Anzeige
Anzeige
Anzeige
Beitrag drucken

Sicherheitsstrategie im ERP-Betrieb und Schutzmaßnahmen

Absichern! Aufspüren! Abwehren!

Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.

Cyber-Sicherheit: In einigen Fällen nehmen Unternehmen Schwachstellen in der IT-Sicherheit sogar in Kauf. Umso mehr Bedeutung sollten dann der Risikoabwägung und den Abwehrmechanismen eingeräumt werden. (Bild: BTC Business Technology Consulting AG)

In einigen Fällen nehmen Unternehmen Schwachstellen in der IT-Sicherheit sogar in Kauf. Umso mehr Bedeutung sollten dann der Risikoabwägung und den Abwehrmechanismen eingeräumt werden.
Bild: BTC Business Technology Consulting AG

Für gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark. Das meldete unlängst der Digitalverband Bitkom. Das US-amerikanische Heimatministerium warnte wiederholt davor, dass Cyber-Kriminelle gängige ERP-Software ins Visier genommen hätten. Das wachsende Interesse an ‚ERP-Hacks‘ ist eine unliebsame Begleiterscheinung der digitalen Transformation und der globalen Erreichbarkeit über das Internet. Denn diese bedeutet gleichzeitig mehr potenzielle Angriffsflächen in Form einer immer höheren Zahl an öffentlich erreichbaren Komponenten und Schnittstellen. Und den Angreifern ist durchaus bekannt, dass ERP-Systeme viele Informationen beinhalten, um Unternehmen wirtschaftlich schaden zu können. Mit externer Unterstützung lassen sich jedoch geeignete technische und organisatorische Maßnahmen für einen passenden Schutzschirm der ERP-Systeme aufspannen, um das Risiko deutlich einzugrenzen. In einschlägigen Ratgebern von Organisationen wie dem BSI (IT-Grundschutz), dem Bitkom (Studie Wirtschaftsschutz) oder dem SAP-Anwenderverein DSAG (Best-Practice-Leitfäden) finden sich erste wertvolle Hinweise zum prinzipiellen Aufbau eines robusten Sicherheitskonzeptes. Basis des ganzheitlichen, auf die Belange eines Unternehmens abgestimmten Schutzkonzepts ist ein Sicherheitsprozess, der im Wesentlichen aus den drei Handlungsfeldern Prävention (Vorsorgen), Monitoring (Aufspüren und Erkennen von Schwachstellen sowie Angriffen) und Störungsmanagement (Abwehren, Reagieren) gebildet wird. Eingebettet ist alles in einen kontinuierlichen Verbesserungsprozess, um das Sicherheitsniveau stetig zu optimieren und die Methoden an die sich wandelnde Technologie anzupassen. Um Transparenz über das Schutzniveau der eigenen ERP-Landschaft zu gewinnen, empfiehlt sich der Einsatz technischer Hilfsmittel. (Teil-)automatisierte Audit-Werkzeuge liefern hier umfassende Informationen über den konkreten Sicherheitsstand. Beispielsweise lassen sich in detaillierten Berichten kritische Berechtigungen und Rechtekombinationen aufzeigen. Oder es werden Konfiguration und Systemhärtung wie Profilparameter für die Passwortrichtlinien als auch der Stand der Sicherheits-Updates ermittelt.

