Hacker-Angriffe auf ERP-Systeme

GUS ERP GmbH: Ansätze zum Umgang mit Cyber Security Risiken.

86 Prozent der Unternehmen in Deutschland haben nach Untersuchungen des Bitkom zuletzt Schäden durch Cyberangriffe davongetragen. Tendenz steigend: Nach Angaben des Branchenverbandes sind die Beeinträchtigungen durch Erpressung, IT-Ausfälle oder die Störung von Betriebsabläufen seit 2019 um 358 Prozent gestiegen.

Trotz dieser Bedrohungslage scheinen viele ERP-Anbieter und -Anwender das Thema Sicherheit jedoch (noch) auf die leichte Schulter zu nehmen: In der Studie „Cloud-ERP 2021“ der IDG Research gaben 20 Prozent der befragten Unternehmen an, Cloud-ERP-Security sei ihnen nicht oder überhaupt nicht wichtig. Vielleicht stammt dieses Denken noch aus der Zeit, als die meisten Unternehmen ihre ERP-Systeme lokal auf dem eigenen Server betrieben haben. Aber die ERP-Welt hat sich verändert: Heute wandern immer mehr Anwendungen in die Cloud. Sie sind damit von außen erreichbar und bieten so auch eine größere Angriffsfläche für Hacker.

Auf der anderen Seite verfügen gerade etablierte Cloud-Anbieter wie Amazon Web Services (AWS) oder Microsoft Azure über einen sehr hohen Sicherheitsstandard, der gerade für ein mittelständisches Unternehmen mit einer On-Premises-Lösung nur schwer zu erreichen ist.

Inhaltsverzeichnis

Herausforderung Multicloud

Bezogen auf die Sicherheit spielt es daher gar keine so große Rolle, ob Unternehmen ihre ERP-Systeme lokal oder in der Cloud betreiben. Entscheidend ist vielmehr die Komplexität der gesamten Anwendungslandschaft. Denn die meisten Unternehmen kombinieren ihre ERP-Systeme mit Anwendungen spezialisierter Anbieter aus verschiedenen Clouds, die über Schnittstellen miteinander verbunden sind. Tendenz steigend: Nach Angaben des amerikanischen Cyber Security-Anbieters Vectra AI buchen weltweit inzwischen fast zwei Drittel aller Unternehmen im Wochenrhythmus neue AWS-Dienste. Diese zunehmende und sich kontinuierlich verändernde Vernetzung unterschiedlicher Anwendungen und Systeme birgt jedoch die Gefahr von Lücken und Fehlern, die sich im schlimmsten Fall leider auch Hacker zunutze machen.

Nach der IDG-Studie „Cloud Security 2021“ vermelden in der DACH-Region 39 Prozent der Unternehmen mit 500 bis 999 Beschäftigten in den letzten zwölf Monaten wirtschaftliche Schäden durch Attacken auf die von ihnen genutzten Cloud-Dienste. Bei Unternehmen mit weniger als 500 oder mindestens 1.000 Beschäftigten sind es immer noch 32 Prozent.

Auch die starke Verbreitung agiler Methoden und Continuous Delivery (CD) bei der Anpassung und Entwicklung von (ERP-)Systemen bergen Sicherheitsrisiken. Immer kürzere Zyklen und Release-Zeiten verknappen die Zeit für hinreichende Tests und Erfahrungen im Feld. Das kann nicht nur für die Hersteller zum Problem werden, sondern auch für die Anwenderunternehmen. Denn diese müssen oft in sehr engen Zeitfenstern dafür sorgen, dass die Updates im gesamten Multi-Cloud-Gebilde störungsfrei und sicher funktionieren. Nicht zu vergessen sind zudem mögliche Sicherheitslücken in Open-Source-Bibliotheken (z.B. log4j), die heute auch in sehr vielen kommerziellen Softwarelösungen eingesetzt werden.

Log4shell

Mitte Dezember schüttelte die Java-Sicherheitslücke “Log4Shell” Deutschlands IT-Abteilungen durch und rückte schlagartig auch bei ERP-Anwendern das Thema Sicherheit in den Fokus. Die Schwachstelle, die in der weit verbreiteten Log4j Protokollierungsbibliothek für Java-Anwendungen auftauchte, gilt als größte Sicherheitslücke in der Geschichte des Internets.

Das Problem: Log4shell macht einige der weltweit beliebtesten Anwendungen und Dienste angreifbar, da das Framework Log4j auf Millionen von Servern verwendet wird. Die jetzt entdeckte Server-Schwachstelle ermöglicht es Angreifenden, auf dem Zielsystem einen eigenen Programmcode auszuführen und so den Server zu kompromittieren.
Das BSI hatte die IT-Bedrohungslage für Geschäftsprozesse und Anwendungen im Dezember zunächst als extrem kritisch eingestuft und die höchste Warnstufe “rot” ausgesprochen. Mittlerweile hat sich die Lage etwas entspannt, die Warnstufe wurde daher von „rot“ auf „gelb“ herabgesetzt.

Weitere Informationen dazu direkt beim BSI.

Sicherheitsrisiko Mensch

Ob Pishing-Mails, unsichere Passwörter oder die unbedachte Anbindung des Büro-Laptops an infizierte Hardware – die sicherste Technik kann nicht verhindern, dass Anwender Fehler machen. Vor allem die Corona-Krise, in der für viele Mitarbeiter plötzlich das Wohnzimmer zum Arbeitsplatz wurde, wirkte hier wie ein Brandbeschleuniger: Seit Beginn der Pandemie hat es laut Bitkom in 59 Prozent der Unternehmen, in denen Angestellte im Homeoffice arbeiten, IT-Sicherheitsvorfälle im Zusammenhang mit Heimarbeit gegeben. In 24 Prozent dieser Unternehmen sogar häufig.

Schäden durch Homeoffice

Dass viele Mitarbeiter in der Pandemie verstärkt von zu Hause gearbeitet haben, hat zu einer enormen Steigerung der wirtschaftlichen Schäden durch Cyberkriminalität beigetragen. Nach Angaben des Instituts der Deutschen Wirtschaft Köln waren 2020 rund 52,5 Mrd. Euro Schaden auf Angriffe im Homeoffice zurückzuführen, 31 Mrd. Euro mehr als vor der Pandemie.

Grafik: GUS ERP GmbH; Quelle: Institut der deutschen Wirtschaft

Sicher zu Hause arbeiten

Vor dem Hintergrund, dass das Homeoffice auch nach der Pandemie ein fester Bestandteil der Arbeitswelt bleiben wird, sollten Unternehmen hier wenn nötig nachsteuern: Regelmäßige Sicherheitsschulungen, sichere Passwörter und klar definierte Nutzer- und Berechtigungsregelungen sollten auch beim Arbeiten von zu Hause zum Standard gehören.

Stets aktuelle Authentifizierungsprozesse legen zudem genau fest, welche Daten in einem ERP-System ein Mitarbeiter nur lesen und welche er auch verändern oder mit anderen verknüpfen darf. Auf diese Weise lässt sich das Risiko von Datendiebstahl oder -manipulation durch die Mitarbeiter deutlich verringern. Mobile Arbeitsplätze sollten zudem über eine technisch aktuelle Ende-zu-Ende-Verschlüsselung oder besser noch eine Multi-Faktor-Authentifizierung verfügen.

Technische Absicherung

Auf der technischen Seite bieten sich noch eine ganze Reihe weiterer Maßnahmen an, um ERP-Systeme vor Angriffen zu schützen:

Unternehmen, die ihre ERP-Lösung aus der Cloud beziehen, sollten zunächst das Sicherheitskonzept des Anbieters genau studieren. Zu den wesentlichen Fragen gehören dabei: Werden die Daten zwischen Cloud-Server und dem jeweiligen Endgerät des Anwenders verschlüsselt übertragen? Befinden sich die Server in einem zertifizierten Rechenzentrum, so dass eine regelmäßige ausfallsichere und verschlüsselte Datenspeicherung, Zutrittskontrollen, die Überwachung der Systeme, Brandschutz und Redundanz gesichert sind?
In diesem Zusammenhang geben Zertifizierungen in der Regel Aufschluss, wie beispielsweise die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren. Anbieter, die sich bei Sicherheitsfragen nicht gerne in die Karten schauen lassen, sind mit Vorsicht zu genießen.

