ERP-News.info basiert.

Mehr als nur Datenraub: Die Schäden für Unternehmen

Viele Unternehmen verbinden mit Cyber-Attacken nur Datenraub. Doch die Schäden sind vielschichtiger. Auf die betroffenen Firmen bezogen, lassen sich zwei Arten unterscheiden:

Unter die Kategorie der primären Schäden fällt der direkte Datendiebstahl, also das Eindringen in ein System und der gezielte Raub von Informationen. Besonders begehrt sind zum Beispiel Passwörter, Produktionsdaten oder sogar Patente. Auch Datenkorruption gehört in diese Rubrik. Hier werden Informationen zum Beispiel in Datenbanken modifiziert, so dass sie beim Lesen der Daten verfälscht wiedergegeben werden. In der Praxis lassen sich dadurch zum Beispiel Aufträge umschreiben und Kontodaten ändern.

Hinzu kommen die sekundäre Schäden: “Werden personenbezogene Daten zu Bank- oder Kreditkartenkonten gehackt, erleidet das betroffene Unternehmen einen immensen Reputationsschaden”, erläutert Noèl Funke, Bereichsleiter bei BWS IT-Security Consulting und ergänzt: “Gehen geheime Daten aus der Entwicklung verloren, sind Produktnachahmungen vorprogrammiert. Außerdem sind Fertigungsausfälle möglich, wenn interne Systeme durch fremden Eingriff lahmliegen.”

Die Schwachstellen von ERP-Systemen

ERP-Lösungen sind sehr mächtig und in der Anschaffung teuer. Daher verzichten viele Unternehmen auf die Modernisierung und im schlimmsten Fall auch auf Software-Updates. Dadurch wird das System nicht nur angreifbar. Es erschwert auch die Kompatibilität mit anderen, moderneren Programmen. Ein weiteres Manko: Nach einigen Jahren werden bestimmte Features oder ganze Programme nicht mehr unterstützt. Anwender können zwar noch damit arbeiten, aber sowohl der Support als auch wichtige Sicherheitsupdates fehlen dann. Darüber hinaus gibt es weitere Schwachstellen:

  • Verschlüsselung: Ein vernetztes Unternehmen braucht interne und externe Schnittstellen. Besonders deutlich wird das im E-Commerce. Hier verlangt es nach einer Brücke zwischen Unternehmen und Plattformen wie Otto oder Zalando. “Diese Schnittstellen sind immer auch kritische Angriffspunkte”, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. “Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.”
  • Mitarbeiter: Den Blick nur Richtung Hacker und IT zu wenden, reicht nicht aus. Auch der eigene Mitarbeiter kann bewusst oder unbewusst eine Gefahrenquelle darstellen. Warum weiß Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH und nennt Motive: “Sie reichen von Enttäuschung, Frust am Arbeitsplatz und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.”
  • Zugänge: Eng damit verbunden ist auch das Management von Zugängen. Viele Unternehmen haben keine Steuerungsmechanismen, die zum Beispiel nur ausgewählten Personen erlauben, Änderungen vorzunehmen. Neben der Zugangsbeschränkung ist auch eine konsequente Rechtevergabe nötig.
    • Fünf Tipps für mehr ERP-Sicherheit

      Wer sich diesen Herausforderungen stellen will, muss das ERP-System in die ganzheitliche IT-Sicherheitsstrategie einbinden. Diese muss konkrete Maßnahmen, aber auch Verantwortliche benennen. Hinzu kommen die folgenden Aspekte:

      • Status Quo und Ziele ermitteln: Das ERP-System sollte auf alle möglichen Schwachstellen untersucht werden. Diese sind in einer Liste zu bündeln. Im nächsten Schritt bietet es sich an, die identifizierten Lücken zu priorisieren (Wo steckt das größte Angriffspotenzial). Stehen die Handlungsfelder fest, müssen daraus Ziele formuliert werden, die mit den unternehmensweiten IT-Zielen vereinbar sein müssen.
      • Zugänge verwalten und Gruppen definieren: Wer braucht im Unternehmen wirklich Zugang zum System? Stehen die Mitarbeiter fest, sollte die Auflistung regelmäßig auf Aktualität kontrolliert werden. Über die Erstellung von Tätigkeitsprofilen lässt sich anschließend ableiten, wer welche Funktion nutzen darf.
      • Aktualisieren und testen: Das ERP-System sollte immer auf dem neuesten Stand sein – dazu zählt auch Firewall, Betriebssystem und Co. Wiederkehrende Tests sichern zusätzlich die Systeme, zum Beispiel Penetrationstests.
      • Trainings durchführen: Parallel zu diesen Punkten braucht es kontinuierliche Schulungen, die allen Mitarbeitern – unabhängig vom Level – die Bedeutung des Themas näher bringen. Sensibilisierung lautet das Schlagwort.

      Böse Überraschungen vermeiden – ERP-Security erstnehmen

      Warum ist mein Produkt vor dem eigentlichen Launch schon auf einer ausländischen Messe zu sehen und woher kennt die Konkurrenz meine Preise? Wer sich diese Fragen schon einmal gestellt hat, sollte unbedingt in ERP-Security investieren. Die Vielzahl an potenziellen Schäden und die Sicherheitslücken sollten jeden Verantwortlichen dazu animieren, dieses wichtige Thema in Angriff zu nehmen und es in die IT-Strategie des Unternehmens zu integrieren.

      Über den Autor

       Matthias Weber ERP-Experte und Geschäftsführer der mwbsc GmbH. (Bild: mwbsc)

      Matthias Weber ist Experte auf dem Gebiet der Unternehmenssoftware (ERP, CRM und Warenwirtschaft). Mit seinem Beratungsunternehmen mwbsc GmbH unterstützt er mittelständische Unternehmen aus Industrie, Handel und Dienstleistung, sowie ERP-Hersteller und ERP-Anbieter bei der Optimierung deren Geschäftserfolgs.