ERP-Sicherheit im Fokus: So schützen Sie Ihre kritischen Prozesse

Wie eine Studie von Onapsis zeigt, wurden 83 % der DACH-Unternehmen im Jahr 2023 mindestens einmal Opfer eines Ransomware-Angriffs. Bei 62 % dieser Unternehmen führte die Cyberattacke zu einem mindestens 24-stündigen Ausfall des ERP-Systems. 

Angesichts dieser Bedrohungslage sind Firmen gut damit beraten, Ihr Augenmerk verstärkt auf die ERP-Sicherheit zu richten. Wie schaut es damit bei Ihnen aus? Haben Sie bereits ausreichend Maßnahmen ergriffen, um Ihre Software vor Ausfällen zu schützen?
Dieser Beitrag gibt Ihnen einen ersten Anhaltspunkt, wo Sie in Sachen ERP-Security aktuell stehen. Wir zeigen Ihnen, mit welchen internen und externen Gefahren Sie rechnen müssen und welche Sicherheitsvorkehrungen Sie unbedingt treffen sollten.

ERP-Security: Welche Folgen hat ein unzureichender Schutz?

Das ERP-System dient Ihrem Unternehmen als zentrale Daten- und Steuerungsplattform, die sämtliche Geschäftsbereiche miteinander verknüpft. In der Software laufen daher nahezu alle geschäftskritischen Prozesse zusammen – darunter die Finanzbuchhaltung, das Personalwesen sowie das Kunden- und Lieferantenmanagement. Darüber hinaus beherbergt das ERP-System wichtige Stammdaten – etwa von Ansprechpartnern und Lieferanten, aber auch von Stücklisten und Arbeitsplänen.

Gerade weil die ERP-Lösung so tief in alle Abläufe integriert ist, stellt sie einen besonders sensiblen Risikobereich dar. Kommt es im System zu einem Sicherheitsvorfall, kann das für Ihren Betrieb weitreichende Folgen haben:

Unterbrechung kritischer Geschäftsprozesse

Eine Störung oder ein Ausfall im ERP-System kann Ihre Produktion, Logistik und Verwaltung gleichzeitig zum Erliegen bringen. Selbst mit einer guten Recovery-Strategie gelingt es nicht immer, alle Daten hundertprozentig wiederherzustellen. Dieser Umstand geht nicht selten mit Doppelarbeit, Produktionsausfällen und Lieferverzögerungen einher. Finanzielle Verluste sind dann unvermeidbar.

Unbefugter Zugriff auf sensible Daten

ERP-Systeme enthalten vertrauliche Informationen: Finanzzahlen, Personalakten, Kundendaten, Konstruktionspläne und vieles mehr. Ein erfolgreicher Angriff auf die ERP-Software – ganz gleich, ob von einem Innentäter oder einem externen Angreifer – verursacht nicht nur wirtschaftliche Schäden. Er zieht oftmals auch rechtliche Konsequenzen nach sich.

Vertrauensverlust

Lieferausfälle und Datenlecks machen weder bei Kunden und Partnern noch bei Mitarbeitenden einen guten Eindruck. Vernachlässigen Sie die ERP-Sicherheit, müssen Sie mit Reputationsschäden ebenso rechnen wie mit dem Verlust wichtiger Geschäftsbeziehungen.

Verminderte Datenintegrität

Kommt es zu einer Entwendung oder einer Manipulation Ihrer Geschäftsinformationen, führt das zu einer fehlerhaften Datenbasis. Daraus ergeben sich schnell falsche Entscheidungen im Management und Beeinträchtigungen in der Unternehmenssteuerung.

Die ERP-Security ist somit kein reines IT-Thema, sondern ein wesentlicher Bestandteil der Unternehmensstrategie. Entscheidungsträger*innen stehen in der Verantwortung, die Ausfallsicherheit und einwandfreie Funktionalität des ERP-Systems jederzeit zu gewährleisten. Grundlage hierfür ist ein ausgefeiltes ERP-Sicherheitskonzept, das Ihr Unternehmen auf den Ernstfall vorbereitet.

Die ERP-Security ist somit kein reines IT-Thema, sondern ein wesentlicher Bestandteil der Unternehmensstrategie.

Steve Roth, Asseco Solutions

ERP-Sicherheit: Welche Risikofaktoren gibt es?