Bei Prozessen, die den Datenaustausch zwischen verschiedenen Plattformen oder zwischen On-Premises- und Cloud-Lösungen betreffen, sind die Anwender-Unternehmen selbst gefordert, auf regelmäßige Updates und neue Features zu achten und deren Auswirkungen auf die IT-Landschaft im Blick zu behalten. Auch regelmäßige Security-Audits und Penetration-Tests sollten zum Standard gehören.

Um Lecks wie log4shell rechtzeitig zu erkennen, sollten Softwareanbieter ihre Open Source-Komponenten regelmäßig auf Schwachstellen untersuchen und die einsetzten Bibliotheken (dependency checks) hinsichtlich vulnerabler Codes prüfen. Entsprechend ist auch die Schulung von Entwicklern im Bezug auf die Erstellung sicherer Codes dringend zu empfehlen.

Bei umfangreichen hybriden ERP-Landschaften setzen manche Unternehmen auch auf zentrale SIEM-Lösungen (SIEM = Security Information and Event Management). Diese überwachen ERP-Systeme automatisch und in Echtzeit. Dadurch können sie Bedrohungen unmittelbar erkennen und bieten damit einen zusätzlichen Schutz für den IT-Betrieb und die Compliance. Kontrollmechanismen, Reports und Werkzeuge für das automatisierte Compliance- und Maintenance-Monitoring bieten zusätzlich Entlastung für die IT-Sicherheitsexperten in den Unternehmen.

Absicherung der Cloud, aber richtig

Um für den Ernstfall gewappnet zu sein, setzen mittlerweile nicht nur große Unternehmen, sondern auch viele Mittelständler auf Backup-Systeme aus der Cloud. Sie speichern dort besonders sensible Backup-Daten oder spiegeln sogar ihre komplette Infrastruktur. Wir empfehlen, solche Lösungen von Spezialisten konzipieren und betreuen zu lassen. Ergänzt um regelmäßige Fortbildungen der Administratoren und regelmäßige Security Checks.

Kleine Unachtsamkeit mit großen Folgen

Was eigentlich als Sicherheitsmaßnahme gedacht ist, kann bei falscher Ausführung auch ins Gegenteil umschlagen. Eines der bekanntesten Beispiele ist der Fall der Autovermietung Buchbinder. Die IT-Abteilung des Konzerns hatte gewissenhaft tägliche Backups auf einem externen Server angelegt. Doch dort war fatalerweise ein Port offen, der Datenübertragungen per SMB (Server Message Block) erlaubt.
Rund drei Millionen Kundendaten, darunter auch Adressen und Telefonnummern von Prominenten, Spitzenpolitikern, Botschaftsangehörigen und Mitarbeitern von Bundesministerien, waren so über Wochen ungeschützt auf einem Server verfügbar. Alles, was ein Angreifer tun musste, war die passende IP-Adresse in den Browser einzugeben. Anschließend konnten rund zehn Terabyte Daten heruntergeladen werden. Ein Passwort benötigte man dafür nicht.

Für den Fall der Fälle

Im Ernstfall sind klare Verantwortlichkeiten das A und O. Ein stets aktuelles Sicherheitskonzept und eine Notfall-Liste mit den entsprechenden Kontaktdaten sollten daher immer aktuell und für sämtliche Mitarbeiter verfügbar sein, die mit dem ERP- und allen angeschlossenen Systemen arbeiten. Idealerweise umfassen Notfallpläne nicht nur den eigenen Betriebsablauf, sondern beziehen auch Lieferanten und wichtige Kunden mit ein, beispielsweise in Form spezifischer Handlungsanweisungen. Empfehlenswert ist auch eine Liste mit alternativen Lieferanten, sollten bestehende nicht mehr verfügbar sein.

