5-datenschutzrechtliche-tipps-fuer-lokale-erp-software

5 Tipps für die Sicherheit Ihrer lokalen ERP-Software

On-Premises-ERP-Software bedürfen eines besonderen Schutzes, zumal der Anwender selbst für die Sicherheit verantwortlich ist. Wir geben Ihnen wichtige Tipps.

ERP-Systeme vereinen in sich sämtliche Daten eines Unternehmens, also auch die sehr sensiblen. Daher muss der Schutz dieser Daten zu jedem Zeitpunkt gewährleistet werden. Da das Unternehmen selbst für den Schutz der Daten zuständig ist, stellen sich hier viele verschiedene Fragen in den Weg.

Wir wollen diesen Fragen nachgehen und Ihnen zeigen, wie Sie ein hervorragendes Sicherheitsmanagement umsetzen können und was es dabei zu beachten gilt. Beginnen wollen wir mit einer definitorischen Übersicht der wichtigsten Begriffe. 

Am Ende halten wir 5 konkrete Tipps für Ihr Sicherheitsmanagement bereit, die Ihnen praxisnah aufzeigen werden, worauf es bei der Sicherheit im Kontext von On-Premises-ERP-Systemen ankommt. 

Inhaltsverzeichnis

Definition: Was ist ERP-Software ?

ERP steht für Enterprise-Resource-Planning und beschriebt die Aufgabe eines Unternehmers alle ihm zur Verfügung stehenden Ressourcen so optimal und effizient wie nur eben möglich für die Geschäftsprozesse aufzuwenden.

Dabei gilt es Engpässe wie auch Verschwendungen zu vermeiden. Unter Ressourcen versteht man in diesem Kontext alle Betriebsmittel die dem Unternehmen zur Verfügung stehen, also auch: 

  • Immobilien (Werkhallen, Bürogebäude, etc.)
  • Personal (Mitarbeiter, Leiharbeiter, etc.)
  • Fuhrpark (LKWs, Firmenwagen, etc.)
  • Werkzeuge (Arbeitsmaterialien, etc.)
  • Maschinen (Produktionsanlagen, Roboter, etc.) 
  • Finanzielle Mittel (Bankvermögen, Einlagen etc.) 

Zentrales Ziel ist es sämtliche Geschäftsprozesse zentral zu planen, zu steuern und zu überwachen. Da es in modernen Unternehmen täglich zu tausenden verschiedenen Geschäftsprozessen kommt, die teilweise parallel zueinander verlaufen und direkt ineinandergreifen, eine kaum zu bewältigende Aufgabe. 

Hier kommen ERP-Software-Systeme ins Spiel. Diese Softwaresysteme bilden sämtliche Geschäftsprozesse digital ab und führen die Daten auf einer zentralen Datenbank zusammen.

Diese stehen sie fortan allen Akteuren zur Verfügung. Dadurch werden Abteilungsgrenzen überwunden, Prozesse optimiert und Fehler durch doppelte Daten vermieden. 

Aufbau von ERP-Software

ERP-Systeme setzen sich zumeist aus verschiedenen Modulen zusammen, die jeweils einen bestimmten Arbeitsbereich im Unternehmen abdecken. Diese Module sind inhaltlich miteinander verbunden und ermöglichen so die Aufsetzung neuer Geschäftsprozesse über Abteilungsgrenzen hinweg. 

Nicht jedes ERP-System hat den gleichen Funktionsumfang. Viele Anwendungen haben sich über die Jahre auf bestimmte Branchen spezialisiert. Klassischerweise können folgende Module in einer ERP-Software implementiert sein: 

  • Finanzbuchhaltung
  • Customer-Relationship-Management
  • Produktion
  • Business Intelligence
  • Dokumentenmanagement
  • Warehouse-Management
  • Human-Resource-Management

Nicht jedes Unternehmen benötigt jedes dieser Module, andere Unternehmen benötigen noch viele weitere Funktionen. Doch nicht nur hinsichtlich des Funktionsumfangs unterscheiden sich die Lösungen teilweise stark voneinander.

Auch in Bezug auf das zu Grunde liegende Lizenzmodell gibt es wesentliche Unterschiede. 
In den letzten Jahren haben sich hier vor allem vier verschiedene Modelle hervorgetan. Diese sind: 

  • Lokale ERP-Systeme (On-Premises)
  • Cloud-ERP-Systeme (Software-as-a-Service)
  • Hybride ERP-Systeme (teils Cloud, teils On-Premises)
  • Gehostete ERP-Systeme (gemietete Server)

Wir wollen an dieser Stelle vermehrt auf die erste Variante eingehen und im Folgenden auch klären, was bei dieser Methode in puncto Datenschutz und Sicherheit zu beachten ist. Zuvor jedoch, was sind diese lokalen bzw. On-Premises-ERP-Systeme?

Definition: Was ist On-Premises ERP?

Der englische Begriff On-Premises ist in etwa mit „in den eigenen Räumlichkeiten“ zu übersetzen. Das bezieht sich auf die Server, auf denen eine datenbankbasierte Softwareanwendung betrieben wird.

Der Begriff etablierte sich erst in den letzten Jahren mit dem Aufkommen anderer Modelle. Zuvor war dies die klassische Methode im Bereich des Hostings von Unternehmenssoftware. 

Unterschiede zur Cloud

Mit der Cloud steht dem ein Modell gegenüber, bei dem der Anwender das System, wie auch die Rechen- und Speicherleistung von einem Anbieter aus einer Cloud heraus bezieht. Die Daten werden auf den Servern der Anbieter gespeichert und folglich auch gesichert. 

