Die Log4Shell Krise hat es ins Bewusstsein gehoben: Unternehmen müssen mehr und verstärkt um die ERP Security kümmern. ERP Software ist heute nur noch ein Teil eines stark vernetzten Informationssystems, das mehr und mehr in die Cloud verlagert wird. Gleichzeitig nehmen Angriffe aller Art auf diese Strukturen zu.
Ansteigende Security Anforderungen für ERP Systeme
Wenn es zum Thema Security kommt, weisen Experten darauf hin, dass die Absicherung von ERP-Systemen nicht automatisch mit allgemeiner IT-Sicherheit gleichzusetzen ist. Oft sind spezifischen Schwachstellen von ERP-Systemen zu beachten.
Gleichzeitig gehen diese Experten davon aus, dass die Angriffe auf ERP-Installationen stark zunimmt, was nicht zuletzt mit der zunehmenden Verlagerung der Businesssoftware in die Cloud zu tun hat.
Als Beschleuniger darf darüber hinaus die Covid-19 Pandemie angesehen werden. Die breite Verlegung von vielen Arbeitsplätzen in das Homeoffice, hat viele Unternehmen gezwungen, neue Strukturen zu etablieren, die oft anfällig für Cyber-Kriminalität sind.
Ansteigende Lernkurve der Angreifer
Noch vor einiger Zeit haben sich Angreifer auf die Schwachstellen der IT-Infrastruktur konzentriert. Die Cyberangriffe wurden zunehmend automatisiert und das entsprechende Know-how in Tools und Information für den „Markt“ zur Verfügung gestellt.
Zunehmend werden nun auch die Möglichkeiten bekannt und verbreitet, die Einfallstore der ERP und anderer Businesssoftware zu nutzen. Die zunehmende Vernetzung und Integration weit verteilter Systeme unterschiedlicher Teilnehmer scheint dafür ideal geeignet zu sein. Die zunehmende Dialogfähigkeit der Systeme sind dabei Fluch und Segen zugleich. Aus Security Sicht oftmals mehr Fluch als Segen.
Security Know-how der Administratoren
Die ERP-Sicherheit wir speziell für mittelständische Unternehmen ein Personal abhängiges Problem. Die für IT-Security verantwortlichen Personen verfügen oft nicht über die nötigen Kenntnisse über ERP-Systeme. Früher hat es gereicht, sich um die Abschottung der Infrastruktur zu kümmern und die Entstehung von Schatten-IT im Unternehmen zu verhindern. Heute liegt zunehmen die Gefahr in der Businesssoftware selbst. Um hierbei agieren zu können, ist allerdings über detailliertes Wissen über die Funktionen der ERP Softwarelandschaft gefragt.
Gleichzeitig sind ERP Administratoren oft nicht über die Belange der IT-Sicherheit aufgeklärt. Manchmal operieren die entsprechenden Abteilungen völlig parallel. Solche Strukturen laden Angreifer gerade dazu eine entstehende Lücke zu suchen und zu nutzen.
Vielschichtige Sicherheitsanforderungen
Der Mix an Wissen, der bei einer integrierten Security Strategie herangezogen werden muss, ist herausfordernd. Man benötigt Know-how bezüglich ERP Datenbanken und deren anwendungsspezifischen Besonderheiten. Wissen über die verschiedenen Möglichkeiten der Integration von verschiedenen Anwendungen bis zu Web- und Cloudservices ist ebenso gefragt.
ERP-spezifische Sicherheitsmaßnahmen umfassen häufig die Kontrolle des Benutzerzugriffs. Dabei geht es um mehr als nur die Benutzerverwaltung. Die Anforderungen der Security an ERP-Systeme ist aufgrund der Integration mit anderen Systemen oder Anwendungen auch hierfür immer komplexer geworden sind.
Das Cloud Security Paradox
Die Integration ist allerdings nicht der einzige Grund für die Komplexität. Das Wachstum des elektronischen Handels und der Wunsch der Anbieter, ERP-Kunden in die Cloud zu migrieren, sind ebenfalls Treiber von vielschichtigen und schwer zu kontrollierenden Strukturen.
Dabei hat sich aber mehr und mehr eine Erkenntnis durchgesetzt: Die Migration eines ERP System in die Cloud macht ein solches System nicht unbedingt unsicherer, sondern im Gegenteil sicherer. Cloud-Anbieter können besser mit der Security Anforderungen umgehen als deren Kunden. Dies ist trifft dann in besonderen Maße zu, wenn es spezialisierte Cloud Provider sind, die als Service nicht nur eine Art erweitertes Hosting, sondern auch Applikations- Know-how zur Verfügung stellen.