Penetrationstests durch Ethical Hacker

Neben dem auf ein bestimmtes ERP-System bzw. auf eine Anwendungslandschaft fokussierten Sicherheitscheck stellt die Durchführung von Penetrationstests ein geeignetes Verfahren dar, um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zu verschaffen, ob die eigenen technischen und organisatorischen Sicherheitsmaßnahmen wirksam sind. In diesen Überprüfungen helfen Fachleute, die z.B. nach den Vorgaben des EC-Councils als Ethical Hacker zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten. Frei nach dem Motto ‚Handeln bevor es andere tun‘ werden Vorgehen und Technik krimineller Hacker nachgeahmt, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich zum Einfallstor für böswillige Hacker werden. Solche Penetrationstests beachten insbesondere, dass Hacker typischerweise nicht ausschließlich technische Schwachstellen in der Infrastruktur nutzen, um in ein System einzudringen. Oftmals leichter als der technische Einstieg in das Netz, fällt es Angreifern im Umfeld der Firmenmitarbeiter das ‚Sesam-öffne-dich‘ aufzuspüren. Geduldig werden im Rahmen von Social Engineering Informationen gesammelt, E-Mail-Strukturen untersucht und das Kommunikationsverhalten für Phishing-Mails analysiert. Auch USB-Sticks, die harmlos im Büro herumliegen und unbedacht von Mitarbeitern genutzt werden, sind ein probates Mittel Späher-Software einzuschleusen. Mit Hilfe eines so erbeuteten Passworts verschaffen sich die Angreifer zunächst Zugriff auf das Firmennetz und durch das Ausnutzen von Schwachstellen anschließend auf das ERP-System. Ethical Hacker decken mit ihren Penetrationstests nicht nur auf, welche Lücken die Sicherheitsarchitektur aufweist, sie stellen auch fest, ob das Unternehmen bereits unerwünschten Besuch hatte. Sie prüfen, ob der ‚Besucher‘ Spuren hinterlassen hat und ob Daten abgezogen wurden. Am Ende des Penetrationstests fließen die Erkenntnisse der Sicherheits-Spezialisten mit den Resultaten aus technischen Überprüfungen in einen Bericht mit Empfehlungen, auf welchem Weg sich das Sicherheitsniveau verbessern lässt. Die Auswertung der in Unternehmen durchgeführten Sicherheitschecks weisen häufig auf kleinere technische und organisatorische Unzulänglichkeiten hin, die den Cyberkriminellen das Leben erleichtern.

Die Klassiker unter den Angriffsvektoren

Typische Beispiele sind ein nicht eingespielter Security-Patch, unsauber definierte Berechtigungen und Zuständigkeiten für Prozesse und Systeme (fehlendes Vier-Augen-Prinzip) oder Nutzung schwacher Passwörter. Auch werden unternehmenskritische ERP-Produktionssysteme häufig mit weniger wichtigen Büro-Servern in einem gemeinsamen Netzwerkabschnitt betrieben. Zu den Klassikern der organisatorischen Unzulänglichkeiten zählt etwa, dass einmal eingerichtete Berechtigungen und Gruppenkennungen bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden. Die (gar nicht so) amüsante Konsequenz: Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, verfügen in vielen Unternehmen über die meisten Zugriffsrechte. Mitunter sind es aber auch betriebliche Gegebenheiten, die dem Beseitigen einer registrierten Verwundbarkeit im Wege stehen. In einem 24×7-Produktivbetrieb ist mitunter keine Zeit für ein Wartungsfenster verfügbar, um die unterstützenden ERP-Systeme mit den jüngsten Security-Patches auszustatten. Oder eine funktionale Erweiterung wird trotz Verstoßes gegen die Sicherheitsarchitektur geduldet, da niemand den hierdurch generierten Prozessgewinn missen möchte. In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und gleichzeitig korrespondierende Sicherheitsmaßnahmen einleiten.

Die drei Säulen der IT-Sicherheit (Cyber-Sicherheit) in Unternehmen (Bild: BTC Business Technology Consulting AG)

Die drei Säulen der IT-Sicherheit in Unternehmen
Bild: BTC Business Technology Consulting AG

Angriffe erkennen und abwehren

Ein Lösungsansatz sind sogenannte SIEM-Verfahren (Security Information and Event Management), mit deren Hilfe sich Angriffe zeitnah identifizieren lassen. Dazu werden Log-Daten aus verschiedenen System-Quellen (Netzwerke, Server, Datenbanken etc.) im ERP-Umfeld gesammelt und anhand vordefinierter Regelwerke in Beziehung gesetzt. Aktuelle auf In-Memory-Technologie fußende Systeme sind heute in der Lage, die Datenströme nahezu in Echtzeit auszuwerten und mit bekannten Angriffsmustern abzugleichen. Sie erkennen einen Identitätsdiebstahl, da sich ein Nutzer von verschiedenen Orten anmeldet, um Buchungen vorzunehmen. Oder sie registrieren, wenn ungewöhnlich umfangreiche Transaktionen durch Nutzer auf eine unberechtigte Kopie sensibler Unternehmensdaten hindeuten. Innovative Entwicklungen auf Grundlage von künstlicher Intelligenz bzw. Machine-Learning-Techniken gehen im Bereich des Monitorings noch einen Schritt weiter und können selbst unbekannte Attacken in den Daten erkennen. Die KI-basierten Verfahren lernen vereinfacht formuliert anhand der überwachten Datenströme den Normalzustand von Prozessen und Systemen kennen, um bei Abweichungen direkt Alarm zu schlagen.

