Die Funktionen für moderne ERP-Sicherheit entwickeln sich kontinuierlich weiter und werden stetig optimiert. Warum haben Unternehmen trotzdem das Gefühl, stärker denn je Angriffen und Risiken ausgesetzt zu sein? Zum Teil ist dies auf die schnelle Entwicklung digitaler und cloudbasierter Technologien zurückzuführen. Bis 2025 wird die Zahl der IoT-Geräte laut IDC auf über 30 Milliarden steigen – und exponentiell weiter wachsen. Viele dieser Geräte sind Bestandteil von IIoT-Unternehmensnetzwerken (Industrial Internet of Things) und übertragen in der Regel Daten in ein zentrales ERP-System. Heutzutage ist ein modernes Cloud-ERP-System für den Großteil der Unternehmen erfolgsentscheidend und stellt sicher, dass alle Geschäftsabläufe in einem zentralen System vereinheitlicht werden. Diese Kernfunktion kann jedoch auch eine Schwachstelle im Hinblick auf die Cybersicherheit darstellen, weil sie als zentrales Portal viele kritische Informationen verfügbar macht.

Heutige Herausforderungen im Bereich ERP- und Softwaresicherheit

Herkömmliche Ansätze für die Cybersicherheit sind nicht mehr ausreichend. Die Idee, eine sichere Umgebung für bestimmte IT-Ressourcen oder Datenbanken aufzubauen und dann den Zugriff einzuschränken und zu steuern, funktioniert in einem Cloud-Netzwerk nicht.

In einer Cloud-ERP-Umgebung müssen Unternehmen ihren Sicherheitsansatz neu definieren, weil sie einen Teil der Verantwortung an die Public-Cloud-Anbieter abgeben. Der Fokus liegt weniger auf der Infrastruktur und mehr auf den Zuständigkeiten auf Anwendungsseite, für die sie weiterhin verantwortlich sind.

Ransomware- und Phishing-Angriffe stellen eine immer größer werdende Herausforderung dar. Da ERP-Systeme über mehrere Abteilungen hinweg integriert sind, gibt es mehr Benutzer mit autorisiertem Zugriff – und somit mehr Phishing-Ziele für Hacker. Eine breiter angelegte operative ERP-Integration bedeutet auch einen größeren Umfang und ein breiteres Spektrum an wertvollen Daten, die sich im ERP-System befinden – was den Wert des Systems als potenzielles Ziel eines Hackerangriffs steigert. Bei ERP-Altsystemen erfordert der Versuch, das ERP-System in neue Bereiche zu integrieren, zudem häufig nachträglich ergänztes und benutzerdefiniertes Coding, was die potenzielle Angriffsfläche zusätzlich vergrößern kann. Mit anderen Worten: Es gibt mehr Schwachstellen an mehr Orten. Hinzu kommt die Zunahme an Beschäftigten, die remote arbeiten und externen Zugriff benötigen.

Cyberkriminelle können Daten stehlen und Unternehmen erpressen, aber sie können auch essenzielle Systeme abschalten und den gesamten Betrieb zum Stillstand bringen. Große Unternehmen (insbesondere in den Bereichen Finanz- und Versicherungswesen, Fertigung, Unternehmensdienstleistungen und Gesundheitswesen) sind schon lange ein Ziel, aber zunehmend werden auch kleine und mittelständische Unternehmen angegriffen – häufig aufgrund mangelnder Sicherheitsmaßnahmen und fehlenden Fachwissens.

Welche Arten von ERP-Daten nehmen Cyberkriminelle ins Visier?

Hacker stehlen aus verschiedenen Gründen Daten jeglicher Art. Vor allem sind Cyberkriminelle jedoch auf Daten wie z. B. ERP-Daten aus, die sie schnell zu Geld machen können, sei es, indem sie das angegriffene Unternehmen erpressen oder die gestohlenen Daten von Kunden oder Personen, die in diesen Daten genannt werden, zu Betrugszwecken nutzen. So können sie z. B. versuchen, mithilfe von Kreditkartenbetrug oder Überweisungen Geld zu erbeuten. Da Finanz- und ERP-Datenbanken jedoch tendenziell zu den am besten gesicherten Datenbanken gehören, werden in der Regel leichter zugängliche Daten zum Ziel von Hackerangriffen.

Eine weiteres Risiko für Unternehmen besteht nicht nur im Schaden, der durch die Einbußen bei Umsatz, Ruf und Kunden entsteht – sondern auch in drohenden Schadensersatzklagen von den in den gestohlenen Daten genannten Personen. In Fällen, in denen diese Daten sensible personenbezogene, rechtliche oder medizinische Informationen enthalten, kann der Schaden durch Rechtsstreitigkeiten irreparabel sein.

Die sieben häufigsten ERP-Sicherheitsprobleme und ihre Lösung

1. Veraltete Software

Die besten ERP-Anbieter kämpfen unermüdlich gegen neue Sicherheitsbedrohungen. Jedes Mal, wenn sie ein solches Risiko erkennen, wird ein Sicherheitspatch entwickelt und an die Kunden verteilt. Einige Unternehmen haben diese Updates in der Vergangenheit ignoriert oder erst zeitverzögert installiert, wodurch ihre Systeme angreifbar blieben. Das gilt insbesondere für ältere ERP-Systeme, für die schon viele Anpassungen oder Behelfslösungen integriert wurden, weshalb eine Patchimplementierung schwieriger ist.

Lösung: Updates und Sicherheitspatches müssen – trotz des damit einhergehenden Risikos von Ausfällen und Ausfallzeiten – regelmäßig implementiert werden, da ständig neue Bedrohungen auftreten können. Die Voraussetzung für das Einspielen von Patches und Updates für On-Premises-ERP-Software ist ein risikobasierter Ansatz. Hierbei werden die Aktualisierungen priorisiert, die sich am stärksten auf die Sicherheit auswirken. Auch wenn dies schwierig ist und Unterbrechungen mit sich bringt, ist diese Vorgehensweise für die Risikominderung von entscheidender Bedeutung. Dies gilt auch für Unternehmen mit einer hybriden ERP-Landschaft.

Bei Cloud-ERP-Software ist die Patchverteilung und -implementierung ein nahtloser Prozess, der vom Anbieter im Hintergrund und ohne Unterbrechung des Geschäftsbetriebs durchgeführt wird. Darüber hinaus kann das automatisierte Patchmanagement einer Cloud-ERP-Implementierung dazu beitragen, die Einhaltung der sich ständig ändernden Compliance- und Governance-Regeln sicherzustellen.

2. Autorisierungsprobleme

In der heutigen Geschäftswelt stehen die Führungskräfte im Personalwesen, in der IT und von anderen Teams unter dem Druck, dass neue Benutzer so schnell wie möglich angelegt und einsatzbereit sein müssen. Dies kann dazu führen, dass die Vergabe oder Deaktivierung von ERP-Berechtigungen weniger strikt abläuft. Ältere ERP-Systeme sind aufgrund veralteter Authentifizierungsfunktionen und einem Mangel an automatisierten Workflows, die Berechtigungen unterstützen, häufig einem größeren Risiko ausgesetzt.

Lösung: Bei der Entwicklung moderner ERP-Systeme wurden diese Risiken berücksichtigt und inhärente Funktionen für die Bereitstellung und Authentifizierung integriert, einschließlich leistungsstarker, aber intuitiv zu verwendender Workflows. Zudem können Unternehmen mithilfe von Governance-Tools für den Identitätszugriff für eine umfassendere und durchgängigere Sicherheit sorgen.

3. Unzureichende Sicherheitsschulungen

Eine Schulungsnotiz im Rahmen Ihrer offiziellen Phishing-Richtlinien zu veröffentlichen, ist nicht dasselbe, wie regelmäßige, interaktive Schulungen mit allen Teams zu organisieren. In einer aktuellen Umfrage waren 78 % der Unternehmen, die der Meinung waren, dass ihre Schulungsmaßnahmen ausreichen, um Phishing-Risiken zu beseitigen, überrascht, dass 31 % ihrer Beschäftigten einen einfachen Phishing-Test nicht bestanden haben. Schwache Kennwörter, mangelndes Phishing-Wissen und nicht verstandene Sicherheitsprotokolle können dazu führen, dass selbst Ihre loyalsten und fleißigsten Angestellten Ihr Unternehmen unbewusst in Gefahr bringen.

Lösung: Viele Beschäftigte sind sich nicht bewusst, dass ihre Aktionen Risiken eröffnen oder Schäden verursachen können. Überlassen Sie Schulungen für Cybersicherheit nicht den falschen Leuten und räumen Sie diesen Maßnahmen entsprechende Priorität ein. Arbeiten Sie mit Fachleuten zusammen, um unternehmensweit ein Risiko-Audit durchzuführen und versteckte Schwachstellen zu ermitteln. Arbeiten Sie mit den Teamleitungen zusammen, um regelmäßige Schulungspläne zu erstellen, die auf ihre speziellen Anforderungen zugeschnitten sind. Implementieren Sie für jede Abteilung automatisierte Zeitpläne mit Testterminen, Zertifikatsverlängerungen und Auffrischungsschulungen.

4. Mangel an Fachpersonal für ERP-Sicherheit

In Unternehmen, die ältere ERP-Software einsetzen, müssen die IT-Teams die unzähligen spezifischen ERP-Sicherheitsrisiken verstehen und Best Practices für die Sicherheit einführen und umsetzen können. Dazu gehören das Identifizieren von Bedrohungen, das Durchführen von Schwachstellenprüfungen und Penetrationstests, das Erstellen von Reaktionsplänen für Vorfälle und die Einbindung der neuesten Tools für die Überwachung der Cybersicherheit in veraltete Systeme. In der heutigen Geschäftswelt ist es nicht nur schwierig, qualifizierte Fachkräfte zu finden und zu halten, sondern auch kostspielig und zeitaufwendig, die wachsende Anzahl an erforderlichen Schulungen in den Betriebsalltag zu integrieren, damit die IT-Teams hinsichtlich der digitalen Entwicklungen beim Thema Sicherheit auf dem Laufenden bleiben.

Lösung: Cloud-ERP-Systeme tragen erheblich zur Lösung dieses Problems bei. Leistungsstarke Sicherheitsmaßnahmen wie eine Überwachung rund um die Uhr und Desaster-Recovery werden allesamt vom Anbieter unterbrechungsfrei in der Cloud durchgeführt. Darüber hinaus können die täglichen und zeitaufwendigeren IT-Aufgaben wie Patchmanagement, Tests und Upgrades in der Cloud automatisiert und ohne spürbare Unterbrechung ablaufen.

5. Nichteinhaltung von Sicherheits- und Governance-Standards

Da ERP-Systeme zunehmend über mehrere Abteilungen hinweg integriert sind, wächst der Umfang an anfälligen Daten, wie z. B. sensible Produktinformationen, Krankenakten oder geistiges Eigentum, immer weiter. Je sensibler die Daten sind (z. B. finanzielle, medizinische oder juristische Informationen), desto wahrscheinlicher ist es, dass sie über spezifische Sicherheits- und Speicherprotokolle verfügen. Wenn diese Protokolle nicht eingehalten werden – oder nicht bekannt sind –, kann dies nicht nur zu Datenschutzverletzungen führen, sondern auch Geldstrafen und sogar rechtliche Konsequenzen nach sich ziehen.

Lösung: Heutzutage ermöglichen die besten ERP-Systeme – in Kombination mit modernen Datenbanken – die zentrale Automatisierung und Kontrolle von verschiedenen Compliance-Protokollen für eine Vielzahl von Daten. Das bedeutet, dass IT-Teams mit den Fachkräften aus dem gesamten Unternehmen zusammenarbeiten können, um zunächst die richtigen Sicherheitsstandards zu ermitteln und anschließend Systeme und Benutzer-Dashboards zu automatisieren, um sicherzustellen, dass in Zukunft die entsprechenden Protokolle eingehalten werden.

6. Ein-Faktor-Authentifizierung

Ein Faktor (ein einzelnes Kennwort oder ein einzelner Passcode) ist definitiv nicht ausreichend. Obwohl sich die meisten Unternehmen dieser Tatsache bewusst sind, nutzen mehr als 40 % der Unternehmen immer noch keine Zwei-Faktor-Authentifizierung für alle potenziellen ERP-Einstiegspunkte. Mit anderen Worten: Es hat keinen Sinn, Ihre offensichtlich wichtigsten Daten mit Zwei-Faktor-Authentifizierung (2FA) zu schützen, wenn andere vernetzte Systeme wie IoT-Geräte oder Abteilungsanwendungen aufgrund einstufiger Kennworteingabe anfällig bleiben.

Lösung: Unternehmen jeder Größe müssen sofort 2FA-Protokolle (einschließlich Sicherheitstoken oder biometrischen Scans) über alle potenziellen ERP-Einstiegspunkte hinweg implementieren. Hierbei handelt es sich um eine einfache, kostengünstige Maßnahme, die extrem wichtig ist.

7. Datenexport

Trotz offizieller Protokolle möchten Anwender Daten in Excel-Tabellen eingeben oder in anderen Formaten speichern. Risiken bei Datenexporten stellen für Unternehmen weiterhin ein Problem dar.

