28. November 2019

Cyber-Angriffe – Schwachstelle ERP-System

ERP-Software ist in vielen Unternehmen DER technologische Dreh- und Angelpunkt. Kontrovers ist, dass die IT-Sicherheit häufig vernachlässigt wird. In diesem Blogartikel klären wir Sie darüber auf, wo die häufigsten Schwachstellen liegen und wie man sich vor dem Albtraum einer Cyber-Attacke schützen kann.

Je komplexer ein System ist, desto fehleranfälliger ist es. So ist es nicht verwunderlich, dass sich in einer immer komplexeren Welt die Schäden durch Cyberkriminalität seit 2006 beinahe verdoppelt haben.¹ Das Aufdecken von Schwachstellen und Erarbeiten von Handlungsempfehlungen ist gar nicht so einfach. So sind nach einer repräsentativen Studie 75 % der Befragten mit den wachsenden Anforderungen der IT-Sicherheit (Finanzen und Personal) überfordert.²

Was kann man tun, damit der Albtraum Cyber-Angriff keine Realität wird? Wir geben Ihnen einen Überblick über die häufigsten Schwachstellen in puncto IT-Sicherheit, speziell ERP-Sicherheit – und was man dagegen tun kann.

 

Angriffspunkt: Technologie

Hosting

Entweder Sie hosten Ihr System und Ihre Daten lokal oder in der Cloud. Die lokale Lösung benötigt eigene Server mit eigener Hardware. Bei der Cloud-Variante existieren Rechenzentren, die Server für Sie zur Verfügung stellen. Kosten für Hardware und Wartung entfallen bei dieser Variante.

Sicher stellt das lokale Hosting gefühlt die sichere Alternative dar, da hier der Aufwand für Cyber Attacken sehr groß wäre. Aber, wir können Ihnen versichern, dass Sie auch bei der Cloud-Variante auf einen sicheren Datenzugriff zählen können.

Oftmals ist es gar nicht die eigentliche ERP-Infrastruktur, die ein Problem darstellt. Die Schwachstellen liegen häufig in anderen Bereichen, wie Sie gleich sehen werden.

Aktualität

“Schalten Sie den Computer nicht aus. Es werden Updates installiert.” Wer kennt diese Anzeige nicht aus dem (Betriebs-) Alltag? Allerdings bemerkt man häufig keine Änderungen nach dem Update. Dabei darf man nicht vergessen, dass im Hintergrund eventuell Sicherheitslücken geschlossen wurden. Updates sind absolut wichtig und sinnvoll. Nicht sinnvoll ist es dagegen, Jahrzehnte lang auf das gleiche ERP-System zu setzen und aus Kostengründen auf die Softwarepflege zu verzichten. Alte Technologien erleichtern den Angriff enorm.

Also: Fahren Sie regelmäßige Updates und führen Sie zur richtigen Zeit auch mal ein Upgrade und damit einen Aufstieg auf die neueste Version eines Systems durch. Aktuell bieten wir dazu den Service “anaptis NAVFixUp” und damit ein Upgrade zum Festpreis auf die neueste Version Microsoft Dynamics 365 Business Central an.

Vernetzung/Verschlüsselung

In der Zeit der digitalen Plattformen spielt die Vernetzung eine immer wichtigere Rolle. Sei es zu diversen E-Commerce-Shops oder zu Geschäftspartnern, Lieferanten oder Kunden. Dabei ist es stets wichtig, die aktuellste Verschlüsselungstechnologie, wie aktuell das Protokoll HTTPS zum Verbindungsaufbau zu nutzen. Andernfalls erleichtern Sie einen Datendiebstahl.

Angriffspunkt: Mensch

Die andere große Schwachstelle ist der Mensch. Sicherheitskonzepte und technische Maßnahmen können noch so ausgeklügelt sein. Wenn der Endanwender Fehler macht, nutzen auch diese nicht mehr viel. Häufig liegt der Fehler beim Mitarbeiter in einer fehlenden Kenntnis über sensible Schwachstellen.

E-Mail-Anhänge

Fake-E-Mails sehen häufig täuschend echt aus. Öffnet man den Anhang, verbergen sich häufig Viren dahinter. Wie sensibilisiert man seine Mitarbeiter für das Thema? Regelmäßige IT-Schulungen sind eine beispielhafte Maßnahme. So frischt man das Thema immer wieder auf. Unter Mitarbeitern fällt hier auch die Management-Ebene.

Passwörter

Um Passwörtern wie “123456” zu entgehen, die schlimmstenfalls bei allen Logins genutzt werden, empfehlen wir außerdem einen Passwort-Manager inkl. Zwei-Faktor-Authentifizierung. So verwalten Sie Ihre Passwörter über ein Master-Passwort und sichern dies noch bestmöglich.

Surfen im Web

Bei dem Verbindungsaufbau per Laptop oder Firmenhandy, beispielsweise aus dem Home Office oder von einer Dienstreise, ist außerdem auf eine sichere Verbindung zu achten. (siehe oben “Vernetzung/Verschlüsselung”)

Systemzugriff

Einige Einstellungen sollen für die meisten Mitarbeiter unangetastet bleiben? Grenzen Sie den Systemzugriff ein.

Was jetzt?

Verschaffen Sie sich einen Überblick über den Status Quo zum Thema IT-Sicherheit in Ihrem Unternehmen und identifizieren Sie Schwachstellen, wie auch Handlungsempfehlungen. Prüfen Sie Ihr ERP-System, Ihre Firewall und Ihr Betriebssystem auf Updates und überlegen Sie auch, ob es mal wieder Zeit für ein Upgrade ist. Es gilt, neue Mitarbeiter von Anfang an für die IT-Sicherheit zu sensibilisieren. Am besten nehmen Sie schon Handlungsregelungen in Verträge auf.

Wir beraten Sie gerne zu dem Thema.


Quellen

¹ vgl. Bundeskriminalamt. (11. November 2019). Schäden durch Cyberkriminalität in Deutschland von 2006 bis 2018 (in Millionen Euro). In Statista. Zugriff am 27. November 2019, von https://de.statista.com/statistik/daten/studie/193207/umfrage/finanzielle-schaeden-durch-cyberkriminalitaet-in-deutschland/ 

² vgl. VDE. (1. April 2019). Informationssicherheit: Welche der folgenden Aussage treffen Ihrer Meinung nach eher zu? In Statista. Zugriff am 27. November 2019, von https://de.statista.com/statistik/daten/studie/1013705/umfrage/umfrage-zu-den-einschaetzungen-von-informationssicherheit-in-deutschland/