Hundertprozentiger Schutz ist unerreichbar

Einen vollständigen Schutz gegen Cyber-Attacken kann und wird es in der IT nie geben. Die digitale Transformation und globale Erreichbarkeit über das Internet bringt es zudem mit sich, dass auch der ERP-Anwendungsbetrieb stets als Teil eines umfassenden IT-Sicherheitskonzeptes zu betrachten ist. Ein wichtiger Baustein bildet die Fähigkeit, eine Bedrohungslage korrekt einschätzen sowie Angriffe zeitnah identifizieren zu können. Zugleich ist es empfehlenswert in unregelmäßigen Abständen (Penetrations-)Tests durch Ethical Hacker durchzuführen, um das reale Schutzniveau zu bewerten.


Christian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG. - Bild: BTC Business Technology Consulting AGChristian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG.


Das könnte Sie auch interessieren:

Google Cloud und Siemens wollen im Rahmen einer Partnerschaft und unter Einsatz von KI-Technologien Fertigungsprozesse verbessern.‣ weiterlesen

Die ZEW-Konjunkturerwartungen für Deutschland sinken in der aktuellen Umfrage vom April 2021 um 5,9 Punkte und liegen damit bei 70,7 Punkten. Dies ist der erste Rückgang seit November 2020. Laut ZEW liegen die Erwartungen nach wie vor auf einem sehr hohen Niveau.‣ weiterlesen

Drei Viertel der Entscheider in deutschen Industrieunternehmen sehen ihren Markt im Prozess der digitalen Transformation. Die Hälfte der Unternehmen setzt dabei bereits auf den Einsatz von Industrial IoT-Technologien. Zu diesen Ergebnissen kommt eines Studie des IIoT-Spezialisten Relayr, die unter 200 Entscheidern aus der Fertigungsindustrie in Deutschland im Sommer 2020 vom Marktforschungsunternehmen Forsa durchgeführt wurde.‣ weiterlesen

Damit die anspruchsvollen Maschinen von Heidelberger Druckmaschinen nicht ungeplant ausfallen, bietet das Unternehmen die Software Maintenance Manager zur vorausschauenden Wartung an. Jetzt hat Tochterunternehmen Docufy das Tool hinter der Lösung als White-Label-Angebot auf den Markt gebracht.‣ weiterlesen

Im Rahmen einer Partnerschaft wollen T-Systems und GFT gemeinsame Lösungen für die Fertigungsindustrie anbieten, mit denen Fehler in der Produktion schneller erkannt werden können.‣ weiterlesen

John Abel wechselt von Veritas zu Extreme Networks, wo er künftig die Position des CIOs wahrnehmen wird.‣ weiterlesen

Nach fünf Messetagen ging am Freitag die Hannover Messe zu Ende. Insgesamt 90.000 Teilnehmer haben sich für die digitale Edition der Industrieschau registriert. Auch ohne Präsenzveranstaltung zog die Deutsche Messe ein positives Fazit. Ein Ersatz sei die digitale Messe jedoch nicht, so Dr. Jochen Köckler, Vorstandsvorsitzender der Deutschen Messe. Die nächste Messe soll als Hybridveranstaltung teilnehmen.‣ weiterlesen

Produzierende Unternehmen brauchen Transparenz über Zusammenhänge, über Kosten und Erträge und die Prozessqualität. Business Intelligence ist die Antwort der Softwareanbieter für dieses Problem. Für SAP S/4Hana-Anwender könnte dafür insbesondere die SAP Analytics Cloud interessant sein.‣ weiterlesen

Seit gut eineinhalb Jahren betreibt Simus Systems eine Online-Plattform, auf der Auftraggeber und Auftragnehmer die Metallbearbeitung von Bauteilen kalkulieren - und das Interesse am Tool ist rege. Anwender laden ihr CAD-Modell hoch und erhalten eine valide Vorkalkulation des geplanten Bauteils.‣ weiterlesen

Erst die Interoperabilität von Maschinen und Anlagen ermöglicht Unternehmen die Teilhabe an neuen digitalen Strukturen und ist Grundvoraussetzung für neue digitale Geschäftsmodelle. Durch interoperable Schnittstellen können neue Maschinen effizienter integriert werden. Die VDMA-Studie ‘Interoperabilität im Maschinen- und Anlagenbau‘ zeigt die Relevanz von interoperablen Schnittstellen und dazugehörigen Standards in den Unternehmen.‣ weiterlesen

Im Gewerbebau gehört ein differenziertes Zutrittsmanagement zum Standard der meisten Ausschreibungen. Für Betriebe lohnt es, sich mit dem Thema zu beschäftigen. Denn die Infrastruktur sollte später neue Anforderungen im Besuchermanagement ohne hohe Mehrkosten abbilden können.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige