Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.
In einigen Fällen nehmen Unternehmen Schwachstellen in der IT-Sicherheit sogar in Kauf. Umso mehr Bedeutung sollten dann der Risikoabwägung und den Abwehrmechanismen eingeräumt werden.
Bild: BTC Business Technology Consulting AG
Für gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark. Das meldete unlängst der Digitalverband Bitkom. Das US-amerikanische Heimatministerium warnte wiederholt davor, dass Cyber-Kriminelle gängige ERP-Software ins Visier genommen hätten. Das wachsende Interesse an ‚ERP-Hacks‘ ist eine unliebsame Begleiterscheinung der digitalen Transformation und der globalen Erreichbarkeit über das Internet. Denn diese bedeutet gleichzeitig mehr potenzielle Angriffsflächen in Form einer immer höheren Zahl an öffentlich erreichbaren Komponenten und Schnittstellen. Und den Angreifern ist durchaus bekannt, dass ERP-Systeme viele Informationen beinhalten, um Unternehmen wirtschaftlich schaden zu können. Mit externer Unterstützung lassen sich jedoch geeignete technische und organisatorische Maßnahmen für einen passenden Schutzschirm der ERP-Systeme aufspannen, um das Risiko deutlich einzugrenzen. In einschlägigen Ratgebern von Organisationen wie dem BSI (IT-Grundschutz), dem Bitkom (Studie Wirtschaftsschutz) oder dem SAP-Anwenderverein DSAG (Best-Practice-Leitfäden) finden sich erste wertvolle Hinweise zum prinzipiellen Aufbau eines robusten Sicherheitskonzeptes. Basis des ganzheitlichen, auf die Belange eines Unternehmens abgestimmten Schutzkonzepts ist ein Sicherheitsprozess, der im Wesentlichen aus den drei Handlungsfeldern Prävention (Vorsorgen), Monitoring (Aufspüren und Erkennen von Schwachstellen sowie Angriffen) und Störungsmanagement (Abwehren, Reagieren) gebildet wird. Eingebettet ist alles in einen kontinuierlichen Verbesserungsprozess, um das Sicherheitsniveau stetig zu optimieren und die Methoden an die sich wandelnde Technologie anzupassen. Um Transparenz über das Schutzniveau der eigenen ERP-Landschaft zu gewinnen, empfiehlt sich der Einsatz technischer Hilfsmittel. (Teil-)automatisierte Audit-Werkzeuge liefern hier umfassende Informationen über den konkreten Sicherheitsstand. Beispielsweise lassen sich in detaillierten Berichten kritische Berechtigungen und Rechtekombinationen aufzeigen. Oder es werden Konfiguration und Systemhärtung wie Profilparameter für die Passwortrichtlinien als auch der Stand der Sicherheits-Updates ermittelt.
Neben dem auf ein bestimmtes ERP-System bzw. auf eine Anwendungslandschaft fokussierten Sicherheitscheck stellt die Durchführung von Penetrationstests ein geeignetes Verfahren dar, um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zu verschaffen, ob die eigenen technischen und organisatorischen Sicherheitsmaßnahmen wirksam sind. In diesen Überprüfungen helfen Fachleute, die z.B. nach den Vorgaben des EC-Councils als Ethical Hacker zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten. Frei nach dem Motto ‚Handeln bevor es andere tun‘ werden Vorgehen und Technik krimineller Hacker nachgeahmt, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich zum Einfallstor für böswillige Hacker werden. Solche Penetrationstests beachten insbesondere, dass Hacker typischerweise nicht ausschließlich technische Schwachstellen in der Infrastruktur nutzen, um in ein System einzudringen. Oftmals leichter als der technische Einstieg in das Netz, fällt es Angreifern im Umfeld der Firmenmitarbeiter das ‚Sesam-öffne-dich‘ aufzuspüren. Geduldig werden im Rahmen von Social Engineering Informationen gesammelt, E-Mail-Strukturen untersucht und das Kommunikationsverhalten für Phishing-Mails analysiert. Auch USB-Sticks, die harmlos im Büro herumliegen und unbedacht von Mitarbeitern genutzt werden, sind ein probates Mittel Späher-Software einzuschleusen. Mit Hilfe eines so erbeuteten Passworts verschaffen sich die Angreifer zunächst Zugriff auf das Firmennetz und durch das Ausnutzen von Schwachstellen anschließend auf das ERP-System. Ethical Hacker decken mit ihren Penetrationstests nicht nur auf, welche Lücken die Sicherheitsarchitektur aufweist, sie stellen auch fest, ob das Unternehmen bereits unerwünschten Besuch hatte. Sie prüfen, ob der ‚Besucher‘ Spuren hinterlassen hat und ob Daten abgezogen wurden. Am Ende des Penetrationstests fließen die Erkenntnisse der Sicherheits-Spezialisten mit den Resultaten aus technischen Überprüfungen in einen Bericht mit Empfehlungen, auf welchem Weg sich das Sicherheitsniveau verbessern lässt. Die Auswertung der in Unternehmen durchgeführten Sicherheitschecks weisen häufig auf kleinere technische und organisatorische Unzulänglichkeiten hin, die den Cyberkriminellen das Leben erleichtern.