Als Unternehmen hat man an dieser Stelle keinen Einfluss mehr auf die Sicherheit der eigenen Daten, wenngleich man gesetzlich weiterhin dafür verantwortlich ist. Womit wir auch schon beim Kernpunkt dieses Artikels wären. 

5 Tipps für die Sicherheit Ihrer On-Premises ERP-Software

Denkt man an die Sicherheit von Daten, denken viele sehr wahrscheinlich zuerst an Firewalls, Anti-Viren-Programme und Hackerangriffe. An Datendiebstahl und Wirtschaftsspionage.

Keine Frage, all das sind sicherlich wichtige Faktoren beim Sicherheitsmanagement eines Unternehmens. Die weniger spannende, aber nicht weniger wichtige Aufgabe besteht in der Umsetzung gesetzlicher Vorgaben beim Datenschutz. 

Wir geben Ihnen an dieser 5 wichtige Tipps für den Datenschutz Ihrer lokalen ERP-Software und zeigen Ihnen, worauf es insbesondere Ankommt, wenn sie Ihre ERP-Lösung im eigenen Haus hosten wollen. Denn eins muss an dieser Stelle festgehalten werden, Sie sind selbst für den Schutz verantwortlich. 

1. Daten digital schützen und Gesetze beachten

Neben dem logischen Aufsetzen von Firewalls und weiteren technischen Sicherheitsmaßnahmen, gilt es an dieser Stelle auch einen Blick auf all jene Maßnahmen zu werfen, die dazu beitragen den gesetzlichen Bestimmungen zu entsprechen. 

So muss es beispielweise Funktionen zur automatisierten Löschung von Daten nach Ablauf bestimmter Fristen geben. Gleichermaßen müssen Daten, die einer Mindestaufbewahrungspflicht unterliegen vor versehentlichen Löschungen geschützt werden. 

2. Schutz in der Oberfläche beachten

Auch in der Benutzeroberfläche sind Schutzmaßnahmen zu treffen. So kann man beispielweise mit unterschiedlicher Vergabe von Rechten dafür Sorge tragen, dass Mitarbeiter nur auf all jene Daten Zugriff haben, die sie zur Erfüllung Ihrer Arbeit auch wirklich benötigen. 

Das schützt nicht nur vor versehentlichen Löschungen oder Veränderungen in den Daten, sondern entspricht auch dem Prinzip der Integrität und Vertraulichkeit, die in den Datenschutz-Grundverordnungen festgeschrieben sind. 

3. DSGVO berücksichtigen

In jüngster Vergangenheit wurden viele, teils große Unternehmen, für Versäumnisse im Datenschutz empfindlich abgestraft. Die meisten dieser Unternehmen war vorgeworfen worden, Daten länger als nötig gespeichert zu haben.

Es fehlte Ihnen schlichtweg an den richtigen Maßnahmen zur Löschung dieser personenbezogenen Daten. 
Doch überdies hinaus gilt es jedoch auch andere Felder der DSGVO abzudecken.

So muss beispielweise der Aufforderung zur Löschung von Daten nachgekommen werden. Dazu bedarf es strukturierter Workflows, bei denen keine dieser Anfragen unbeachtet bleibt. 

4. Gezielte Backupstrategie

Zum Schutz der Daten bedarf es stetiger Backups, die dafür Sorge tragen, dass ein jeweiliger Datenstand bei Problemen wiederhergestellt werden kann. Auch bei Verlust oder Schäden am Server, ist das Backup die letzte Versicherung des Unternehmens. 

Hier ist vor allem zu beachten, dass die Backups nicht am gleichen Ort wie das ERP-System gespeichert sind. Im besten Fall wird das Backup auch physisch an einem anderen Standort gespeichert, beispielweise auf Servern eines Drittanbieters etc. 

5. Physischer Schutz der Daten

Bei allen Maßnahmen zum Schutz der Daten, darf auch der physische Schutz der Server nicht vernachlässigt werden. Die Serverräume müssen zum einen vor Zugriff Dritter geschützt werden.

Die Server sollten also nicht im Besucherraum des Unternehmens stehen, müssen jedoch auch vor Zugriff der eigenen Belegschaft ausreichend geschützt sein. 

Zum anderen müssen die Server vor Feuer, Wasserschäden oder Schäden durch andere Natureinflüsse geschützt sein. Dazu bedarf es eines umfangreichen Sicherheitsmanagement, dass die Serverräume physisch zu schützen vermag. 

Fazit: Schutzmaßnahmen durchaus vielschichtig

Wer in seinem Unternehmen eine ERP-Software lokal implementieren möchte, muss sich mit umfangreichen Schutzmaßnahmen auseinandersetzen. Neben digitalen Schutzmaßnahmen gilt es auch die Server vor physischen Schäden zu schützen. 

Gleichsam gilt es unzählige gesetzliche Vorgaben zu beachten. Viele ERP-Systeme decken bereits eine Vielzahl dieser Vorgaben ab, andere Maßnahmen sind vom Unternehmen eigenverantwortlich zu treffen.

Vor der Entscheidung für eine lokale ERP-Software ist auf jeden Fall darauf zu achten, ob man selbst für all diese Maßnahmen sorgen kann. 

3 Vorurteile gegenüber der Cloud

Wir räumen mit hartnäckigen Vorurteilen gegenüber der Cloud auf und zeigen, was an Vorbehalten bezüglich Datensicherheit und Co. wirklich dran ist.

Lesen Sie weiter

Welche Cloud ist die Beste?

… Und warum sich diese Frage eigentlich nicht beantworten lässt, erfahren Sie hier.

Lesen Sie weiter