Pressemitteilung

ERP-Interview mit BWS-IT Security: ERP security

Um was geht es in diesem Beitrag:

Lesen sie hier den Beitrag:

ERP-Interview mit BWS-IT Security: ERP security

Noèl Funke hat der Redaktion unter Leitung von Matthias Weber ein Interview zum Thema ERP security gegeben. Das Interview liefert spannende Einblicke in die Sicherheit von ERP-Systemen. Das Interview zeigt, fehlende ERP-Sicherheit kann auch enorme finanziellen Schäden nach sich ziehen. Oft sitzt der Angreifer gar nicht außerhalb des Unternehmens.

5 Fragen an BWS-IT Security zum Thema ERP security

Auf unsere 5 Fragen zum Thema ERP security gibt uns Noèl Funke, Bereichsleiter/CISO der Sparte BWS IT-Security Consulting, Antworten.

Frage 1: Welche Schäden können Hacker in ERP-Systemen anrichten?

Zu den direkten Schäden gehören natürlich Datendiebstahl und -korruption.

Dazu kommen die sekundären Schäden, die den Unternehmenserfolg massiv gefährden: Werden personenbezogene Daten zu Bank- oder Kreditkartenkonten gehackt, erleidet das betroffene Unternehmen einen immensen Reputationsschaden. Gehen geheime Daten aus der Entwicklung verloren, sind Produktnachahmungen vorprogrammiert. Außerdem sind Fertigungsausfälle möglich, wenn interne Systeme durch fremden Eingriff lahmliegen.

Was vielen Unternehmen immer noch nicht bewusst ist: Der indirekte finanzielle Schaden durch einen Hackerangriff verschärft sich noch ab Mai 2018: Dann tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die extrem hohe Bußgelder für Datenschutzverletzungen bei personenbezogenen Daten vorsieht. Derzeit gibt es für Datenschutzverletzungen im Einzelfall schon Strafen bis zu 300.000 Euro. Ab 2018, mit der neuen DSGVO,  erhöhen sich diese deutlich auf bis zu 20 Millionen oder 4 % vom Jahresumsatz. Außerdem sind mehr Details mit Strafen bewährt als bisher.

Im Endeffekt stehen also nicht nur die technischen Schäden am ERP-System im Fokus, sondern auch die sich daraus ergebenen wirtschaftlichen Nachteile für das Unternehmen.

Frage 2: Welche Angriffspunkte bietet eine ERP-Software überhaupt aus Ihrer Sicht?

Wie bei jeder anderen Software ist die Datenbank ein beliebtes Hacker-Ziel. Häufiges Einfallstor bei webbasierten Lösungen ist natürlich die Web-Oberfläche. Außerdem kann ein unzureichend abgesichertes Firmennetz mit veralteter Firewall und nicht aktuellem Virenscanner einen Angriffspunkt bieten und u.a. Spear-Phishing ermöglichen.

Was viele gern vergessen: Auch der einzelne Mitarbeiter kann unfreiwillig zum Handlanger des Hackers werden! Die Erfahrung zeigt, dass dieses Szenario häufiger vorkommt, als man glaubt – sei es durch den Besuch unsicherer Webseiten am Arbeitsplatz, unbedachte Klicks auf E-Mail-Anhänge oder unvorsichtige Nutzung des privaten Smartphones für Firmenzwecke, z.B. mit unverschlüsseltem Zugang zum Firmennetzwerk. Wer seine Mitarbeiter also in puncto Datensicherheit sensibilisiert, hat schon viel gewonnen. Bei Gesprächen auf der CeBIT hat sich immer wieder gezeigt, dass die Schulung und Aufklärung der Mitarbeiter aktuell eines der Top-Themen in den Sicherheitsabteilungen ist.

Frage 3: Welches Betriebsmodell für ERP-Software halten Sie für sicherer? Private Cloud oder Public Cloud?

Sicherer ist die Private Cloud – allerdings nur, wenn man wirklich viel Geld in die Hand nimmt, ein optimales Sicherheitskonzept für Hard- und Software entwickelt und agil an die ständig wachsenden Sicherheitsanforderungen anpasst bzw. mögliche Lücken sofort stopft. Erfahrungsgemäß haben nur große Unternehmen die hierfür notwenige Manpower bzw. das erforderliche Budget.

Für KMUs empfehle ich die Public Cloud, denn die Rechenzentren der Cloud-Betreiber sind viel besser abgesichert als die von kleinen Mittelständlern. Trotzdem gilt es auch hier, die Spreu vom Weizen zu trennen: Bevor man sich an einen Cloud-Anbieter bindet, sollte man dessen Sicherheitsstandards und Zertifizierungen durchleuchten. Einen guten Rahmen hierfür bietet der „Anforderungskatalog Cloud Computing“ des Bundesamtes für Sicherheit in der Informationstechnik.

