Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Weber Matthias mwbsc(08. August 2017) Neben den Mitarbeitern sind die Daten das wohl wertvollste Gut eines Unternehmens. Das wissen auch Hacker und setzen gezielt Erpressungstrojaner wie WannaCry ein. Und das immer öfter, wie die aktuelle eco Studie „IT-Sicherheit 2017“ zeigt: Fast jeder Dritte (31 Prozent) der 590 befragten Security-Experten hatte in der Vergangenheit mindestens einen Sicherheitsvorfall im Unternehmen, bei dem Daten gestohlen wurden.

 

Konnte bei der Mehrzahl durch Backups die Informationen wieder hergestellt werden, mussten die betroffenen Unternehmen dennoch einen kurzzeitigen IT-Ausfall und Datenverlust – seit dem letzten Backup – hinnehmen. Drei Prozent haben sogar das geforderte Lösegeld gezahlt.

Das Beispiel demonstriert anschaulich, welche Rolle Unternehmensdaten für Hacker spielen. Aus dem Grund müssen sich auch IT-Entscheider der Frage stellen, wie man diese am besten schützen kann. Oft vernachlässigt bei diesen Überlegungen wird das interne ERP-System. Zu Unrecht, liegen hier doch meist die sensibelsten und geschäftskritischsten Daten. Daher wird es höchste Zeit, diesen Aspekt in der IT-Strategie zu berücksichtigen. Denn was passiert, wenn das ERP-System, oft das technologische Herzstück einer Firma, getroffen wird? Welche Schäden können entstehen und was kann man dagegen tun? Der folgende Beitrag gibt darauf Antworten.

ERP-Hacking: Welche Schäden sind möglich?

Allgemein lassen sich zwei Arten von Schäden unterscheiden: die primären und die sekundären. Unter den primären versteht man den direkten Datendiebstahl, also das Eindringen in ein System und der gezielte Raub von Informationen, zum Beispiel Produktionsdaten, Einkaufskonditionen oder Patente. Ebenfalls in diese Kategorie fällt die Datenkorruption. Hier werden Informationen zum Beispiel in Datenbanken modifiziert, so dass sie beim Lesen der Daten verfälscht wiedergegeben werden. In der Praxis lassen sich dadurch zum Beispiel Aufträge umschreiben oder sogar Kontodaten ändern.

Hinzu kommen die sekundären Schäden, die ebenfalls den Unternehmenserfolg massiv gefährden. „Werden personenbezogene Daten zu Bank- oder Kreditkartenkonten gehackt, erleidet das betroffene Unternehmen einen immensen Reputationsschaden“, weiß Noèl Funke, Bereichsleiter bei BWS IT-Security Consulting und ergänzt: „Gehen geheime Daten aus der Entwicklung verloren, sind Produktnachahmungen vorprogrammiert. Außerdem sind Fertigungsausfälle möglich, wenn interne Systeme durch fremden Eingriff lahmliegen.“ Was das genau bedeutet, kann jedes Unternehmen für sich am besten beurteilen. Doch schon ein Ausfall von einer Stunde kann gravierende Auswirkungen haben. Verzögerte Lieferungen, die Konventionalstrafen nach sich ziehen, sind hier noch harmlos.

Für viele Unternehmen sind heute die primären Schäden immer noch gravierender als die indirekten. Warum diese Fehleinschätzung gefährlich ist, wird sich nächstes Jahr zeigen, wenn die neue EU-Datenschutz-Grundverordnung in Kraft tritt. Sie sieht empfindliche Bußgelder für Datenschutzverletzungen bei personenbezogenen Daten vor. Liegen diese heute noch bei maximal 300.000 Euro, steigen sie ab 2018 auf bis zu 20 Millionen. Damit ist der sekundäre Schaden durch ERP-Hacking wesentlich höher und kann schnell zum Bankrott des Unternehmens führen.

ERP-Security: Mehr Sicherheit für den Datentresor
Das Negative vorweg: Wer glaubt, dass es im Zeitalter des Internets umfassende Sicherheit gibt, wird schnell enttäuscht. Die digitale Vernetzung, immer mehr Systemschnittstellen und unzählige Cloud-Anwendungen bieten genügend Angriffsfläche. Doch Unternehmen können das Risiko minimieren, unter anderem durch die folgenden Tipps:

Systemtests: In sogenannten Penetrationstests versetzen sich IT-Experten in die Rolle von Hackern und prüfen das ERP-System auf Schwachstellen. Anschließend halten sie ihre Ergebnisse in einem Bericht fest, der alle zu optimierenden Elemente sammelt.

Schulungen: Ein oft unterschätztes Risiko ist der Mensch, der durch Unwissenheit viel Schaden anrichten kann. Schon ein Klick auf einen Mailanhang kann schädliche Software in der Firma verbreiten. Darum ist es empfehlenswert, das Thema IT-Sicherheit regelmäßig in Schulungen zu behandeln.

Zugriff: Gerade bei geschäftskritischen Anwendungen wie dem ERP-System bietet es sich an, nur den Mitarbeitern einen Zugang zu erlauben, die auch damit täglich arbeiten. Ohne klare Zutrittskontrollen und überwachende Rechtevorgaben, verliert man als IT-Verantwortliche schnell den Überblick.

Aktualität: Um alle im Einsatz befindlichen Systeme immer auf dem neuesten Stand zuhalten, sind
regelmäßige Updates ein Muss. Auch die Firewall oder das Betriebssystem darf dabei nicht vergessen werden – sprich alle Programme, die mit dem ERP-System in irgendeiner Form verbunden sind.

Wichtig beim Umgang mit diesen Tipps: Einzeln betrachtet und separat umgesetzt, ist der Schutz nur marginal. Zusammengenommen und in einem Sicherheitskonzept gebündelt, ergibt sich aus den Elementen eine Front, die es Cyber-Kriminellen schwer macht, an das ERP-System und damit auch an die Daten des Unternehmens zu kommen.

Vegoldetes Silber
Daten sind Silber – ERP-Sicherheit ist Gold. Übersetzt bedeutet das: ERP-Systeme sind wichtiger als die darin abgelegten Daten. Das ist natürlich streitbar. Jedoch muss den Firmen klar werden, dass Informationen in Form von Patenten, Kontodaten und Rezepten kaum etwas wert sind, wenn jeder sie stehlen kann. Darum müssen Firmen das Thema ERP-Security Ernst nehmen und es als fixen Bestandteil im IT-Sicherheitskonzept integrieren.


Autor: Matthias Weber (BILD)

http://www.mwbsc.de

Aktuelle Ausgabe

Chefbüro Ausgabe 4-2017Unter anderem lesen Sie in der aktuellen Ausgabe:

WLAN-Marketing: Wireless ins Kundenherz

Papierloses Büro: Eine Vision nimmt langsam Konturen an

Assmann: Was beim Arbeiten 4.0 zählt

Lust auf mehr? - Einfach unter download als PDF

werbung messen

Partner

Mitgliedschaft

Newsletter

Ich möchte mich für den kostenlosen Newsletter an- oder abmelden