All for One Steeb AG hat der Redaktion unter Leitung von Matthias Weber ein Interview zum Thema ERP security gegeben. Das Interview liefert spannende Einblicke in die Sicherheit von ERP-Systemen.
ERP-Interview mit All for One Steeb: ERP security
Auf unsere 4 Fragen zum Thema ERP security gibt uns All for One Steeb AG, Antworten.
1. Welche Schäden können Hacker in ERP-Systemen anrichten?
Der primäre Angriffsvektor ist der Datendiebstahl. Dabei versuchen Hacker, so viele Daten wie möglich zu stehlen. Erst im zweiten Schritt analysieren sie, wie sie die gehackten Daten zu Geld machen können. Außerdem geht es Hackern um sogenannte Integritätsangriffe. Diese Angriffe umfassen die Beschlagnahmung und Modifikation von Transaktionen oder Daten im Sinne der Täter (z. B. die Änderung von Konto-Daten). Und natürlich spielen Angriffe auf die Verfügbarkeit der ERP-Systeme eine Rolle.
2. Welche Angriffspunkte bietet eine ERP-Software überhaupt aus Ihrer Sicht?
Grundsätzlich gilt, dass ERP-Systeme inzwischen über eine Vielzahl an Schnittstellen zu anderen Systemen innerhalb und außerhalb des Kundennetzes verfügen. Diese Schnittstellen sind immer auch kritische Angriffspunkte. Als Beispiel ist hier der Zugriff auf ERP-Systeme via SSL-verschlüsselte Kommunikationsschnittstellen zu nennen. Wenn hier nicht die aktuellste Verschlüsselungstechnologie verwendet wird, hat das System eine ernstzunehmende Schwachstelle und bietet Raum für Datendiebstahl.
3. Welches Betriebsmodell für ERP-Software halten Sie für sicherer? Private Cloud oder Public Cloud?
Nicht das Betriebsmodell an sich ist ausschlaggebend für die Sicherheit, sondern die Art und Weise, wie die Systeme gemanaged werden und wie mit dem Thema Sicherheit umgegangen wird. Dabei sehe ich ein Managed Cloud Modell, wie es die All for One Steeb anbietet, klar im Vorteil. Wir haben nicht nur jahrelange Erfahrung in der Beratung der ERP-Systeme für den Anwender, sondern hosten auch zahlreiche ERP-Systeme in unseren Rechenzentren in Frankfurt. Bei On-Premise-Lösungen / Privat Clouds fehlen oftmals die Skills und Ressourcen, um sich mit Sicherheitsthemen zu beschäftigen. Bei Public Clouds fehlt darüber hinaus oftmals der Anwendungsskill (z.B. über SAP-ERP-Systeme).
4 Welche Tipps geben Sie Unternehmen, die Ihre ERP-Software sicherer machen wollen?
Leider gibt es nicht den Tipp oder die Lösung, die auf einen Schlag dem ganzen System Sicherheit gewährleistet. Es geht vielmehr um die Summe aller Maßnahmen. Als Tipp würde ich daher den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) (z.B. gemäß ISO27001) empfehlen. In einem solchen ISMS werden alle Aspekte der Informationssicherheit adressiert, mit denen sich eine verantwortliche Stelle zum Thema Sicherheit auseinanderzusetzten hat. Themen wie regelmäßiges Patch-Management, ein geeignetes User- und Access-Management, Netzwerksicherheit, etc. sind Bestandteil der Betrachtung im Rahmen eines solchen ISMS.
Darüber hinaus ist es wichtig, dass die Unternehmen sich ständig mit dem Thema Sicherheit auseinandersetzen, regelmäßige Updates fahren und ihre Sicherheitsvorkehrungen eines kontinuierlichen Verbesserungsprozesses unterziehen.
