Sicherheitsstrategie im ERP-Betrieb und Schutzmaßnahmen
Absichern! Aufspüren! Abwehren!
Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.
Bild: BTC Business Technology Consulting AGFür gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark.
Bild: BTC Business Technology Consulting AG
Bild: BTC Business Technology Consulting AGPenetrationstests durch Ethical Hacker
Neben dem auf ein bestimmtes ERP-System bzw. auf eine Anwendungslandschaft fokussierten Sicherheitscheck stellt die Durchführung von Penetrationstests ein geeignetes Verfahren dar, um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zu verschaffen, ob die eigenen technischen und organisatorischen Sicherheitsmaßnahmen wirksam sind. In diesen Überprüfungen helfen Fachleute, die z.B. nach den Vorgaben des EC-Councils als Ethical Hacker zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten. Frei nach dem Motto 'Handeln bevor es andere tun' werden Vorgehen und Technik krimineller Hacker nachgeahmt, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich zum Einfallstor für böswillige Hacker werden. Solche Penetrationstests beachten insbesondere, dass Hacker typischerweise nicht ausschließlich technische Schwachstellen in der Infrastruktur nutzen, um in ein System einzudringen. Oftmals leichter als der technische Einstieg in das Netz, fällt es Angreifern im Umfeld der Firmenmitarbeiter das 'Sesam-öffne-dich' aufzuspüren. Geduldig werden im Rahmen von Social Engineering Informationen gesammelt, E-Mail-Strukturen untersucht und das Kommunikationsverhalten für Phishing-Mails analysiert. Auch USB-Sticks, die harmlos im Büro herumliegen und unbedacht von Mitarbeitern genutzt werden, sind ein probates Mittel Späher-Software einzuschleusen. Mit Hilfe eines so erbeuteten Passworts verschaffen sich die Angreifer zunächst Zugriff auf das Firmennetz und durch das Ausnutzen von Schwachstellen anschließend auf das ERP-System. Ethical Hacker decken mit ihren Penetrationstests nicht nur auf, welche Lücken die Sicherheitsarchitektur aufweist, sie stellen auch fest, ob das Unternehmen bereits unerwünschten Besuch hatte. Sie prüfen, ob der 'Besucher' Spuren hinterlassen hat und ob Daten abgezogen wurden. Am Ende des Penetrationstests fließen die Erkenntnisse der Sicherheits-Spezialisten mit den Resultaten aus technischen Überprüfungen in einen Bericht mit Empfehlungen, auf welchem Weg sich das Sicherheitsniveau verbessern lässt. Die Auswertung der in Unternehmen durchgeführten Sicherheitschecks weisen häufig auf kleinere technische und organisatorische Unzulänglichkeiten hin, die den Cyberkriminellen das Leben erleichtern.
Bild: BTC Business Technology Consulting AGDie Klassiker unter den Angriffsvektoren
Typische Beispiele sind ein nicht eingespielter Security-Patch, unsauber definierte Berechtigungen und Zuständigkeiten für Prozesse und Systeme (fehlendes Vier-Augen-Prinzip) oder Nutzung schwacher Passwörter. Auch werden unternehmenskritische ERP-Produktionssysteme häufig mit weniger wichtigen Büro-Servern in einem gemeinsamen Netzwerkabschnitt betrieben. Zu den Klassikern der organisatorischen Unzulänglichkeiten zählt etwa, dass einmal eingerichtete Berechtigungen und Gruppenkennungen bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden. Die (gar nicht so) amüsante Konsequenz: Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, verfügen in vielen Unternehmen über die meisten Zugriffsrechte. Mitunter sind es aber auch betriebliche Gegebenheiten, die dem Beseitigen einer registrierten Verwundbarkeit im Wege stehen. In einem 24x7-Produktivbetrieb ist mitunter keine Zeit für ein Wartungsfenster verfügbar, um die unterstützenden ERP-Systeme mit den jüngsten Security-Patches auszustatten. Oder eine funktionale Erweiterung wird trotz Verstoßes gegen die Sicherheitsarchitektur geduldet, da niemand den hierdurch generierten Prozessgewinn missen möchte. In diesen Fällen müssen Unternehmen eine Risiko-Abwägung vornehmen und gleichzeitig korrespondierende Sicherheitsmaßnahmen einleiten.
Bild: BTC Business Technology Consulting AGAngriffe erkennen und abwehren
Ein Lösungsansatz sind sogenannte SIEM-Verfahren (Security Information and Event Management), mit deren Hilfe sich Angriffe zeitnah identifizieren lassen. Dazu werden Log-Daten aus verschiedenen System-Quellen (Netzwerke, Server, Datenbanken etc.) im ERP-Umfeld gesammelt und anhand vordefinierter Regelwerke in Beziehung gesetzt. Aktuelle auf In-Memory-Technologie fußende Systeme sind heute in der Lage, die Datenströme nahezu in Echtzeit auszuwerten und mit bekannten Angriffsmustern abzugleichen. Sie erkennen einen Identitätsdiebstahl, da sich ein Nutzer von verschiedenen Orten anmeldet, um Buchungen vorzunehmen. Oder sie registrieren, wenn ungewöhnlich umfangreiche Transaktionen durch Nutzer auf eine unberechtigte Kopie sensibler Unternehmensdaten hindeuten. Innovative Entwicklungen auf Grundlage von künstlicher Intelligenz bzw. Machine-Learning-Techniken gehen im Bereich des Monitorings noch einen Schritt weiter und können selbst unbekannte Attacken in den Daten erkennen. Die KI-basierten Verfahren lernen vereinfacht formuliert anhand der überwachten Datenströme den Normalzustand von Prozessen und Systemen kennen, um bei Abweichungen direkt Alarm zu schlagen.
Hundertprozentiger Schutz ist unerreichbar
Einen vollständigen Schutz gegen Cyber-Attacken kann und wird es in der IT nie geben. Die digitale Transformation und globale Erreichbarkeit über das Internet bringt es zudem mit sich, dass auch der ERP-Anwendungsbetrieb stets als Teil eines umfassenden IT-Sicherheitskonzeptes zu betrachten ist. Ein wichtiger Baustein bildet die Fähigkeit, eine Bedrohungslage korrekt einschätzen sowie Angriffe zeitnah identifizieren zu können. Zugleich ist es empfehlenswert in unregelmäßigen Abständen (Penetrations-)Tests durch Ethical Hacker durchzuführen, um das reale Schutzniveau zu bewerten. n @WK Kontakt:www.btc-ag.com
Cyber-Angriffe auf die Unternehmens-IT finden immer wieder statt. ERP-Umgebungen als Angriffsziel bilden hier keine Ausnahme. Die zunehmende Vernetzung und das Zusammenspiel von immer mehr Komponenten führen im Ergebnis zu mehr potenziellen Angriffszielen. Mittels geeigneter technischer und organisatorischer Maßnahmen lässt sich gegensteuern.
Bild: BTC Business Technology Consulting AGFür gut acht von zehn Industrieunternehmen hat die Anzahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel sogar stark.Bild: BTC Business Technology Consulting AG
BTC Business Technology Consulting AG
Dieser Artikel erschien in ERP CRM Wissen Kompakt 2018 - 15.12.18.Für weitere Artikel besuchen Sie www.it-production.com
