Aktualisiert: 14. Juni 2022
7 min.
Haufe Redaktion Mittelstand Cloud ERP Datensicherheit & DatenschutzAufgrund ihrer Komplexität sind ERP-Systeme technologische Knotenpunkte für geschäftskritische Unternehmensdaten. ERP-Security zielt darauf ab, Ihre Geschäftsprozesse wirkungsvoll zu schützen. Maßnahmen gegen Cyberangriffe haben höchste Priorität. Ebenso wie die DSGVO-Anforderungen sollten Sicherheitskonzepte bereits bei der ERP-Auswahl mitgedacht werden.
Hackerangriffe sind eine reale Bedrohung für deutsche Unternehmen. Die schlechte Nachricht: Die Zahl der Cyberattacken steigt kontinuierlich an. Dem Bundesamt für Informationssicherheit (BSI) zufolge werden die Cyberattacken immer ausgefeilter. Die Forderung des BSI: Bei der Digitalisierung müsse stärker als bisher auf die Informationssicherheit geachtet werden. Für das Jahr 2020 verzeichnete das BSI beispielsweise 144 Millionen neue Schadprogramm-Varianten – durchschnittlich 344.000 neue Schadprogramm-Varianten pro Tag. Längst sind Cyberkriminelle eine echte Gefährdung für die Unternehmen in Deutschland und Europa.
Schon heute verursachen Cyberkriminelle Schäden, die mehr als 100 Milliarden Euro im Jahr überschreiten. Experten gehen von einer hohen Dunkelziffer aus. Betroffen sind längst nicht mehr nur die Big Player ihrer Branchen.
Zielscheibe für Datendiebstähle sind auch kleine und mittlere Unternehmen (KMU). Das BSI sieht gerade hier leichte Opfer für Cyberkriminelle. In der Regel beschäftigen KMU keine dezidierten Sicherheitsteams – vielfach verfügen sie nicht einmal über eine IT-Abteilung. Daraus resultiert nach Ansicht des BSI eine „mangelnde Beurteilungskompetenz für IT-Sicherheit“. Vor diesem Hintergrund sind KMU gegenüber Bedrohungen aus dem Cyberspace besonders anfällig.
Dass es Cyberkriminelle auf ERP-Architekturen abgesehen haben, ist kein Zufall. Vielfach ist es um die ERP-Sicherheit in Unternehmen nicht zum Besten bestellt. Häufig werden Cybersecurity-Maßnahmen zum Schutz der eigenen Infrastruktur schlichtweg nicht umgesetzt. Neben finanziellen Einbußen ist dann der Verlust von Daten oder ganzen Datensätzen bis hin zu Ausfällen zu beklagen. Im schlimmsten Fall sorgt die Beeinträchtigung der Unternehmensprozesse sogar für existenzielle Probleme.
Aufgabe der Cybersicherheit ist es, die Schwachstellen der ERP-Systeme herauszufinden. Grundsätzlich ist davon auszugehen: Mit steigender Nutzerzahl steigen auch die Sicherheitsrisiken. Je größer und komplexer das ERP-System aufgebaut ist, desto mehr Schwachstellen gibt es in der Struktur. Als digitaler Knotenpunkt verfügen ERP-Systeme über eine Vielzahl unterschiedlicher Schnittstellen. Sie sind das informationelle Herzstück im Unternehmen, an dem Informationen zusammenlaufen. Potenziell stellen die Vielzahl der Nutzer und hunderte von Berechtigungsobjekten ein Sicherheitsrisiko dar.
Kern des ERP-Systems ist die Vernetzung der Unternehmensprozesse, sodass Angriffe aus der Hacker-Perspektive besonders lukrativ erscheinen. Der Fachkräftemangel - nicht zuletzt im IT-Bereich - verschärft die Situation zusätzlich. Vielfach bleiben Sicherheitslücken über lange Zeiträume unentdeckt und die Risiken bei der Datenhaltung nehmen zu. Vor dem Hintergrund sensibler Daten ist das von Bedeutung; denn: Im ERP-System sind neben den Daten des Unternehmens auch sensible personenbezogene Informationen gespeichert.
Zum Schutz eines ERP-Systems hat es sich bewährt, geeignete Kontrollen, diverse Sicherheitsmaßnahmen und sichere Abläufe zu etablieren. Ziel aller Maßnahmen ist es, einer potenziellen Bedrohung einen Schritt voraus zu sein. Um diesem Anspruch unternehmensweit gerecht zu werden, ist Transparenz gefragt. Das bedeutet: Alle Beschäftigten müssen über sogenannte Best Practices informiert sein, um dem Risiko von Cyberbedrohungen zu begegnen.