Frage 4: Welche Tipps geben Sie Unternehmen, die Ihre ERP-Software sicherer machen wollen?

  1. Erfassen Sie den Ist-Stand Ihrer IT-Sicherheit, um zu analysieren, wo potenzielle Sicherheitslücken bestehen.
    Meine Erfahrung zeigt, dass nur wenige Unternehmen einen Überblick darüber haben, wie sie eigentlich aufgestellt sind. Darum ist dieser Punkt besonders wichtig!
  2. Definieren Sie Schutzziele und geeignete Maßnahmen, um diese Ziele zu erreichen.
    Sorgen Sie für eine geeignete Absicherung Ihrer Infrastruktur durch Firewall und Virenschutz!
  3. Sensibilisieren Sie Ihre Mitarbeiter für das Thema IT-Sicherheit.
    Hier sind Schulungen das Mittel der Wahl. Falls Sie die Schulungen intern nicht leisten können, können Sie auch einen externen Security-Trainer engagieren.
  4. Ziehen Sie einen Experten hinzu, falls intern das Knowhow fehlt.
    Die Kosten für einen Sicherheitsberater betragen oft nur einen Bruchteil der Kosten, die bei einem tatsächlichen Schaden anfallen. Trotzdem zögern viele Unternehmen, sich von Externen Unterstützung zu holen. Von Einigen erhalte ich den Hilferuf erst, wenn es schon zu spät ist.
  5. Kümmern Sie sich jetzt um die Implementierung einer Strategie zur Einhaltung der EU-Datenschutz-Grundverordnung.
    Die Verordnung betrifft jeden Betrieb, der mit personenbezogenen Daten hantiert und konfrontiert die Unternehmen mit strengen Informationspflichten. Bei Nichteinhaltung drohen empfindliche Strafen. Wer die Vorgaben gewissenhaft erfüllen möchte, braucht ein vernünftiges Datenschutzmanagementsystem  – was natürlich in Folge auch die ERP-Software systematisch sicherer macht.

Frage 5: Welche Lösungen gibt es für mehr Sicherheit von ERP-Systemen und ERP-Daten?

Penetrationstests können den Weg für mehr Sicherheit ebnen: Dabei schlüpfen IT-Experten in die Rolle des Hackers, um ein ERP-System auf Schwachstellen zu überprüfen, und schreiben einen ausführlichen Bericht. Im Anschluss kam man Schwarz auf Weiß nachlesen, an welchen Stellen man nachbessern muss, um die IT-Infrastruktur vor echten Angriffen zu schützen.

Generell gilt: Lösungen, die webbasiert sind, sind immer sicherheitskritisch. Insofern raten einige Experten, auf webbasierte Lösungen zu verzichten. Doch das lässt sich in der Praxis kaum realisieren.


Das Interview wurde schriftlich mit Noèl Funke, Bereichsleiter/CISO der Sparte BWS IT-Security Consulting, geführt. Über Noèl Funke:

Noèl Funke Bereichsleiter/CISO der Sparte BWS IT-Security Consulting
Noèl Funke

Das Bildmaterial wurde von BWS IT-Security Consulting zur Verfügung gestellt.

Transparenzhinweise zum Beitrag:

Noèl Funke ist seit acht Jahren für die BWS Automotive Consulting GmbH tätig. Seit 2015 ist er Bereichsleiter/CISO der Sparte BWS IT-Security Consulting. Der studierte Informatiker ist IRCA Lead Auditor ISO/IEC 27001 und zertifizierter Datenschutzbeauftragter. Mit BWS IT-Security Consulting ist er Organisator der IT-Security-Convention LeetCon und viel gefragter Speaker zu Security-Themen im deutschsprachigen Raum.

BWS-IT Security ist auf professionelles Informationssicherheits-, Risiko- und Compliance-Management spezialisiert und berät Unternehmen u.a. hinsichtlich der neuen EU-Datenschutz-Grundverordnung. Darüber hinaus bietet das Unternehmen Fortbildungen für Datenschutzbeauftragte, IT-Verantwortliche und interne Revisoren an. Zum 80-köpfigen Team, das sich über drei Standorte in Deutschland verteilt, gehören zertifizierte Sicherheits- und Datenschutzexperten, Softwarespezialisten, Trainer und Analysten.

weitere Beiträge zum Thema: