Sicherheitsstrategie im ERP-Betrieb und Schutzmaßnahmen

Absichern! Aufspüren! Abwehren!

Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.

Für gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark. Das meldete unlängst der Digitalverband Bitkom. Das US-amerikanische Heimatministerium warnte wiederholt davor, dass Cyber-Kriminelle gängige ERP-Software ins Visier genommen hätten. Das wachsende Interesse an ‚ERP-Hacks‘ ist eine unliebsame Begleiterscheinung der digitalen Transformation und der globalen Erreichbarkeit über das Internet. Denn diese bedeutet gleichzeitig mehr potenzielle Angriffsflächen in Form einer immer höheren Zahl an öffentlich erreichbaren Komponenten und Schnittstellen. Und den Angreifern ist durchaus bekannt, dass ERP-Systeme viele Informationen beinhalten, um Unternehmen wirtschaftlich schaden zu können. Mit externer Unterstützung lassen sich jedoch geeignete technische und organisatorische Maßnahmen für einen passenden Schutzschirm der ERP-Systeme aufspannen, um das Risiko deutlich einzugrenzen. In einschlägigen Ratgebern von Organisationen wie dem BSI (IT-Grundschutz), dem Bitkom (Studie Wirtschaftsschutz) oder dem SAP-Anwenderverein DSAG (Best-Practice-Leitfäden) finden sich erste wertvolle Hinweise zum prinzipiellen Aufbau eines robusten Sicherheitskonzeptes. Basis des ganzheitlichen, auf die Belange eines Unternehmens abgestimmten Schutzkonzepts ist ein Sicherheitsprozess, der im Wesentlichen aus den drei Handlungsfeldern Prävention (Vorsorgen), Monitoring (Aufspüren und Erkennen von Schwachstellen sowie Angriffen) und Störungsmanagement (Abwehren, Reagieren) gebildet wird. Eingebettet ist alles in einen kontinuierlichen Verbesserungsprozess, um das Sicherheitsniveau stetig zu optimieren und die Methoden an die sich wandelnde Technologie anzupassen. Um Transparenz über das Schutzniveau der eigenen ERP-Landschaft zu gewinnen, empfiehlt sich der Einsatz technischer Hilfsmittel. (Teil-)automatisierte Audit-Werkzeuge liefern hier umfassende Informationen über den konkreten Sicherheitsstand. Beispielsweise lassen sich in detaillierten Berichten kritische Berechtigungen und Rechtekombinationen aufzeigen. Oder es werden Konfiguration und Systemhärtung wie Profilparameter für die Passwortrichtlinien als auch der Stand der Sicherheits-Updates ermittelt.

Penetrationstests durch Ethical Hacker

Neben dem auf ein bestimmtes ERP-System bzw. auf eine Anwendungslandschaft fokussierten Sicherheitscheck stellt die Durchführung von Penetrationstests ein geeignetes Verfahren dar, um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zu verschaffen, ob die eigenen technischen und organisatorischen Sicherheitsmaßnahmen wirksam sind. In diesen Überprüfungen helfen Fachleute, die z.B. nach den Vorgaben des EC-Councils als Ethical Hacker zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten. Frei nach dem Motto ‚Handeln bevor es andere tun‘ werden Vorgehen und Technik krimineller Hacker nachgeahmt, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich zum Einfallstor für böswillige Hacker werden. Solche Penetrationstests beachten insbesondere, dass Hacker typischerweise nicht ausschließlich technische Schwachstellen in der Infrastruktur nutzen, um in ein System einzudringen. Oftmals leichter als der technische Einstieg in das Netz, fällt es Angreifern im Umfeld der Firmenmitarbeiter das ‚Sesam-öffne-dich‘ aufzuspüren. Geduldig werden im Rahmen von Social Engineering Informationen gesammelt, E-Mail-Strukturen untersucht und das Kommunikationsverhalten für Phishing-Mails analysiert. Auch USB-Sticks, die harmlos im Büro herumliegen und unbedacht von Mitarbeitern genutzt werden, sind ein probates Mittel Späher-Software einzuschleusen. Mit Hilfe eines so erbeuteten Passworts verschaffen sich die Angreifer zunächst Zugriff auf das Firmennetz und durch das Ausnutzen von Schwachstellen anschließend auf das ERP-System. Ethical Hacker decken mit ihren Penetrationstests nicht nur auf, welche Lücken die Sicherheitsarchitektur aufweist, sie stellen auch fest, ob das Unternehmen bereits unerwünschten Besuch hatte. Sie prüfen, ob der ‚Besucher‘ Spuren hinterlassen hat und ob Daten abgezogen wurden. Am Ende des Penetrationstests fließen die Erkenntnisse der Sicherheits-Spezialisten mit den Resultaten aus technischen Überprüfungen in einen Bericht mit Empfehlungen, auf welchem Weg sich das Sicherheitsniveau verbessern lässt. Die Auswertung der in Unternehmen durchgeführten Sicherheitschecks weisen häufig auf kleinere technische und organisatorische Unzulänglichkeiten hin, die den Cyberkriminellen das Leben erleichtern.