Ein Notfallplan ist ein lebendes Dokument. Es muss regelmäßig aktualisiert und an veränderte Bedingungen angepasst werden. Und: Der beste Notfallplan ist nutzlos, wenn die Mitarbeiter ihn im Ernstfall nicht finden. Das Dokument sollte daher an einer zentralen Stelle abgelegt werden, die für alle Mitarbeiter leicht zugänglich ist.

Trotz aller Vorsicht: Absolute Sicherheit ist in einer ERP-Welt, in der hybride und vernetzte Systeme der Normalfall sind, nicht möglich. Aber mit den geeigneten Maßnahmen lässt sich die Erfolgsquote von Hackern zumindest stark verringern. Und das spart im Ernstfall nicht nur Nerven, sondern auch eine Menge Geld.

Sicherheits-Checkliste 

Im Home-Office sind regelmäßige Sicherheitsschulungen, Passworthygiene und klar definierte Nutzer- und Berechtigungsregelungen genauso wichtig wie im Büro. Wenn Ihre Mitarbeiter mobil arbeiten, achten Sie unbedingt auf eine technisch aktuelle Ende-zu-Ende-Verschlüsselung oder eine Multi-Faktor-Authentifizierung. 

Schauen Sie sich das Sicherheitskonzept Ihres Cloud-Anbieters genau an: Zertifizierungen, wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren gehören heutzutage zum Standard. 

Für Prozesse, die den Datenaustausch zwischen verschiedenen Plattformen und Anbietern betreffen, sind Sie selbst zuständig. Behalten Sie regelmäßige Updates und neue Features sowie deren Auswirkungen auf die IT-Landschaft im Blick und sorgen Sie für eine regelmäßige Risikobewertung. Ebenso wichtig: Security-Audits und Penetration-Tests.

Softwareanbieter sollten ihre Open Source-Komponenten regelmäßig auf Schwachstellen untersuchen und eingesetzte Bibliotheken (dependency checks) hinsichtlich vulnerabler Codes im Blick behalten. Bei hybriden ERP-Landschaften können zentrale SIEM-Lösungen unterstützen. Sie überwachen Ihre ERP-Systeme automatisch und in Echtzeit und erkennen Bedrohungen unmittelbar.

Backup-Lösungen sollten unbedingt von Spezialisten konzipiert und betreut werden. Empfehlenswert sind zudem regelmäßige Security Checks und Fortbildungen der Administratoren. Für den Fall der Fälle sorgen Sie für ein stets aktuelles Sicherheitskonzept und eine Notfall-Liste mit allen wichtigen Kontaktdaten.

Kategorie: Datenschutz

Starten Sie Ihre ERP-Auswahl

Finden Sie das richtige ERP-System für Ihr Unternehmen

In welcher Branche sind Sie tätig?

Warum dies bei der ERP-Auswahl wichtig ist: Bei der Auswahl ist es wichtig, Ihre Branche zu berücksichtigen. Ein ERP-System muss perfekt zu Ihren Geschäftsprozessen passen. Diese Prozesse sind je nach Branche unterschiedlich. So arbeitet beispielsweise ein Großhändler anders als ein Bauunternehmen und benötigt daher unterschiedliche ERP-Funktionalitäten.

Wie sind Ihre Fertigungsaufträge geplant?

In welchen Fertigungsmengen produzieren Sie?

Auf welche Art von Bauaktivitäten sind Sie spezialisiert?

Fragen zu Ihren Geschäftsprozessen (Teil 1 von 2)

Arbeitet Ihr Unternehmen auf Projektbasis?
Arbeiten Sie oft mit verschiedenen Parteien zusammen?
Verwaltet Ihr Unternehmen Immobilien?

Fragen zu Ihren Geschäftsprozessen (Teil 2 von 2)

Führen Sie viele Wartungsarbeiten durch?
Möchten Sie auch Betriebsmittel planen können?
Möchten Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen?

Was für ein Einzelhändler sind Sie?

Fragen zu Ihren Geschäftsprozessen

Wie viele physische Verkaufsstellen haben Sie?
An welche Art von Kunden liefern Sie?
Importieren Sie Artikel?
Exportieren Sie auch Artikel?

Welche Art von Dienstleister sind Sie?

Fragen zu Ihren Geschäftsprozessen

Ist Ihnen die Zeiterfassung wichtig?
Arbeiten Sie nach Stundensatz und/oder Festpreis?
Ist HRM ein wichtiger Teil Ihres Unternehmens?
Arbeitet Ihr Unternehmen auf Projektbasis?
Liefern Sie in der Regel an Unternehmen oder Verbraucher?

Welche Art von Ausbildung bieten Sie an?

Fragen zu Ihren Geschäftsprozessen (Teil 1 von 2)

Sind Ihre Kunden Mitglied bei Ihnen?
Möchten Sie das System auch für die Registrierung von Kursteilnehmern nutzen?
Möchten Sie das System auch für HRM nutzen?

Fragen zu Ihren Geschäftsprozessen (Teil 2 von 2)

Geben Sie auch Fernunterricht?
Arbeiten Sie mit Stundenplänen und Standortplanung?
Muss das ERP-System mit anderen Paketen verknüpft werden?

Fragen zu Ihren Geschäftsprozessen

Ist Ihnen die Zeiterfassung wichtig?
Arbeiten Sie nach Stundensatz und/oder Festpreis?
Ist HRM ein wichtiger Teil Ihres Unternehmens?
Arbeitet Ihr Unternehmen auf Projektbasis?
Liefern Sie in der Regel an Unternehmen oder Verbraucher?

Auf welche Art von Pflege sind Sie spezialisiert?

Fragen zu Ihren Geschäftsprozessen

Möchten Sie das ERP-System auch für die Kundenregistrierung nutzen?
Bietet Ihr Unternehmen Übernachtungen an?
Muss das ERP-System mit anderen Paketen verknüpft werden?
Nämlich:
Bieten Sie Pflege vor Ort an?

Auf welche Art von Gewerbe sind Sie spezialisiert?

Fragen zu Ihren Geschäftsprozessen

Haben Sie einen Webshop, der integriert werden muss?
Wie viele physische Filialen mit Point-of-Sale haben Sie?
Importieren Sie auch Waren?
Exportieren Sie auch Waren?
An welche Art von Kunden liefern Sie?

Fragen zu Ihren Geschäftsprozessen

Ist Ihnen die Zeiterfassung wichtig?
Arbeiten Sie nach Stundensatz und/oder Festpreis?
Ist HRM ein wichtiger Teil Ihres Unternehmens?
Arbeitet Ihr Unternehmen auf Projektbasis?
Liefern Sie in der Regel an Unternehmen oder Verbraucher?

Fragen zu Ihren Geschäftsprozessen (Teil 1 von 2)

Möchten Sie, dass das ERP-System für das IoT (Internet der Dinge) gerüstet ist?
Möchten Sie eine Verknüpfung mit wichtigen Lieferanten wie der Technische Unie und Rexel?
Führen Sie auch Wartungsarbeiten durch?
Müssen Arbeitsaufträge mobil eingegeben werden?

Fragen zu Ihren Geschäftsprozessen (Teil 2 von 2)

Sollte das System offline konsultiert werden können?
Möchten Sie Maschinen aus der Ferne überwachen?
Arbeiten Sie auch auf Projektbasis?
Müssen Sie Kältemittel registrieren?

Welche Art von Versorgungsunternehmen haben Sie?

Fragen zu Ihren Geschäftsprozessen

Arbeitet Ihre Organisation auf Projektbasis?
Arbeiten Sie mit vielen verschiedenen Akteuren zusammen?
Verwaltet Ihre Organisation Immobilien?
Führen Sie viele Wartung durch?
Brauchen Sie eine Zeiterfassung für Ihre Mitarbeiter?

