Deutschland
 

ERP aus der Cloud

So stärken Sie das Abwehrsystem Ihres ERP-Systems

Hundertprozentige Sicherheit ist eine Utopie. Das gilt auch für ERP-Systeme. Dennoch gibt es Stellschrauben, um das Risiko von Angriffen zu minimieren.
Von 
CSO | 08. April 2022 05:00 Uhr
Mit allen Mitteln schützenswert: sensible Kundendaten im ERP-System
Mit allen Mitteln schützenswert: sensible Kundendaten im ERP-System
Foto: Kurit afshen - shutterstock.com

Man sollte vermuten, dass das Thema Sicherheit bei ERP-Anbietern und -Anwendern an erster Stelle steht. Zumal nach Untersuchungen des Bitkom zuletzt bei 86 Prozent der Unternehmen in Deutschland Cyberangriffe einen Schaden verursacht haben.

ERP aus der Cloud: die Vor- und Nachteile

In der Studie "Cloud-ERP 2021" der IDG Research gaben 20 Prozent der befragten Unternehmen an, Cloud-ERP Security sei ihnen nicht oder überhaupt nicht wichtig. Gut möglich, dass dieses Denken noch ein Relikt ist aus der Zeit, als die meisten Unternehmen ihre ERP-Systeme lokal auf dem eigenen Server betrieben haben. Aber heute verlagert sich die ERP-Welt zunehmend in die Cloud.

Dennoch verfügen gerade etablierte Cloud-Anbieter wie Amazon Web Services (AWS) oder Microsoft Azure über einen sehr hohen Sicherheitsstandard. Experten kümmern sich dort rund um die Uhr um eine einwandfreie Perfomance, regelmäßige Datensicherungen und Security-Updates. Ein Sicherheitsniveau, das gerade für ein mittelständisches Unternehmen mit einer On-Premises-Lösung nur schwer zu erreichen ist. Zudem sparen sich die Unternehmen dadurch viel Aufwand für die Wartung der Software.

Den wesentlichen Unterschied in puncto Sicherheit macht allerdings nicht die Verortung des ERP-Systems. Die Frage ist vielmehr, wie komplex das System und die umgebende IT-Landschaft sind. Denn in der Praxis setzen heute die wenigsten Unternehmen auf nur einen Cloud-Anbieter.

Sowohl ERP-Systeme aus der IT-Wolke als auch lokale Lösungen werden immer häufiger mit Anwendungen spezialisierter Anbieter aus verschiedenen Clouds kombiniert, die über Schnittstellen gekoppelt sind. Eine Untersuchung des amerikanischen Cybersecurity-Anbieters Vectra AI kommt zu dem Ergebnis, dass weltweit inzwischen fast zwei Drittel aller Unternehmen im Wochenrhythmus neue AWS-Dienste buchen.

Lesetipp: Managed Security Service Provider - 6 Risiken, die Sie im Blick haben sollten

Mit der zunehmenden Vernetzung unterschiedlicher Systeme steigen jedoch auch die Verwundbarkeit und das Risiko von Hackerangriffen. Laut der IDG-Studie vermelden in der DACH-Region 39 Prozent der Unternehmen mit 500 bis 999 Beschäftigten in den vergangenen zwölf Monaten wirtschaftliche Schäden durch Attacken auf die von ihnen genutzten Cloud-Dienste. Bei Unternehmen mit weniger als 500 oder mindestens 1.000 Beschäftigten sind es immer noch 32 Prozent.

Es gilt individuell abzuwägen. Denn oftmals machen auch die eigenen Ressourcen wie Budget und Personal den entscheidenden Unterschied, welche bei einem Cloud-ERP geringer sind.

Im Homeoffice und im Notfall

Da vermutlich auch nach der Corona-Pandemie deutlich mehr Mitarbeiter von zu Hause arbeiten werden als vor der Krise, rückt der Risikofaktor Mensch deutlich in den Fokus. Unternehmen sollten Standardmaßnahmen wie regelmäßige Sicherheitsschulungen, Passworthygiene und klar definierte Nutzer- und Berechtigungsregelungen daher noch stärker im Blick behalten, um Datenverluste aus dem ERP-System zu vermeiden.

Um das Risiko von Datendiebstahl oder -manipulation durch die Mitarbeiter zu minimieren, empfiehlt es sich mit Hilfe von Authentifizierungsprozessen genau festzulegen, in welchen ERP-Segmenten ein Mitarbeiter Daten nur lesen und in welchen er auch etwas ändern oder verknüpfen darf.

Diese Befugnisse sollten regelmäßig überprüft und gegebenenfalls angepasst werden. Sobald ein Mitarbeiter mobil arbeitet und auf ERP-Daten zugreifen darf, ist zudem eine technisch aktuelle Ende-zu-Ende-Verschlüsselung oder besser noch eine Multi-Faktor-Authentifizierung ein absolutes Muss.