Lösung: Unternehmen können dies steuern, indem sie Excel-Downloads blockieren oder Benutzeraktionen in der Datenbank verfolgen. Der beste Schutz bei Datenexporten besteht jedoch letztendlich darin, die Anzahl an Personen zu begrenzen, die Zugriff auf schutzbedürftige Daten haben. Mit einem modernen ERP-System kann die Abteilungsleitung nicht nur ermitteln und festlegen, wer welche Daten sehen kann, sondern auch, welche Elemente eines Datensatzes Benutzer abrufen und anzeigen können. Im Gegensatz zu Legacy-Systemen verfügen Cloud-ERP-Systeme über integrierte Sicherheitsfunktionen, die dahingehend automatisiert werden können, dass sie entsprechende Benachrichtigungen verschicken und unberechtigte Befehle wie Downloads oder Datenexporte verhindern.

Best Practices für ERP-Cybersicherheit

Viele der angesprochenen Probleme und Lösungen beziehen sich auf umfassende Sicherheitsstrategien zur Optimierung Ihrer personellen und technologischen Ressourcen in einer Welt der Cyberkriminalität. Im Folgenden finden Sie einige zusätzliche Best Practices, um den größtmöglichen Nutzen aus den Services und Vorteilen der Sicherheitsfunktionen von Cloud-ERP ziehen zu können:

• Stellen Sie sicher, dass Service-Level-Vereinbarungen für Geschäftskontinuität, Desaster-Recovery und Verfügbarkeit enthalten sind. Mithilfe von cloudbasierten Tools können Sie diese Vereinbarungen zentral und global über alle Abläufe hinweg integrieren und Updates automatisieren.
• Lassen Sie Hyperscaler-Audits durch Dritte durchführen. Diese unabhängigen Audits von Drittanbietern sind unerlässlich, um die unternehmensübergreifende Compliance in allen Phasen sicherzustellen und Programme wie Cybersecurity Maturity Model Certification (CMMC) und Zero Trust zu unterstützen.
• Verschlüsseln Sie alle Ihre Daten und konzentrieren Sie sich auf die Stärkung von Prozessen, Protokollen und Projektmanagement für alle Teams, die an ERP-Sicherheitsmaßnahmen beteiligt sind, insbesondere in den Bereichen Patchmanagement, Sicherheitskonfiguration, Schwachstellenprüfung und Management von Bedrohungen.
• Investieren Sie bezüglich einer erforderlichen Beratung in externe, erstklassige Fachkräfte für Cybersicherheit, um sicherzustellen, dass alle Teams für ihre Rollen und Zuständigkeiten in den Bereichen Risikominderung entsprechend qualifiziert sind.
• Stellen Sie sicher, dass eine Rund-um-die-Uhr-Überwachung und proaktives Sicherheitsmanagement im gesamten Unternehmen implementiert sind, um die Reaktionsfähigkeit bei Störungen zu verbessern. Das schließt Ihr ERP-System und alle anderen Systeme, Geräte oder IoT-Anlagen mit ein, über die Hacker Zugriff erhalten können.
• Arbeiten Sie mit einem domänenbasierten ERP-Testansatz, um für einen konsistenten und replizierbaren Testprozess zu sorgen, mit dem sie allgemeine Vektoren im gesamten Angriffsspektrum ermitteln.

Die nächsten Schritte zur Verbesserung der ERP-Sicherheit

Alle Unternehmen sind von Cyberkriminalität betroffen, und um sie erfolgreich zu bekämpfen, bedarf es eines mehrgleisigen Ansatzes. Cloud-ERP-Technologien sind dafür ein hervorragender Ausgangspunkt. Sie bieten Unternehmen eine einheitliche Grundlage, um die Verteidigung erfolgreich und effektiv zu koordinieren und zu automatisieren.

Der Dreh- und Angelpunkt aller Maßnahmen für mehr Cybersicherheit sind jedoch Ihre Beschäftigten. Führungskräfte und Beschäftigte sind Teil der Lösung, aber es ist nicht an ihnen, dies selbst herauszufinden. Ein wichtiger erster Schritt auf Ihrem Weg zu mehr ERP-Cybersicherheit besteht darin, Kommunikations- und Schulungspläne mit interessanten Fachkräften, praktischen Lerninhalten, visuellen und praktischen Lernplänen sowie Beispielen aus dem realen Leben für Worst-Case-Szenarios zu erstellen. Besondere Schulungs- und Zertifizierungsmaßnahmen sind wichtig, aber am effektivsten ist es, das allgemeine Bewusstsein für das Thema zu schärfen und das diesbezügliche Interesse zu fördern.

Digitale Sicherheit ist mittlerweile ein wichtiger Aspekt in unser aller Leben. Daher sollten Schulungen zum Thema Cybersicherheit überzeugend und interessant strukturiert sein.