Öffentlicher Sektor und NGOs

Fragen zu Ihren Geschäftsprozessen

Arbeiten Sie auf Projektbasis?
Wünschen Sie eine Mitgliederverwaltung?
Muss das ERP-System mit anderen Paketen verknüpft werden?
Nämlich:
Muss das ERP-System mobil verfügbar sein?

Welche Art von Logistikdienstleistungen bieten Sie an?

Organisieren Sie die Ladungen wie folgt?

Sammelgut/Teilladungen (LTL)
Sammelgut/Teilladungen, die in einem Zentrum für mehrere Auftraggeber gebündelt werden
FTL
Komplettladungen für mehrere Auftraggeber
Dedicated Logistics
Transport für einen Auftraggeber

Fragen zu Ihren Geschäftsprozessen

Haben Sie einen eigenen Fuhrpark?
Müssen Waren gekühlt transportiert werden?
Importieren Sie Artikel?
Exportieren Sie auch Artikel?

Welche Art der Produktion betreibt Ihr Unternehmen?

Auf welche Art von Fertigung sind Sie spezialisiert?

Wie sind Ihre Fertigungsaufträge geplant?

In welchen Fertigungsmengen produzieren Sie?

Fragen zu Ihren Geschäftsprozessen

Führen Sie regelmäßige Wartungsarbeiten durch?
Arbeiten Sie mit Service Level Agreements?
Soll das ERP-System mit anderen Programmen verknüpft werden können?
Arbeiten Sie auf Projektbasis?
Möchten Sie Stunden im System erfassen?

Geben Sie die Anzahl der Mitarbeiter und Benutzer ein

Mitarbeiter
Benutzer (fakultativ)

Fragen zu Ihrer Organisation

Hat Ihr Unternehmen mehrere Niederlassungen?
Wie viele Lagerhäuser haben Sie?
Arbeiten Sie mit mehreren Währungen?
Sind Sie international tätig?
Hat die Hauptverwaltung ihren Sitz in Deutschland?
ERP-Anbieter suchen...
Systeme gefunden

Füllen Sie das Formular aus und erhalten Sie unverbindlich Informationen über die 7 am besten geeigneten Anbietern.

Ihre Anfrage ist erfolgreich bei uns eingegangen

  • Auf der Grundlage der von Ihnen gelieferten Informationen geht unser Berater unverbindlich an die Arbeit
  • Unser Berater trifft eine Auswahl unter den ERP-Anbietern, die am besten zu Ihrem Unternehmen passen.
  • Sie erhalten eine kostenlose Auswahlliste mit Informationen über die 7 geeignetsten Anbietern
  • Im Falle von Fragen oder Unklarheiten meldet sich unser Berater möglicherweise bei Ihnen
Longlist anzeigen
Auswahl neu starten

5 Fragen an GUS zum Thema ERP security

Dirk Bingler, CEO der GUS Group über die Sicherheit von ERP-Systemen und zur Sicherheit der ERP-Daten.

Lesen Sie weiter

Datenschutz im Home-Office: So schützen Sie sich vor Gefahren!

Aktuell arbeiten mehr Menschen im Home-Office als je zuvor. Viele Unternehmen haben sich an den Wechsel angepasst, doch dabei wird oft ein Aspekt vernachlässigt: Datenschutz. Denn im Home-Office gelten besondere Bedingungen, die besondere Maßnahmen erfordern.

Lesen Sie weiter

5 Tipps für die Sicherheit Ihrer lokalen ERP-Software

On-Premises-ERP-Software bedürfen eines besonderen Schutzes, zumal der Anwender selbst für die Sicherheit verantwortlich ist. Wir geben Ihnen wichtige Tipps.

Lesen Sie weiter

Fordern Sie jetzt Ihren kostenlosen ERP-Führer an und erhalten damit:

  • Eine Übersicht der am häufigsten verwendeten Module in Ihrer Branche
  • Einblick in die Kosten der ERP-Software
  • Eine Liste von 7 Softwareanbietern in der engeren Auswahl, die am besten zu Ihrem Unternehmen passen
ERP-Führer kostenlos anfordern