In Anlehnung an die Empfehlungen des BSI sollten Sie das Prinzip Absicherung in Ihrem Unternehmen mit folgenden Maßnahmen angehen:
Der unbedachte und leichtfertige Umgang mit Berechtigungen ist in ERP-Systemen immer wieder zu beobachten. Ein ausgeklügeltes Rechtemanagement sorgt dafür, dass Nutzer exakt die Rechte erhalten, die für die jeweilige Tätigkeit erforderlich sind. Werden dagegen zu viele Berechtigungen erteilt, dann sind Unternehmensinformationen möglicherweise nicht ausreichend vor Angriffen und Missbrauch geschützt. Entsprechende Schulungen sind deswegen auch ein Investment in die Sicherheit des ERP-Systems.
Die Zugriffsberechtigungen sind auch vor dem Hintergrund der Datenschutzgrundverordnung (DSGVO) von Bedeutung. Die datenschutzrechtliche Vorgabe hat den Unternehmen weitreichende Nachweispflichten und Auflagen für personenbezogene Mitarbeiterdaten auferlegt. Kernbestandteile der DSVGO sind:
Um der DSGVO gerecht zu werden, bedarf es strukturierter Abläufe und Prozesse sowie eine lückenlose Dokumentation. ERP-Systeme bieten dazu alle Voraussetzungen, sofern die Zugriffskontrolle über ein Berechtigungskonzept stringent geregelt ist. Nur so sind Unternehmen vor hohen Bußgeldern geschützt. Die maximale Geldbuße liegt bei 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes.
Vor allem für KMU stellen cloudbasierte ERP-Systeme eine attraktive Lösung dar. Allerdings ist die ERP-Software in der Cloud nicht automatisch sicherer als On-Premise-Lösungen. Klar ist aber, dass die etablierten Cloud-Anbieter allesamt über einen hohen Sicherheitsstandard verfügen. Aus Unternehmenssicht ist die Tatsache, dass die Cloud-Anbieter über einen Experten-Pool verfügen, als wesentlicher Vorteil hinsichtlich der Datensicherheit zu verbuchen. Spezialisierte Mitarbeiter kümmern sich um eine einwandfreie Performance, regelmäßige Datensicherungen und Updates. Das entlastet die Unternehmen personell und hinsichtlich der Kosten. Außerdem kommt hinzu, dass die eigene IT von den sehr hohen Sicherheitsstandards der ERP-Anbieter profitiert.
Regelmäßige Aktualisierungen sowie das Einspielen von Patches und Sicherheitsupdates sind eine wesentliche Voraussetzung für die Sicherheit eines ERP-Systems. Das gilt für das die ERP-Anwendungen und -Module ebenso wie für das Betriebssystem, auf dem die Software läuft. Grundsätzlich ist davon auszugehen, dass alle Computerprogramme fehlerhaft sind. Weil die Anbieter dies wissen, versorgen sie ihre ERP-Systeme regelmäßig mit Updates, um erkannte Fehler zu beseitigen und Features nachzureichen.
Wenn der Hersteller seine Software häufig mit Updates versorgt, dann ist das nicht der Nachweis für ein besonders fehleranfälliges ERP-System, sondern vielmehr der Nachweis für intensive Pflege und Wartung. Vor diesem Hintergrund ist auch die Wahl des richtigen ERP-Anbieters eine Frage der ERP-Security.
Langfristige und bedarfsgerechte Informationssicherheit gewährleisten ausgiebige Prüfungen der ERP-Architektur. Damit stellen Sie sicher, dass alle Maßnahmen im Rechenzentrum erfolgreich umgesetzt wurden. Derartige Prüfungen erfolgen auf Grundlage einer kontinuierlichen Überwachung, ständiger Protokollierung und regelmäßiger Backups. Vielfach werden derartige Prüfungen auch mithilfe des Anbieters vorgenommen. Als Komponente der Cybersecurity sind derartige Prüfungen umfassend. Einbezogen werden auch die umgebende Infrastruktur und die Funktionsfähigkeit der Firewall.
Der Sicherheitsaspekt eines ERP-Systems ist gar nicht hoch genug einzuschätzen. Cloud-basierte ERP-Lösungen von Haufe X360 bieten höchste Sicherheitsstandards. Das Thema Sicherheit beginnt bereits bei der Beratung und wird bei der Konfiguration und Einführung fortgeführt.
Das ERP-System zeichnet sich durch Datensicherheit und Datenschutz aus und gewährleistet eine 99 prozentige Verfügbarkeit. Eine Fülle unterschiedlicher Vorkehrungen bietet Schutz vor äußeren Einflüssen inklusive Cyberangriffen. Alle 8 Minuten wird ein automatisiertes Backup angefertigt, sodass eine Notfall-Wiederherstellung innerhalb von drei Stunden jederzeit möglich ist. Gehostet werden Ihre Daten nach höchsten Sicherheitsvorkehrungen im Rechenzentrum in Deutschland.