ERP-Cyberangriffe

ERP-Systeme werden sehr oft zur Zielscheibe von Cyberkriminellen. Schließlich finden die Angreifer dort besonders wertvolle Informationen. Zu den häufigsten ERP-Angriffsszenarien zählen Attacken mit Ransomware. Dabei verschlüsseln die Täter Ihre Daten und machen Ihr Unternehmen dadurch erpressbar. Doch auch Angriffe per Phishing-Mails stehen heutzutage auf der Tagesordnung.

Technische Pannen im ERP

ERP-Systeme sind auf eine stabile IT-Infrastruktur angewiesen. Fällt beispielsweise ein zentraler Server aus, sind kritische Prozesse nicht mehr ausführbar. Dabei muss der Vorfall gar nicht so gravierend sein: Schon ein kleiner Datenbankfehler bringt die ERP-Sicherheit ins Wanken. Denn in diesem Fall lassen sich Bestellungen oder Produktionsaufträge nicht mehr verarbeiten.

Menschliches Versagen

Auch die Unachtsamkeit oder das mangelnde Wissen von Mitarbeitenden kann ein erhebliches ERP-Sicherheitsrisiko darstellen. Eine unsachgemäße Nutzung der Software und Bedienfehler haben sich schon so manches Mal spürbar auf die ganze Prozesskette ausgewirkt.

Mangelnde ERP-Zugriffskontrollen

Wenn Benutzerrechte nicht klar geregelt sind, können Mitarbeitende auf Daten und Funktionen zugreifen, die nicht für sie gedacht sind. Dies erhöht das Risiko von Missbrauch, Manipulation oder unabsichtlichen Änderungen. Besonders gefährdet ist die ERP-Security, wenn ausgeschiedene Mitarbeitende weiterhin Zugang zum System haben.

Risikofaktor	Beispiele	Mögliche Folgen
ERP-Cyberangriffe	Ransomware, Phishing-Mails	Datenverschlüsselung, Erpressung, Datenverlust
Technische Pannen	Serverausfälle, Datenbankfehler,Hardwareprobleme	ERP-Ausfall, Stillstand des gesamten Betriebs, Lieferverzögerungen
Menschliches Versagen	Unachtsamkeit,Bedienfehler, mangelndes Wissen	Fehlerhafte Daten, Prozessstörungen, erhöhte Sicherheitsanfälligkeit
Mangelnde ERP-Zugriffskontrollen	keine klare Regelung und/oder keine zuverlässige Pflege von Zugriffsrechten	Unbefugter Zugriff auf sensible Daten, Compliance-Verstöße, Manipulation

ERP-Security: 10 Tipps für ein sicheres System

Aufgrund der großen Bandbreite an Risikofaktoren ist es für die interne IT-Abteilung eine große Herausforderung, die übergreifende ERP-Security kontinuierlich aufrechtzuerhalten. Damit Ihr Unternehmen auf jegliche Eventualitäten vorbereitet ist, empfehlen wir Ihnen folgende Sicherheitsvorkehrungen:

1. Etablieren Sie eine aktuelle IT-Infrastruktur

Veraltete Infrastrukturen, die seit langer Zeit existieren, stellen für die IT-Sicherheit im ERP-System eine besonders große Gefahr dar. Aufgrund einer mangelnden Update-Fähigkeit weisen sie oftmals bekannte ERP-Sicherheitslücken auf. So haben Angreifer ein leichtes Spiel. 

Moderne Technologien hingegen schützen Sie vor externen Bedrohungen. Die Wahrscheinlichkeit, dass ein aktuelles ERP-System mit aktuellen Sicherheitsmechanismen gehackt wird, ist um ein Vielfaches geringer.

Das Risiko veralteter Systeme hat auch die Heyligenstaedt Werkzeugmaschinen GmbH erkannt. Da die bisherige ERP-Version keine modernen Betriebssysteme und Browser mehr unterstützte, war deren weiterer Betrieb äußerst unsicher. Die Migration auf eine aktuelle APplus-Version erfolgte daher auch aus Sicherheitsgründen:

„Gerade vor dem Hintergrund der heutigen Bedrohungslage durch Hacker und Cyberkriminelle wuchs für uns der Druck zur Migration auf eine moderne Lösung immer stärker an.“ – Andreas Gramm, IT-Leiter bei Heyligenstaedt

Ganzen Anwenderbericht lesen

2. Kümmern Sie sich um ERP-Updates und Wartung

Ist die Infrastruktur auf dem neuesten Stand, sind regelmäßige Aktualisierungen oberstes Gebot. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit in Deutschland mitteilt, kommen jeden Tag durchschnittlich über 300.000 neue Malware-Varianten hinzu. Werden ERP-Updates und Patches nicht zeitnah eingespielt, können Cyberkriminelle Schwachstellen leicht ausnutzen. 

