Sie sind hier: HomeTelekommunikation

Unternehmenssoftware: Unterschätzte ERP-Sicherheit

Ein veraltetes ERP-System kann zum Unternehmensrisiko werden. Firmen sollten Schwachstellen ernst nehmen und zügig handeln.

Bildquelle: © fotolia.com

Ob moderne Betriebsabläufe, die wachsende Mobilität oder Datenmassen, die sich kaum handhaben lassen: Diese Faktoren bewegen Software-Hersteller dazu, schneller als jemals zuvor neue Funktionen auf den Markt zu bringen. Doch wie reagieren Firmen auf diese stark verkürzten Entwicklungszyklen? Kaum! Denn wer trennt sich von einem vertrauten System, das über Dekaden den Arbeitsalltag begleitet hat? Zudem ist es für IT-Verantwortliche schwer, regelmässig neue Investitionen zu rechtfertigen.

Diese Bequemlichkeit und finanzielle Zurückhaltung hat Folgen. Neben ineffizienten Betriebsabläufen und schwindender Wettbewerbsfähigkeit führt das Verhalten zu einem erhöhten Sicherheitsrisiko. Besonders unterschätzt wird das ERP-System, wie die Konferenz Black Hat Europe Ende 2015 demonstrierte: Experten haben ERP-Anwendungen eines Ölkonzerns angegriffen, um den Pipeline-Druck zu manipulieren. Dieses Szenario wirft bei vielen Firmen Fragen auf. Zum Beispiel, wo ihre eigenen Schwachstellen liegen und was man dagegen tun kann.

Schwachstelle ERP-System
Gerade im Mittelstand setzen viele Unternehmen seit Jahrzehnten auf das gleiche ERP-System. Wer hier aus Kostengründen auf die Softwarepflege verzichtet, arbeitet häufig mit einer veralteten Technologie, die einen Angriff erleichtert. Hinzu kommen weitere Probleme:

  • Fehlende Kompatibilität: Veraltete Software lässt sich nicht zwingend mit anderen, neueren Programmen verbinden. Auch Herausforderungen mit Servern und Browsern können auftreten. Kritisch wird es, wenn das komplette Programm oder bestimmte Features nicht mehr unterstützt werden. Dann entfallen sowohl Support bei möglichen Störungen als auch die wichtigen Sicherheitsupdates.
     
  • Fehlende Verschlüsselung: Gerade im E-Commerce braucht es innerhalb und außerhalb des Kundennetzes passende Schnittstellen, die eine Brücke zwischen dem Unternehmen und Marktplätzen wie Amazon und Ebay schlagen. „Diese Schnittstellen sind immer auch kritische Angriffspunkte“, sagt Axel Krämer, Leiter Abteilung Central Services bei der All for One Steeb AG. „Als Beispiel ist der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.“
     
  • Fehlendes Zugriffsreglement: Mit zum Teil großem Engagement widmen sich Unternehmen beim IT-Risikomanagement externen Bedrohungen und der Endnutzersicherheit. Was dabei allerdings zu kurz kommt, ist die Verteilung der Zugriffsrechte. Es braucht Steuerungsmechanismen, die es nur bestimmten Personen erlauben, Programmänderungen vorzunehmen. Oft wird auch der Nutzer unterschätzt, der zum Beispiel Kreditlimit-Prüfungen deaktiviert und damit Aufträge ohne Prüfung freigibt. Das kann im schlimmsten Fall zu Zahlungsausfällen führen.
     
  • Fehlende Schulungen: Immer häufiger werden Angriffe durch Innentäter ausgelöst. Die Gründe für solche Angriffe sind vielschichtig, wie Dirk Bingler, Sprecher der Geschäftsführung bei GUS Deutschland berichtet: „Sie reichen von Enttäuschung, Frust am Arbeitsplatz und privaten Problemen bis hin zur einfachen Unkenntnis über sensible Schwachstellen in Arbeitsabläufen.“ Das fehlende Bewusstsein für potenzielle Gefahren ist groß, reicht doch ein unbedachter Klick auf E-Mail-Anhänge aus, um schädlicher Software Zugang zu gewähren.