Anzeige

KI in Fertigungsbranche vorn

Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen

Die Klassiker unter den Angriffsvektoren

Typische Beispiele sind ein nicht eingespielter Security-Patch, unsauber definierte Berechtigungen und Zuständigkeiten für Prozesse und Systeme (fehlendes Vier-Augen-Prinzip) oder Nutzung schwacher Passwörter. Auch werden unternehmenskritische ERP-Produktionssysteme häufig mit weniger wichtigen Büro-Servern in einem gemeinsamen Netzwerkabschnitt betrieben. Zu den Klassikern der organisatorischen Unzulänglichkeiten zählt etwa, dass einmal eingerichtete Berechtigungen und Gruppenkennungen bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden. Die (gar nicht so) amüsante Konsequenz: Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, verfügen in vielen Unternehmen über die meisten Zugriffsrechte. Mitunter sind es aber auch betriebliche Gegebenheiten, die dem Beseitigen einer registrierten Verwundbarkeit im Wege stehen. In einem 24×7-Produktivbetrieb ist mitunter keine Zeit für ein Wartungsfenster verfügbar, um die unterstützenden ERP-Systeme mit den jüngsten Security-Patches auszustatten. Oder eine funktionale Erweiterung wird trotz Verstoßes gegen die Sicherheitsarchitektur geduldet, da niemand den hierdurch generierten Prozessgewinn missen möchte. In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und gleichzeitig korrespondierende Sicherheitsmaßnahmen einleiten.

Anzeige

Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen

Angriffe erkennen und abwehren

Ein Lösungsansatz sind sogenannte SIEM-Verfahren (Security Information and Event Management), mit deren Hilfe sich Angriffe zeitnah identifizieren lassen. Dazu werden Log-Daten aus verschiedenen System-Quellen (Netzwerke, Server, Datenbanken etc.) im ERP-Umfeld gesammelt und anhand vordefinierter Regelwerke in Beziehung gesetzt. Aktuelle auf In-Memory-Technologie fußende Systeme sind heute in der Lage, die Datenströme nahezu in Echtzeit auszuwerten und mit bekannten Angriffsmustern abzugleichen. Sie erkennen einen Identitätsdiebstahl, da sich ein Nutzer von verschiedenen Orten anmeldet, um Buchungen vorzunehmen. Oder sie registrieren, wenn ungewöhnlich umfangreiche Transaktionen durch Nutzer auf eine unberechtigte Kopie sensibler Unternehmensdaten hindeuten. Innovative Entwicklungen auf Grundlage von künstlicher Intelligenz bzw. Machine-Learning-Techniken gehen im Bereich des Monitorings noch einen Schritt weiter und können selbst unbekannte Attacken in den Daten erkennen. Die KI-basierten Verfahren lernen vereinfacht formuliert anhand der überwachten Datenströme den Normalzustand von Prozessen und Systemen kennen, um bei Abweichungen direkt Alarm zu schlagen.

Hundertprozentiger Schutz ist unerreichbar

Einen vollständigen Schutz gegen Cyber-Attacken kann und wird es in der IT nie geben. Die digitale Transformation und globale Erreichbarkeit über das Internet bringt es zudem mit sich, dass auch der ERP-Anwendungsbetrieb stets als Teil eines umfassenden IT-Sicherheitskonzeptes zu betrachten ist. Ein wichtiger Baustein bildet die Fähigkeit, eine Bedrohungslage korrekt einschätzen sowie Angriffe zeitnah identifizieren zu können. Zugleich ist es empfehlenswert in unregelmäßigen Abständen (Penetrations-)Tests durch Ethical Hacker durchzuführen, um das reale Schutzniveau zu bewerten.

Christian Bruns arbeitet im Bereich Management Consultant Information Security bei der BTC AG.