Selbst wenn Sie ausreichend interne Ressourcen haben, geht nichts über einen professionellen Update-Service. Dabei kümmern sich erfahrene Spezialisten kontinuierlich um eine fehlerfreie Software-Aktualisierung, sodass Ihr Aufwand und Risiko deutlich sinken. Genau einen solchen Service bieten die Premiumdienste von Asseco Solutions: Für einen Fixbetrag stellen wir sicher, dass Ihr ERP-System regelmäßig in kurzen Abständen aktualisiert wird. Danach laufen alle Prozesse weiter wie gewohnt – störungsfrei und zuverlässig.

Nicht zuletzt ist eine konsequente Wartung des ERP-Systems wichtig. Dadurch stellen Sie sicher, dass Schnittstellen, Datenbanken und Serverumgebungen reibungslos funktionieren. Auf diese Weise bewahren Sie die Zuverlässigkeit des ERP-Betriebs und damit die Handlungsfähigkeit Ihres Unternehmens.

3. Etablieren Sie Zugriffskontrollen im ERP-System

Selbst wenn Sie Maßnahmen gegen offensive Cyberattacken ergriffen haben, können sich Hacker immer noch auf Umwegen Zugriffsberechtigungen verschaffen. Moderne Verschlüsselungsmethoden und ein durchdachtes Zugriffsmanagement sind daher ebenfalls wichtige Bestandteile der ERP-Sicherheit. Beim Zero-Trust-Prinzip beispielsweise erhält keiner Ihrer Mitarbeitenden automatischen Zugriff auf Dateien. Stattdessen muss jeder einzelne Zugriff authentifiziert werden.

Darüber hinaus ist es wichtig, das Rechte- und Rollenkonzept im ERP-System regelmäßig zu prüfen. Ausscheidenden Mitarbeitenden etwa sollten Sie zeitnah die Zugriffsrechte entziehen.

4. Setzen Sie auf ERP-Zertifizierungen

Mit dem Erwerb einer zertifizierten Lösung gehen Sie auf Nummer sicher, dass die Software auf Basis anerkannter Sicherheitsstandards entwickelt wurde. Elementare Anforderungen zum Datenschutz sind genauso erfüllt wie die Ausfallsicherheit des ERP-Systems. Zudem stärken Zertifizierungen das Vertrauen von Kunden und Behörden, da die Einhaltung international anerkannter Normen nachweisbar ist. APplus ist beispielsweise nach dem Informationssicherheitsstandard ISO 27001 zertifiziert.

5. Achten Sie auf einen sicheren ERP-Fernzugriff

Vorbei sind die Zeiten, in denen Ihre Angestellten das ERP-System nur auf einem stationären PC im Büro genutzt haben. Heutzutage kommt die Software verstärkt im Außendienst oder im Home-Office auf mobilen Endgeräten zum Einsatz. Daher ist es wichtig, die ERP-Cybersecurity auch unterwegs zu garantieren.

Mit folgenden Maßnahmen sollten Sie den ERP-Fernzugriff absichern:

• Eine verschlüsselte und mit Multi-Faktor-Authentifizierung (MFA) abgesicherte VPN-Verbindung verringert das Risiko, dass sich Cyberkriminelle über ein gestohlenes Passwort Zugriff auf Ihr Netzwerk, Ihre Daten und das ERP-System verschaffen.
• Audit Trails helfen dabei, sämtliche Aktivitäten zu protokollieren und verdächtige Vorgänge schnell zu erkennen.

6. Schulen Sie Ihre Mitarbeitenden

Die sicherste Software kann keinen ausreichenden Schutz bieten, wenn die Nutzer*innen die Sicherheitsmechanismen unbewusst aushebeln. Verwenden Mitarbeitende unsichere Passwörter oder öffnen sie Phishing-Mails, ist die Cybersecurity im ERP-System ernsthaft gefährdet. 

