ERP-Systeme und ihre Sicherheitslücken

Immer wieder hört man in den einschlägigen Medien von größeren Schäden, die Unternehmen durch die Hackerangriffe an Sicherheitslücken und andere Cyberangriffe zugefügt werden. Diese können von einem Imageverlust (mit entsprechendem Einbruch der Aktie) über den Verlust wertvoller Unternehmensdaten bis hin zur Beschädigung der Hardware oder vernetzter Produktionsanlagen reichen. In jedem Fall führen sie zu Problemen, Kosten und erhöhtem Arbeitsaufwand. Cybersicherheit spielt deshalb für jedes Unternehmen, welches die Vorzüge der modernen Informationstechnologie nutzen will, eine große Rolle. Dabei wird die Sicherheit des im Unternehmen eingesetzten Enterprise Resource Planning Systems jedoch selten beachtet. Häufig wird von der Firmenleitung angenommen, dass sich die IT um den Schutz des Unternehmens kümmert und das ERP-System hinter der unternehmenseigenen Firewall und mithilfe der softwareeigenen Sicherheitslösungen geschützt ist. Ein Trugschluss, wie sich auf der Konferenz Black Hat Europe im Jahr 2015 zeigte. Während dieser Hackerkonferenz hackten sich die Teilnehmer in das ERP-System eines namhaften Ölkonzerns und änderten zu Demonstrationszwecken den Druck in einer Ölpipeline. Nicht auszudenken, was ein übel meinender Konkurrent oder Vandale hätte anrichten können.

Schwachstellen in ERP-Systemen

Wie jede Software haben auch ERP-Systeme Schwachstellen in ihrem Programmcode, durch die sich Eindringlinge der Daten bemächtigen oder Änderungen an ihnen vornehmen können. Welche Schwachstellen dies genau sind, hängt von der einzelnen Software ab, einige allgemeine Fehlerursachen lassen sich jedoch ausmachen. So kann eine veraltete Software, die von ihrem Entwicklerstudio nicht weiterentwickelt und geupdated wird (falls es das Entwicklerstudio überhaupt noch gibt), bekannte Schwachstellen beherbergen, die zwar auf einschlägigen Internetforen diskutiert werden, die aber niemand mehr schließt. Auch wenn es bequem, günstig und praktikabel erscheint, als mittelständisches Unternehmen kann es ein erheblicher Fehler sein, sich auf veraltete Software zu verlassen. Doch nicht nur im ERP-System selbst kann ein Angreifer Schaden anrichten, sondern auch dort, wo das ERP-System mit anderer Software kommuniziert. Diese Kommunikation erfolgt in Form verschlüsselter Daten. Nicht selten ist die genutzte Verschlüsselung veraltet und für einen entschlossenen Hacker in wenigen Stunden bis Tagen zu durchbrechen. Danach hat er freien Zugriff auf die versandten Daten und kann diese manipulieren. Das Schadenspotenzial ist enorm. Die letzte große Schwachstelle, die ERP-Systemen gemein ist, ist der Mensch. Ob ein eventuell enttäuschter oder von der Konkurrenz bestochener Mitarbeiter mutwilligen Schaden anrichtet oder ein wohlmeinender, aber naiver Mitarbeiter den falschen E-Mail-Anhang anklickt oder die falsche Webseite besucht, schnell können sich Daten ungewollt verbreiten.

In drei Schritten zur Verbesserung der ERP-Sicherheit

Um den Schutz eines ERP-Systems zu verbessern, sollte jede Firma ihr eigenes Sicherheitskonzept anhand von drei einfachen Schritten aufbauen, überprüfen und verbessern. Der erste Schritt ist wie in jeder wirtschaftlichen Unternehmung eine Betrachtung des Istzustandes: Wie aktuell ist die Software? Gibt es bereits bekannte Sicherheitslücken und entwickelt das Softwarestudio die Software noch weiter und sucht aktiv nach Verbesserungsmöglichkeiten? Ist die genutzte Verschlüsselung noch auf dem neuesten Stand der Technik? Welche besonderen Sicherheitsschwachstellen ergeben sich durch die Struktur des Unternehmens? All diese Fragen sollten beantwortet werden, um sich einen klaren Überblick zu verschaffen. Anhand dieses Überblickes kann die ERP-Software upgedated, verbessert oder durch eine neuere Software ersetzt werden. Bei der Schwachstelle Mensch sollte eine ähnliche Überprüfung des Istzustandes erfolgen, besonders im Hinblick auf die richtige Schulung der Mitarbeiter. Durch Rundschreiben, Seminare und Weiterbildungskurse können die Mitarbeiter für mögliche Sicherheitslücken sensibilisiert werden und ihr Verhalten entsprechend anpassen. Damit sich nicht wieder laxe Praktiken einschleifen, sollten diese Seminare regelmäßig wiederholt werden. Der Schutz gegen böswillige Mitarbeiter ist deutlich schwieriger, hier sollten mögliche Schwachstellen frühzeitig erkannt werden und der Zugriff auf sensible Teile des ERP-Systems nur den nötigsten Personen gestattet werden, auch in Hinblick auf die DSGVO, ist dieser Schritt essentiell.

Einen hundertprozentigen Schutz kann es nicht geben, aber feststeht auch, dass eine Verbesserung der ERP-Sicherheit sich in jedem Fall bezahlt macht.