Fehlende ERP-Sicherheit: Die unterschätzte Gefahr

by Lisa Baur

von Matthias Weber  Bis zum Jahr 2022 werden 350.000 Cybersicherheitsfachleute fehlen. Zu diesem Ergebnis kam die achte Global Information Security Workforce Study (GISWS). Sie untersucht, welche Auswirkungen Cyber-Bedrohungen auf Firmen in der DACH-Region haben und unterstreicht, wie schwer es künftig Unternehmen fällt, genügend qualifizierte Mitarbeiter zu rekrutieren. Diese Entwicklung stellt eine immense Herausforderung dar. Auch in einem bisher sehr unterschätzten Bereich, der ERP-Sicherheit.

Die wird in den kommenden Jahren immer wichtiger. Liegen in dieser geschäftskritischen Anwendung doch hoch sensible Informationen, die für Hacker von größter Bedeutung sein können. Höchste Zeit, sich den Fragen zu widmen, welche Schäden durch ein erfolgreiches ERP-Hacking möglich sind, welche Risiken ERP-System mit sich bringen und welche Lösung Cloud-Anwendungen hinsichtlich der knapper werdenden Cyber-Ressourcen in Unternehmen bieten.

Der Schaden durch ERP-Hacking

Angriffe durch Cyber-Kriminelle können tiefgreifende Schäden verursachen. Dabei gibt es zum einen die primären Schäden, wie den direkten Datendiebstahl. Darunter ist das Eindringen in ein System und der gezielte Raub von Informationen zu verstehen (Kontodaten, Adressen, Maschinenpläne, etc.). Ein weiteres Beispiel für diese „sichtbaren“ Schädigungen ist Datenkorruption, die Datensätze modifiziert, so dass sie beim erneuten Lesen verfälscht wiedergegeben werden.

Was jedoch viele Unternehmen unterschätzen, ist die zweite Kategorie, die sekundären Schäden. Sie gefährden ebenfalls den Unternehmenserfolg: „Gehen geheime Daten aus der Entwicklung verloren, sind Produktnachahmungen vorprogrammiert. Außerdem sind Fertigungsausfälle möglich, wenn interne Systeme durch fremden Eingriff lahmliegen“, weiß Noèl Funke, Bereichsleiter bei BWS IT-Security Consulting. Was das genau bedeutet, kann jedes Unternehmen für sich am besten beurteilen. Doch schon ein Ausfall von einer Stunde kann gravierende Auswirkungen haben.

Richtig teuer kann es für Firmen mit der neuen EU-Datenschutz-Grundverordnung werden, die nächstes Jahr in Kraft tritt. Sie sieht empfindliche Bußgelder für Datenschutzverletzungen bei personenbezogenen Daten vor. Liegen diese heute noch bei maximal 300.000 Euro, steigen sie ab 2018 auf bis zu 20 Millionen.

Die Risiken von ERP-Software

Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert. Eine weitere Schwachstelle zeigt sich in der zunehmenden Vernetzung mit anderen Unternehmen. Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“ Eine weitere Lücke kann das Firmennetz sein, wenn es nicht hinreichend abgesichert ist und veraltete Firewall und einen nicht aktuellen Virenscanner nutzt. Das öffnet vor allem der Methode des Spear Phishing die Tore. Bei dieser Form des sehr gezielten „Fischens“ werden Informationen über das Ziel genutzt, um die Angriffe persönlicher zu gestalten. Ein Beispiel: Hacker sprechen potenzielle Opfer mit Namen, Titel oder Position an, um so Vertrautheit oder Seriosität vorzutäuschen.

Neben diesen genannten Punkten gibt es aber auch eine weitere Gefahrenquelle, die auf den ersten Blick oft vernachlässigt wird: die eigenen Mitarbeiter. Laut einer Studie des deutschen Verfassungsschutzes wurden mehr als 30 Prozent der öffentlich gewordenen Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung der GUS Deutschland GmbH berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potentielle Gefahren ist groß, reicht doch der Besuch unsicherer Webseiten am Arbeitsplatz, ein unbedachter Klick auf E-Mail-Anhänge oder die Nutzung des privaten Smartphones für Firmenzwecke über unverschlüsselte Verbindungen aus, um schädlicher Software Zugang zu gewähren.

ERP in der Wolke: Private vs. Public Cloud

Um immer die aktuellste Version der Software zu haben, setzen schon einige Unternehmen auf die Cloud. Doch was ist in puncto Sicherheit zu empfehlen? Auf den ersten Blick ist die Private Cloud sicherer. Sie setzt aber drei Aspekte voraus: Firmen müssen bereit sein, umfangreich zu investieren und ein optimales Sicherheitskonzept für Hard- und Software auszuarbeiten. Drittens ist es nötig, agil auf wandelnde Sicherheitsanforderungen zu reagieren. Erfahrungsgemäß haben nur große Unternehmen die hierfür nötigen Mittel. „Gerade im Mittelstand fehlt es an Ressourcen und Kompetenz, um einen Betrieb mit ähnlichen Standards zu gewährleisten, wie das die Spezialisten können“, sagt Tobias Hagenau von HQLabs GmbH und ergänzt: „Bei den Profis gibt es einerseits eine skalierbare Infrastruktur und andererseits auch dedizierte Ressourcen. Da sind ganze Teams darauf fokussiert, Wartung, Updates und Sicherheitsfixes sicherzustellen.“ Für kleine und mittelständische Unternehmen bieten sich daher Public-Cloud-Anbieter an, da deren Rechenzentren viel besser abgesichert sind als die von Mittelständlern. Trotzdem sollten Firmen genau prüfen, welche Sicherheitsstandards und Zertifizierungen der Anbieter vorweisen kann. Eine gute Orientierung bietet hierfür der „Anforderungskatalog Cloud Computing“ des Bundesamtes für Sicherheit in der Informationstechnik.

Allgemein gilt: „Bei den großen Playern muss man sich um die Sicherheit der Daten in der Regel keine Sorgen machen“ stellt Dirk Bingler fest. „Denn die etablierten Anbieter investieren schon seit Jahren sehr viel Geld und Know-how in dieses Thema. Sie bieten daher in ihren Rechenzentren ein Sicherheitsniveau, das für ein Anwenderunternehmen selbst kaum zu erreichen ist.“ Gerade kleine und mittelständische Firmen könnten aus dem Grund von den Skaleneffekten profitieren, wenn sie ihre ERP-Lösung aus der Cloud beziehen. Auch was das Thema Personal anbelangt, können Unternehmen einsparen – beziehungsweise die immer knapper werdenden Cyber-Ressourcen ihrer IT-Spezialisten auf andere Herausforderungen konzentrieren.

Fazit: ERP security ist für alle CIOs und IT-Verantwortliche ein Thema, mit dem man sich auseinandersetzen muss. Gerade in Zeiten von Digitalisierung und Vernetzung sollte die Unternehmenssoftware eine gewisse Aufmerksamkeit bekommen und nicht davon ausgegangen werden, dass der Betrieb hinter einer Firewall ausreicht.

Mehr zum Thema Cybersecurity auf Österreichs größtem CIO & IT-Management Treffpunkt dem 11. Confare CIO SUMMIT am 11/12.April 2018.

 

Sharing is caring!

0 comment

Für Sie ausgewählt

Leave a Comment