Durch gezielte Schulungen lernen Angestellte, Risiken frühzeitig zu erkennen. Sie entwickeln ein Bewusstsein dafür, dass jede*r einzelne eine Verantwortung für die ERP-Sicherheit trägt. So wird die menschliche Schwachstelle zu einer aktiven Verteidigungslinie im Sicherheitskonzept des Unternehmens.

7. Entwickeln Sie eine ERP-Backup-Strategie 

Backups sind immens wichtig, um Ausfällen und langfristigen Schäden vorzubeugen. Werden Ihre Daten durch Ransomware im ERP-System verschlüsselt oder erleiden Sie anderweitig einen Datenverlust, können Sie die Informationen zügig wiederherstellen. Auf diese Weise sichern Sie Ihre geschäftskritischen Prozesse ab und können Ihren Betrieb unterbrechungsfrei fortsetzen.

Achten Sie jedoch darauf, Ihre Backups nicht am gleichen Ort zu verwahren, an dem sich auch die Daten Ihres Live-ERP-Systems befinden. So sind Sie auch bei physischen Gefahren abgesichert, etwa im Falle einer Überflutung oder eines Feuers.

8. Wägen Sie zwischen On Premise und Private Cloud ab

Nutzen Sie eine On-Premise-Lösung, sind alle Daten lokal in Ihrem Rechenzentrum gespeichert. Der Vorteil: Durch den Abruf der Daten im Firmennetzwerk sind Ihre Informationen vor externen Angriffen geschützt. Hierfür benötigen Sie allerdings die notwendige Expertise im Bereich Datenschutz und Zugriffsrechte. 

Sollten Sie nicht über das notwendige Know-how verfügen, bietet sich eine Private Cloud an. Ihr ERP-System und die Backups werden dann von erfahrenen Anbietern in der Cloud gehostet. Dabei überwachen spezialisierte Fachleute und topaktuelle Sicherheitsmechanismen die ERP-Security rund um die Uhr. Sie selbst müssen also kein eigenes Fachpersonal im Haus haben.

Wägen Sie also gut ab, welches Modell am besten zu Ihrem Unternehmen passt. 

9. Führen Sie regelmäßige ERP-Sicherheits-Checks durch

Um die IT-Risiken im ERP-System zu minimieren, sollten Sie die Software kontinuierlich auf mögliche Problemquellen oder Sicherheitslücken scannen. Haben Sie hierfür interne Kapazitäten, können Sie häufige Angriffspunkte oder bekannte Sicherheitslecks eigenhändig beseitigen. Doch auch spezielle Software kann Datenbankschwachstellen per Scan erkennen und aufzeigen.

10. Sparen Sie nicht an der falschen Stelle

Die Datensicherheit sollte Ihnen einiges wert sein. Ist Ihr System erst einmal kompromittiert, kommen erhebliche Zeit- und Kostenaufwände für die ERP-Wiederherstellung auf Sie zu. Planen Sie daher für Ihre Sicherheitsstrategie ein festes Budget ein, um böse Überraschungen zu vermeiden. Die Investitionen zahlen sich im Ernstfall doppelt und dreifach aus.

Fazit: ERP-Security sichert Ihre Handlungsfähigkeit 

Die ERP-Sicherheit ist ein geschäftskritischer Faktor, den Sie nicht unterschätzen dürfen. Cyberangriffe, technische Pannen und menschliche Fehler können schnell zu Systemausfällen führen und Ihren gesamten Betrieb lahmlegen. Das wiederum wirkt sich negativ auf Ihre Wettbewerbsfähigkeit aus.

Um die ERP-Security jederzeit aufrechtzuerhalten, benötigen Sie eine durchdachte Sicherheitsstrategie. Diese sollte technologische und menschliche Aspekte gleichermaßen berücksichtigen. Besonders wichtig ist ein modernes ERP-System, das alle aktuellen Sicherheitsanforderungen erfüllt und automatisierte Schutzmechanismen bietet.

Wer in seine ERP-Sicherheit investiert, schützt nicht nur seine geschäftskritischen Prozesse, sondern auch seine Handlungsfähigkeit. Am Ende gilt: Prävention ist günstiger und nachhaltiger als jede Notfallmaßnahme.