Magdalena Gajewski Strategie-Markt Digitalisierung, ERP System, ERP der Zukunft

Von wegen „Safety first!“ – Höchste Zeit für smarte Strategien gegen Sicherheitslücken im ERP-Umfeld

Wenn Daten der Schatz jedes Unternehmens sind, stellt sich eine Frage: Wieso wurde bisher im ERP-Umfeld nur wenig unternommen, um die digitalen Kronjuwelen gegen Missbrauch zu schützen? Zeit für eine Trendwende. Das Gemeinschaftsprojekt DeepScan verfolgt das Ziel einer Gefahrenabwehr in der virtuellen Welt.

Wer Verantwortung für ein Industrieunternehmen trägt, achtet in der Regel darauf, dass das Werktor nach Feierabend abgeschlossen und das Lager gegen Einbrüche und Diebstähle gesichert ist. Wahrscheinlich hat jeder eine konkrete Vorstellung davon, wie geeignete Sicherheitsmaßnahmen für das Kerngeschäft in der realen Welt auszusehen haben.

Ganz anders die Situation in der virtuellen Welt: Bislang bildete das ERP-System ein wenig beachtetes Einfallstor für Hacker und Mitarbeiter mit üblen Absichten. Dabei kommt dem ERP-System eigentlich in puncto IT-Sicherheit eine besondere Bedeutung zu. Immerhin führt es als virtuelle Abbildung des gesamten Unternehmens sämtliche Daten zusammen.

Die Sicherheit eines ERP-Systems wurde bislang vor allem durch das Rechtemanagement geregelt. Das Problem daran: Ein erheblicher Teil der internen Bedrohungen lässt sich dadurch nicht entkräften. Nicht minder brisant wird die Gefährdungslage, sobald ein Hacker von außen die virtuelle Türschwelle überschreitet und die Schwachstellen in der Systemarchitektur erkennt und ausnutzt. Bleibt die Frage, wo ein Unternehmen am besten ansetzen sollte, um eine wirksame Sicherheitsstrategie umzusetzen.

IT-Security ist auch eine Frage der Unternehmenskultur

In einem ersten Schritt ist es daher ratsam, dass sich Unternehmen kulturell mit dem Thema auseinandersetzen. Die Mitarbeiter sollten Sicherheitsrisiken erkennen und einschätzen können. Denn nicht immer ist ein Hackerangriff die Gefahrenquelle schlechthin, vielfach reicht bereits der unbedarfte Export von Daten in Office-Tools. Und in manchen Fällen missbrauchen oder manipulieren die eigenen Mitarbeiter Unternehmensdaten zu ihren eigenen Gunsten. Bislang wurden illegale Zugriffe auf Unternehmensdaten erst entdeckt, wenn der Schaden längst entstanden ist. Hier zeigt sich der dringende Bedarf nach Sicherheitstools, mit denen sich Gefahren in Echtzeit erkennen lassen.

Smarte Automatisierung als entscheidender Sicherheitsfaktor

Bei vielen Computersystemen schlagen Virenscanner Alarm, sobald eine verdächtige Datei auftaucht; bei ERP-Systemen gibt es jedoch nichts Vergleichbares. Zwar werden ungewöhnliche Aktionen in sehr umfangreichen Protokolldateien erfasst, aber den Nutzern fehlt zurzeit noch die Möglichkeit, diese in Echtzeit zu bemerken und bei Bedarf zu intervenieren. Im Kern geht es darum, Anomalien rechtzeitig zu erkennen und durch den Administrator bewerten zu lassen.

Vor diesem Hintergrund arbeiten wir momentan an zusätzlichen Sicherheitsmaßnahmen für unsere Kunden. In unserem Forschungsprojekt DeepScan mit der Universität Würzburg entwickeln wir einen Machine-Learning-Mechanismus, um Missbrauchsfälle in Echtzeit erkennen zu können. Ziel ist es, eine allgemeingültige und adaptierbare Scanning-Architektur zu schaffen, mit der sich Unregelmäßigkeiten innerhalb des Systems und Hackerangriffe auf ERP-Datenbanken in Echtzeit erkennen und verhindern lassen.

Anwender wollen souverän entscheiden

Eine weitere zentrale Frage betrifft die Kontrolle über die IT-Plattform, auf der das ERP läuft. Moderne ERP-Lösungen wandeln sich dank Industrie 4.0 immer mehr zur Business-Plattform. Aus diesem Grund bieten wir bei godesys unseren Kunden sowohl Cloud-Lösungen als auch On-Premise langfristig an. Hierbei geht es nicht zuletzt um die ethische Frage, ob ein Softwareanbieter mit seinen Kunden partnerschaftlich umgeht, ob er deren Datenhoheit akzeptiert oder auf Lock-In-Effekte und zunehmend intransparente Erlösmodelle sowie die vermeintliche Strahlkraft seines eigenen Namens setzt.

Doch aufgepasst: Mittelständische Betriebe haben ein feines Gespür dafür, wenn jemand versucht, sie zu entmündigen und reagieren allergisch auf derlei Tendenzen. Und für ERP-Entwickler gilt dasselbe wie für Marktanbieter aller anderen Branchen auch: Wer seine Kunden nicht versteht, weicht die Basis seines eigenen Geschäftsmodells bedrohlich auf.

Weitere Informationen

    Keine Kommentare gefunden!
    -->