Vorhaben zum Nachweis der Energieoptimierung und die Verpflichtung, CSR-Berichte zu erstellen, beschäftigen die Industrie. Auch wenn diese zunächst mit Umstrukturierungen und finanziellen Aufwänden verbunden sind, so investieren Industrieunternehmen damit langfristig in ihre Zukunftssicherheit.‣ weiterlesen
Typische Beispiele sind ein nicht eingespielter Security-Patch, unsauber definierte Berechtigungen und Zuständigkeiten für Prozesse und Systeme (fehlendes Vier-Augen-Prinzip) oder Nutzung schwacher Passwörter. Auch werden unternehmenskritische ERP-Produktionssysteme häufig mit weniger wichtigen Büro-Servern in einem gemeinsamen Netzwerkabschnitt betrieben. Zu den Klassikern der organisatorischen Unzulänglichkeiten zählt etwa, dass einmal eingerichtete Berechtigungen und Gruppenkennungen bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden. Die (gar nicht so) amüsante Konsequenz: Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, verfügen in vielen Unternehmen über die meisten Zugriffsrechte. Mitunter sind es aber auch betriebliche Gegebenheiten, die dem Beseitigen einer registrierten Verwundbarkeit im Wege stehen. In einem 24×7-Produktivbetrieb ist mitunter keine Zeit für ein Wartungsfenster verfügbar, um die unterstützenden ERP-Systeme mit den jüngsten Security-Patches auszustatten. Oder eine funktionale Erweiterung wird trotz Verstoßes gegen die Sicherheitsarchitektur geduldet, da niemand den hierdurch generierten Prozessgewinn missen möchte. In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und gleichzeitig korrespondierende Sicherheitsmaßnahmen einleiten.
Die drei Säulen der IT-Sicherheit in Unternehmen
Bild: BTC Business Technology Consulting AG
Ein Lösungsansatz sind sogenannte SIEM-Verfahren (Security Information and Event Management), mit deren Hilfe sich Angriffe zeitnah identifizieren lassen. Dazu werden Log-Daten aus verschiedenen System-Quellen (Netzwerke, Server, Datenbanken etc.) im ERP-Umfeld gesammelt und anhand vordefinierter Regelwerke in Beziehung gesetzt. Aktuelle auf In-Memory-Technologie fußende Systeme sind heute in der Lage, die Datenströme nahezu in Echtzeit auszuwerten und mit bekannten Angriffsmustern abzugleichen. Sie erkennen einen Identitätsdiebstahl, da sich ein Nutzer von verschiedenen Orten anmeldet, um Buchungen vorzunehmen. Oder sie registrieren, wenn ungewöhnlich umfangreiche Transaktionen durch Nutzer auf eine unberechtigte Kopie sensibler Unternehmensdaten hindeuten. Innovative Entwicklungen auf Grundlage von künstlicher Intelligenz bzw. Machine-Learning-Techniken gehen im Bereich des Monitorings noch einen Schritt weiter und können selbst unbekannte Attacken in den Daten erkennen. Die KI-basierten Verfahren lernen vereinfacht formuliert anhand der überwachten Datenströme den Normalzustand von Prozessen und Systemen kennen, um bei Abweichungen direkt Alarm zu schlagen.
Haben Sie genug von komplizierten Prozessen, einer hohen Fehlerquote, langsamen Markteinführungszeiten und hohen Anpassungskosten? Durch die Implementierung einer einzigen in Microsoft Dynamics 365/AX eingebetteten PLM-Lösung können Sie den Zeitaufwand für manuelle Datenarbeit und ineffektive Arbeitsabläufe vermeiden!‣ weiterlesen
Einen vollständigen Schutz gegen Cyber-Attacken kann und wird es in der IT nie geben. Die digitale Transformation und globale Erreichbarkeit über das Internet bringt es zudem mit sich, dass auch der ERP-Anwendungsbetrieb stets als Teil eines umfassenden IT-Sicherheitskonzeptes zu betrachten ist. Ein wichtiger Baustein bildet die Fähigkeit, eine Bedrohungslage korrekt einschätzen sowie Angriffe zeitnah identifizieren zu können. Zugleich ist es empfehlenswert in unregelmäßigen Abständen (Penetrations-)Tests durch Ethical Hacker durchzuführen, um das reale Schutzniveau zu bewerten.
Christian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG.
Der Ifo-Geschäftsklimaindex ist im März auf 93,3 Punkte geklettert und verzeichnet damit den fünften Anstieg in Folge.‣ weiterlesen
Der Sensorhersteller Leuze gibt Veränderungen in der Geschäftsführung bekannt. Mit Wirkung zum 1. April wird Xavier Hamers CEO der Unternehmensgruppe.‣ weiterlesen
Wago wird erster System- und Technologiepartner für das echtzeitfähige, Linux-basierte Betriebssystem ctrlX OS von Bosch Rexroth. Gemeinsam wolle man die offene Lösung weiterentwickeln, als Standard vorantreiben und branchenspezifischer Apps auf den Markt bringen.‣ weiterlesen
Der VDMA Additive Manufacturing wird ab 2024 ideeller Träger der Rapid.Tech 3D. Bereits in diesem Jahr will sich die Arbeitsgemeinschaft mit einem Format zum Thema Bildung engagieren‣ weiterlesen
Der Gewinner des Hermes Awards wird am 16. April bekanntgegeben. Die Jury hat nun die drei nominierten Unternehmen bekanntgegeben: ACS Climatics, Beckhoff und Bosch Rexroth.‣ weiterlesen
Checkmarx hat den Launch von Supply Chain Threat Intelligence bekanntgegeben. Das System stellt Bedrohungsinformationen zu hunderttausenden schädlichen Code-Paketen, zur Reputation der beteiligten Entwickler, zu schädlichen Verhaltensmustern und mehr bereit.‣ weiterlesen
Die Industrial Digital Twin Association hat mit PTC ein neues Mitglied. Gestartet mit 23 Organisationen, umfasst die Initiative nun 94 Mitglieder.‣ weiterlesen
Industrielle Montagelinien sind vielfältig: Einige arbeiten mit häufig wechselnden Produktaufbauten, während sich andere durch komplexe Prozesse und hohen Abstimmungsbedarf zwischen Werker und weiteren Experten auszeichnen. Das Fraunhofer IGD will Anwender mit einer Kombination aus Augmented Reality (AR) und künstlicher Intelligenz (KI) unterstützen.‣ weiterlesen
Rund 1 Million Industrieroboter werden allein im Automotive-Bereich eingesetzt. Laut der International Federation of Robotics ein Rekordwert. Das größte Wachstum beobachtet der Robotik-Verband derzeit in China.‣ weiterlesen
Die Sorgen der Unternehmensleiter haben sich laut einer Untersuchung der Unternehmensberatung Kloepfel Consulting verschoben. Waren im September 2022 noch steigende Kosten die Hauptsorge, sorgt sich die Mehrheit der befragten Führungskräfte aktuell vor geopolitischen Risiken.‣ weiterlesen
Firewalls gehören in Unternehmen zu den wichtigsten Sicherheitskomponenten, um das Netzwerk vor Angriffen zu schützen. Mehr noch, im integrierten und vernetzen Zusammenspiel mit weiteren Security-Lösungen, beispielsweise für die Endpoint-, Mobile- oder Cloud-Security und mit den immer wichtigeren Security-Services durch menschliche Experten, fügt sich die Firewall in ein ganzheitliches Security-Ökosystem ein, das alle IT-Bereiche im Unternehmen bestmöglich vor Angriffen und vor Schäden bewahren kann.‣ weiterlesen
Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. Für unsere Leser gibt die Microsoft-Partnerübersicht in Ausgabe Juli/August der IT&Production Tipps für die Suche nach einer geeigneten Branchen- oder Speziallösung im Bereich des produzierenden Gewerbes.
Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. In der Maiausgabe der Fachzeitschrift IT&Production erhalten unsere Leser einen aktuellen Überblick zum SAP-Ecosystem im Bereich des produzierenden Gewerbes.
Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.
Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