Lesetipp: Wie Fernzugriff sicherer geht

Im Ernstfall sind klare Verantwortlichkeiten das A und O. Ein stets aktuelles Sicherheitskonzept und eine Notfall-Liste mit den entsprechenden Kontaktdaten sollten daher immer aktuell und für sämtliche Mitarbeiter verfügbar sein, die mit dem ERP- und allen angeschlossenen Systemen arbeiten.

Idealerweise umfassen Notfallpläne nicht nur den eigenen Betriebsablauf, sondern beziehen auch Lieferanten und wichtige Kunden mit ein, beispielsweise in Form spezifischer Handlungsanweisungen. Empfehlenswert ist auch eine Liste mit alternativen Lieferanten, sollten bestehende nicht mehr verfügbar sein. Ein Notfallplan ist ein lebendes Dokument. Es muss regelmäßig aktualisiert und an veränderte Bedingungen angepasst werden. Und: Der beste Notfallplan ist nutzlos, wenn die Mitarbeiter ihn im Ernstfall nicht finden. Das Dokument sollte daher an einer zentralen Stelle abgelegt werden, die für alle Mitarbeiter leicht zugänglich ist.

Technische Tipps für ein sichereres ERP-System

Auch auf der rein technischen Seite können Unternehmen eine Menge tun, um ihre ERP-Systeme vor Angriffen zu schützen:

  • Wer seine ERP-Lösung aus der Cloud bezieht, sollte sich bereits vor der Entscheidung für einen Anbieter dessen Sicherheitskonzept genau ansehen.
    Erfolgt die Datenübertragung zwischen Cloud-Server und dem jeweiligen Endgerät des Anwenders verschlüsselt?
    Stehen die Server in einem zertifizierten Rechenzentrum, so dass regelmäßige ausfallsichere und verschlüsselte Datenspeicherung, Zutrittskontrollen, die Überwachung der Systeme, Brandschutz und Redundanz gesichert sind?
    Gute Anhaltspunkte liefern hier Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, ist Vorsicht geboten.

  • Nicht im Verantwortungsbereich des Anbieters liegen dagegen alle Prozesse, die den Datenaustausch zwischen verschiedenen Plattformen oder zwischen On-Premises- und Cloud-Lösungen betreffen. Hier gilt es, regelmäßig Updates und neue Features sowie deren Auswirkungen auf die IT-Landschaft im Blick zu behalten und einer Risikobewertung zu unterziehen. Auch regelmäßige Security-Audits und Penetration-Tests sollten zum Standard gehören.

  • Um Lecks wie log4shell rechtzeitig zu erkennen, sind Softwareanbieter außerdem gefordert, ihre Open-Source-Komponenten regelmäßig auf Schwachstellen zu untersuchen und die eingesetzten Bibliotheken (dependency checks) hinsichtlich vulnerabler Codes zu prüfen. Entsprechend ist auch die Schulung von Entwicklern im Bezug auf die Erstellung sicherer Codes zu empfehlen.

  • Vor allem bei hybriden ERP-Landschaften, in denen On-Premises-Lösungen mit Cloud-Anwendungen kombiniert werden, können auch zentrale SIEM-Lösungen (Security Information and Event Management) unterstützen. Sie überwachen die ERP-Systeme automatisch und in Echtzeit, erkennen Bedrohungen unmittelbar und bieten damit einen erheblichen Mehrwert für Cybersicherheit, den IT-Betrieb und die Compliance. Kontrollmechanismen, Reports und Werkzeuge für das automatisierte Compliance- und Maintenance-Monitoring entlasten zusätzlich die Sicherheitsexperten in der IT-Abteilung.

  • Ganz wesentlich und mittlerweile Standard bei den meisten Unternehmen sind Backup-Systeme, die sensible Daten oder sogar die komplette Infrastruktur spiegeln, so auch Daten aus den ERP-Systemen.

Trotz aller Vorsicht: Absolute Sicherheit ist in einer ERP-Welt, in der hybride und vernetzte Systeme der Normalfall sind, nicht möglich. Aber mit den geeigneten Maßnahmen lassen sich die Erfolgsquote von Hackern sowie unternehmensinterne Fehler stark verringern. Und das spart im Ernstfall nicht nur Nerven, sondern auch eine Menge Geld. (ms)

Dirk Bingler ist seit 2011 Sprecher der Geschäftsführung in der GUS Group. Seit 2014 engagiert er sich aktiv als Vorstand des Arbeitskreises ERP im Bitkom. Seine Themenschwerpunkte sind die Zukunft von ERP-Systemen sowie die Auswirkung der Digitalisierung auf deren Architekturen. Dirk Bingler verfügt über 21 Jahre Branchenerfahrung im internationalen Konzernumfeld bei der Siemens AG und seit 2003 im Mittelstand.
Folgen: