Anzeige
Anzeige
Anzeige
Beitrag drucken

Sicherheitsstrategie im ERP-Betrieb und Schutzmaßnahmen

Absichern! Aufspüren! Abwehren!

Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.

Cyber-Sicherheit: In einigen Fällen nehmen Unternehmen Schwachstellen in der IT-Sicherheit sogar in Kauf. Umso mehr Bedeutung sollten dann der Risikoabwägung und den Abwehrmechanismen eingeräumt werden. (Bild: BTC Business Technology Consulting AG)

In einigen Fällen nehmen Unternehmen Schwachstellen in der IT-Sicherheit sogar in Kauf. Umso mehr Bedeutung sollten dann der Risikoabwägung und den Abwehrmechanismen eingeräumt werden.
Bild: BTC Business Technology Consulting AG

Für gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark. Das meldete unlängst der Digitalverband Bitkom. Das US-amerikanische Heimatministerium warnte wiederholt davor, dass Cyber-Kriminelle gängige ERP-Software ins Visier genommen hätten. Das wachsende Interesse an ‚ERP-Hacks‘ ist eine unliebsame Begleiterscheinung der digitalen Transformation und der globalen Erreichbarkeit über das Internet. Denn diese bedeutet gleichzeitig mehr potenzielle Angriffsflächen in Form einer immer höheren Zahl an öffentlich erreichbaren Komponenten und Schnittstellen. Und den Angreifern ist durchaus bekannt, dass ERP-Systeme viele Informationen beinhalten, um Unternehmen wirtschaftlich schaden zu können. Mit externer Unterstützung lassen sich jedoch geeignete technische und organisatorische Maßnahmen für einen passenden Schutzschirm der ERP-Systeme aufspannen, um das Risiko deutlich einzugrenzen. In einschlägigen Ratgebern von Organisationen wie dem BSI (IT-Grundschutz), dem Bitkom (Studie Wirtschaftsschutz) oder dem SAP-Anwenderverein DSAG (Best-Practice-Leitfäden) finden sich erste wertvolle Hinweise zum prinzipiellen Aufbau eines robusten Sicherheitskonzeptes. Basis des ganzheitlichen, auf die Belange eines Unternehmens abgestimmten Schutzkonzepts ist ein Sicherheitsprozess, der im Wesentlichen aus den drei Handlungsfeldern Prävention (Vorsorgen), Monitoring (Aufspüren und Erkennen von Schwachstellen sowie Angriffen) und Störungsmanagement (Abwehren, Reagieren) gebildet wird. Eingebettet ist alles in einen kontinuierlichen Verbesserungsprozess, um das Sicherheitsniveau stetig zu optimieren und die Methoden an die sich wandelnde Technologie anzupassen. Um Transparenz über das Schutzniveau der eigenen ERP-Landschaft zu gewinnen, empfiehlt sich der Einsatz technischer Hilfsmittel. (Teil-)automatisierte Audit-Werkzeuge liefern hier umfassende Informationen über den konkreten Sicherheitsstand. Beispielsweise lassen sich in detaillierten Berichten kritische Berechtigungen und Rechtekombinationen aufzeigen. Oder es werden Konfiguration und Systemhärtung wie Profilparameter für die Passwortrichtlinien als auch der Stand der Sicherheits-Updates ermittelt.

Penetrationstests durch Ethical Hacker

Neben dem auf ein bestimmtes ERP-System bzw. auf eine Anwendungslandschaft fokussierten Sicherheitscheck stellt die Durchführung von Penetrationstests ein geeignetes Verfahren dar, um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zu verschaffen, ob die eigenen technischen und organisatorischen Sicherheitsmaßnahmen wirksam sind. In diesen Überprüfungen helfen Fachleute, die z.B. nach den Vorgaben des EC-Councils als Ethical Hacker zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten. Frei nach dem Motto ‚Handeln bevor es andere tun‘ werden Vorgehen und Technik krimineller Hacker nachgeahmt, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich zum Einfallstor für böswillige Hacker werden. Solche Penetrationstests beachten insbesondere, dass Hacker typischerweise nicht ausschließlich technische Schwachstellen in der Infrastruktur nutzen, um in ein System einzudringen. Oftmals leichter als der technische Einstieg in das Netz, fällt es Angreifern im Umfeld der Firmenmitarbeiter das ‚Sesam-öffne-dich‘ aufzuspüren. Geduldig werden im Rahmen von Social Engineering Informationen gesammelt, E-Mail-Strukturen untersucht und das Kommunikationsverhalten für Phishing-Mails analysiert. Auch USB-Sticks, die harmlos im Büro herumliegen und unbedacht von Mitarbeitern genutzt werden, sind ein probates Mittel Späher-Software einzuschleusen. Mit Hilfe eines so erbeuteten Passworts verschaffen sich die Angreifer zunächst Zugriff auf das Firmennetz und durch das Ausnutzen von Schwachstellen anschließend auf das ERP-System. Ethical Hacker decken mit ihren Penetrationstests nicht nur auf, welche Lücken die Sicherheitsarchitektur aufweist, sie stellen auch fest, ob das Unternehmen bereits unerwünschten Besuch hatte. Sie prüfen, ob der ‚Besucher‘ Spuren hinterlassen hat und ob Daten abgezogen wurden. Am Ende des Penetrationstests fließen die Erkenntnisse der Sicherheits-Spezialisten mit den Resultaten aus technischen Überprüfungen in einen Bericht mit Empfehlungen, auf welchem Weg sich das Sicherheitsniveau verbessern lässt. Die Auswertung der in Unternehmen durchgeführten Sicherheitschecks weisen häufig auf kleinere technische und organisatorische Unzulänglichkeiten hin, die den Cyberkriminellen das Leben erleichtern.

Die Klassiker unter den Angriffsvektoren

Typische Beispiele sind ein nicht eingespielter Security-Patch, unsauber definierte Berechtigungen und Zuständigkeiten für Prozesse und Systeme (fehlendes Vier-Augen-Prinzip) oder Nutzung schwacher Passwörter. Auch werden unternehmenskritische ERP-Produktionssysteme häufig mit weniger wichtigen Büro-Servern in einem gemeinsamen Netzwerkabschnitt betrieben. Zu den Klassikern der organisatorischen Unzulänglichkeiten zählt etwa, dass einmal eingerichtete Berechtigungen und Gruppenkennungen bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden. Die (gar nicht so) amüsante Konsequenz: Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, verfügen in vielen Unternehmen über die meisten Zugriffsrechte. Mitunter sind es aber auch betriebliche Gegebenheiten, die dem Beseitigen einer registrierten Verwundbarkeit im Wege stehen. In einem 24×7-Produktivbetrieb ist mitunter keine Zeit für ein Wartungsfenster verfügbar, um die unterstützenden ERP-Systeme mit den jüngsten Security-Patches auszustatten. Oder eine funktionale Erweiterung wird trotz Verstoßes gegen die Sicherheitsarchitektur geduldet, da niemand den hierdurch generierten Prozessgewinn missen möchte. In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und gleichzeitig korrespondierende Sicherheitsmaßnahmen einleiten.

Die drei Säulen der IT-Sicherheit (Cyber-Sicherheit) in Unternehmen (Bild: BTC Business Technology Consulting AG)

Die drei Säulen der IT-Sicherheit in Unternehmen
Bild: BTC Business Technology Consulting AG

Angriffe erkennen und abwehren

Ein Lösungsansatz sind sogenannte SIEM-Verfahren (Security Information and Event Management), mit deren Hilfe sich Angriffe zeitnah identifizieren lassen. Dazu werden Log-Daten aus verschiedenen System-Quellen (Netzwerke, Server, Datenbanken etc.) im ERP-Umfeld gesammelt und anhand vordefinierter Regelwerke in Beziehung gesetzt. Aktuelle auf In-Memory-Technologie fußende Systeme sind heute in der Lage, die Datenströme nahezu in Echtzeit auszuwerten und mit bekannten Angriffsmustern abzugleichen. Sie erkennen einen Identitätsdiebstahl, da sich ein Nutzer von verschiedenen Orten anmeldet, um Buchungen vorzunehmen. Oder sie registrieren, wenn ungewöhnlich umfangreiche Transaktionen durch Nutzer auf eine unberechtigte Kopie sensibler Unternehmensdaten hindeuten. Innovative Entwicklungen auf Grundlage von künstlicher Intelligenz bzw. Machine-Learning-Techniken gehen im Bereich des Monitorings noch einen Schritt weiter und können selbst unbekannte Attacken in den Daten erkennen. Die KI-basierten Verfahren lernen vereinfacht formuliert anhand der überwachten Datenströme den Normalzustand von Prozessen und Systemen kennen, um bei Abweichungen direkt Alarm zu schlagen.

Hundertprozentiger Schutz ist unerreichbar

Einen vollständigen Schutz gegen Cyber-Attacken kann und wird es in der IT nie geben. Die digitale Transformation und globale Erreichbarkeit über das Internet bringt es zudem mit sich, dass auch der ERP-Anwendungsbetrieb stets als Teil eines umfassenden IT-Sicherheitskonzeptes zu betrachten ist. Ein wichtiger Baustein bildet die Fähigkeit, eine Bedrohungslage korrekt einschätzen sowie Angriffe zeitnah identifizieren zu können. Zugleich ist es empfehlenswert in unregelmäßigen Abständen (Penetrations-)Tests durch Ethical Hacker durchzuführen, um das reale Schutzniveau zu bewerten.


Christian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG. - Bild: BTC Business Technology Consulting AGChristian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG.


Das könnte Sie auch interessieren:

Beim generativen Design werden KI-Algorithmen zur treibenden Entscheidungskraft im Produktdesign. Anhand vorgegebener Parameter können sie eine Vielzahl an passenden Produktentwürfen berechnen. Dadurch ändert sich auch die Rolle von Produktdesignern und Ingenieuren. Ganz ohne sie geht es jedoch nicht.‣ weiterlesen

Der Industrie-4.0-Index, den die Unternehmensberatung Staufen bereits zum sechsten Mal aufgelegt hat, ist auch in der 2019er Auflage erneut gestiegen. Demnach setzen mehr als die Hälfte der befragten Unternehmen Industrie 4.0 operativ um. Der Sprung von der Einzellösung hin zum unternehmensübergreifenden Einsatz gelingt jedoch nur selten.‣ weiterlesen

Kunden erwarten von einem guten Service schnelle und effektive Hilfe - am besten rund um die Uhr. Mit einem KI-gestützten Self-Service-Angebot kann man diesen Anforderungen Rechnung tragen und gleichzeitig die Mitarbeiter entlasten.‣ weiterlesen

Die VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik hat einen VDI-Statusreport veröffentlicht. In 'Agenten zur Realisierung von Industrie 4.0' geht es um das Konzept einer I4.0-Sprache, die zu höherer Flexibilität und mehr Effizienz in Wertschöpfungsketten führen soll. Der Ansatz ermöglicht einen interoperablen Austausch von Informationen und darauf aufbauend das flexible Aushandeln und Aktivieren von Aufgaben.‣ weiterlesen

DataProphet will Anwendern mit einem neuen Software-Paket erlauben, auf Basis von künstlicher Intelligenz die Produktionsprozesse und die Produktqualität zu verbessern.‣ weiterlesen

Bei allen Vorteilen, die Industrie-4.0-Technologien mit sich bringen, muss zunächst auch eine leistungsstarke digitale Infrastruktur vorhanden sein. Sie muss große Volumen an Sensordaten schnell, sicher und ortsunabhängig übertragen und auswerten können. Mit dem Rückgriff auf externe Partner erhalten Firmen eine solche Infrastruktur - und gleichzeitig Zugang zu einem erweiterten Ökosystem.‣ weiterlesen

Im nordrhein-westfälischen Düren findet sich die vermutlich einzige professionelle Wurmzucht Deutschlands - und die wahrscheinlich am weitesten automatisierte weltweit. Die nötigen Anlagen dafür wurden vom Unternehmer selbst in bester Daniel-Düsentrieb-Manier entwickelt und gebaut - mit einem Fokus auf kostengünstige, aber zuverlässige Automatisierungstechnik.‣ weiterlesen

Die Hoffmann Group hat auf der Emo 2019 erstmals ihr Hoffmann Group Tool Management gezeigt. Mit der Software können kleine und mittelgroße Betriebe ihre Werkzeuge verwalten und deren Einsatz planen.‣ weiterlesen

Der Autobauer Porsche hatte am Dienstag mit einem zeitweisen Stillstand in seiner Produktion zu kämpfen. Grund dafür war ein Serverausfall.‣ weiterlesen

Software für das Product Lifecycle Management (PLM) ist eine substanzielle Investition in die Zukunft. Die Frage nach ihrer Wirtschaftlichkeit beschäftigt deshalb alle Unternehmen - und ist nach heutigem Kenntnisstand gut zu beantworten.‣ weiterlesen

Der Einsatz des digitalen Zwillings verspricht vielfältige Potenziale für den gesamten Lebenszyklus eines Produktes. Im Rahmen einer Befragung der Managementberatung Detecon halten die Studienteilnehmer vor allem den Unternehmensübergreifenden Einsatz für erfolgversprechend.‣ weiterlesen

Anzeige
Anzeige
Anzeige