Das ERP-System kommt immer mehr einem technologischen Knotenpunkt gleich. Denn es sammelt und analysiert Daten, die für den Fortschritt des Geschäfts unabdingbar sind. Trotz dieser grossen Bedeutung, spielt die Sicherheit solcher Lösungen kaum eine Rolle. Cyber Security muss bei ERP-Entscheiden eine zentrale Rolle spielen. Was passieren kann, wenn hier der Schutz fehlt, wurde schon Ende 2015 in einer Präsentation an der Konferenz Black Hat Europe demonstriert, als Experten ERP-Anwendungen eines Ölkonzerns angegriffen haben, um den Pipeline-Druck zu manipulieren. Wo die spezifischen Schwachstellen liegen und was Unternehmen tun können, um sich zu wappnen, wollen wir Ihnen in diesem Beitrag aufzeigen.
Risiken bei ERP-Systemen
Für jede Software gilt: je komplexer, desto fehleranfälliger. Da bilden auch ERP-Systeme keine Ausnahme. Zudem setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert. Eine weitere Schwachstelle liegt in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und ausserhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. Diese Schnittstellen sind immer auch kritische Angriffspunkte. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.
Viele Unternehmen widmen sich zurecht mit grossem Engagement dem IT-Risikomanagement und der Endnutzersicherheit. Was dabei allerdings oftmals zu kurz kommt, ist die Verteilung der Zugriffsrechte. Es braucht Steuerungsmechanismen, die es nur bestimmten Personen erlauben, Programm-, Prozess- und/oder Datenänderungen vorzunehmen. ERP Security wird deshalb zu einem wichtigen Baustein in der Cyber Security. Unserer Erfahrung nach sind sich dessen allerdings noch viel zu wenige Unternehmen bewusst. Wir sind der Meinung: Das ist leichtsinnig. Was es braucht, ist die feste Verankerung dieser geschäftskritischen Anwendung in einem durchdachten Sicherheitskonzept.
ERP-Systeme im Gesamtkontext der Cyber Security betrachten
Wenn Unternehmen ihre Geschäftsprozesse in Richtung Digitalisierung, Mobility oder Cloud transformieren, geht das nicht ohne IT- und Cyber Security. Eine Strategie sollte zunächst die Sicherstellung der strategischen Ausrichtung der gesamten Unternehmenstätigkeit und der Prioritäten und Schwerpunkte der Unternehmenstätigkeit behandeln, um die Konzentration der Kräfte sicherzustellen. Es werden dabei Faktoren wie die aktuelle Position und die Fähigkeiten des Unternehmens berücksichtigt. Dabei wird auch evaluiert, welche Leistungen intern zu erbringen und welche von externen Dienstleistern zu beziehen sind. Hierbei spielt auch das Risikomanagement der Lieferanten eine entscheidende Rolle. Wie Sie dies in den Griff bekommen, haben wir Ihnen in zwei anderen Blogartikeln zum Thema Cyber Supply Chain Risk Management bereits im Detail erklärt (hier und hier).
Das ERP-System als kritische Komponente
Marktzyklen werden immer kürzer – bestimmt auch in Ihrem Unternehmen. Geschäftskritische Entscheidungen müssen immer schneller getroffen werden. Das Zauberwort heisst: Echtzeit-Prozesse. Dafür müssen Sie allerdings auch Ihre ERP-Landschaft anpassen. Deshalb geht der Trend auch bei den ERP-Systemen eindeutig in Richtung Betrieb in der Cloud. Wie abhängig Anwender von einer Cloud-Lösung sind, merkt man erst, sobald sie nicht mehr verfügbar ist. Ausfälle im Kernsystem eines Unternehmens bedeuten jedoch oft einen sofortigen Stillstand aller Aktivitäten. Vertrauen in die Zuverlässigkeit einer Cloud-Lösung oder Cloud-Plattform wird in Zukunft ein noch wichtigerer Faktor für deren Einsatz sein.
Eine Störung des Systems ist eine kritische Situation für ein Unternehmen. Im schlimmsten Fall kann dies dazu führen, dass das gesamte operative Geschäft stillsteht, was zu erheblichen finanziellen Verlusten führt. Deshalb ist die Sicherheit des ERP-Systems eine der wichtigsten Herausforderungen für Unternehmen. Dies muss jedem Sicherheitsverantwortlichen, aber auch dem Management bewusst sein.
Sie sehen: Das Risiko eines Ausfalls, einer Beeinträchtigung der System- und Datenintegrität oder einer ungewollten Veröffentlichung von Geschäftsgeheimnissen lässt sich nur durch den Einsatz von gezielten Sicherheitsmassnahmen minimieren. Leider gibt es den einen ultimativen Sicherheitstipp nicht. Es ist vielmehr die Kombination aus mehreren Massnahmen. Was es braucht, ist neben dem Wissen um die Schwachstellen und Tipps zur Lösung die feste Verankerung der ERP Security in einem durchdachten Sicherheitskonzept. Wir sind der Meinung: Wer hier spart, handelt leichtsinnig. Insbesondere, weil aufgrund der zunehmenden Digitalisierung und Durchdringung der Informationssysteme zur Unterstützung sämtlicher Geschäftsprozesse die ERP-Systeme in den vergangenen Jahren immer mehr in den Fokus der Finanzrevision rückten.
Und so wird der Wirtschaftsprüfer immer mehr damit konfrontiert, nebst den klassischen Prüfprozeduren auch die Verlässlichkeit und Integrität der Informationssysteme, die schlussendlich zur Aufbereitung der Jahresrechnung dienen, zu verifizieren. Viele Prüfgesellschaften sind in der Lage, auch komplexe Prüfungen und Analysen durchzuführen, um Schwachstellen in ERP-Systemen wie SAP zu identifizieren und daraus Massnahmen abzuleiten.
Lesen Sie demnächst: SAP Security ‒ Sicherheit für eine standardisierte ERP-Software
Die verbreitetste ERP-Lösung für grössere Firmen und Grossunternehmen in der Schweiz sind die ERP-Lösungen von SAP, welche mit einem breiten Angebot und hohem Integrationsfreiraum bestechen. Zu beachten ist jedoch, dass nur eine stabile, verfügbare und sichere SAP-Infrastruktur (egal ob on-premise oder Cloud) einen sicheren und effizienten Betrieb Ihrer SAP-Systemlandschaft ermöglicht.
Verpassen Sie auf keinen Fall den nächsten Artikel zu ERP und SAP Security! Melden Sie sich jetzt für unsere Blog-Updates an: