Angriffsziel ERP
Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.
Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden im Jahr 2023 durchschnittlich mehr als 2.000 Schwachstellen in Softwareprodukten – 15 Prozent kritisch – pro Monat bekannt. Ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Michael Bässler, CTO bei Theobald Software, über die häufigsten ERP-Sicherheitsprobleme, deren Lösung und weshalb die Migration in die Cloud sinnvoll sein kann.
Herr Bässler, obwohl sich die Funktionen für ERP-Sicherheit ständig weiterentwickeln und stetig optimiert werden, sind Unternehmen dennoch mehr denn je von Cyberangriffen betroffen?
Michael Bässler: Die Zunahme von Ransomware-Angriffen auf ERP-Systeme lässt sich zum Teil mit der rasanten Entwicklung digitaler und cloudbasierter Technologien begründen. Heutzutage ist ein Cloud-ERP-System für die meisten Unternehmen unverzichtbar. Die Migration kann jedoch auch eine Schwachstelle im Hinblick auf die Cybersicherheit darstellen. Denn grundsätzlich gilt: Mit steigender Nutzerzahl steigen auch die Sicherheitsrisiken. Nicht zuletzt verschärft der Fachkräftemangel die Situation zusätzlich.
Jedes größere Unternehmen hat aber doch heute einen CISO oder zumindest einen Sicherheitsverantwortlichen.
Michael Bässler: Ihnen mangelt es aber oft am erforderlichen Wissen. Sie sind Experten für allgemeine IT-Sicherheit, verfügen aber häufig nicht über die notwendigen ERP- oder SAP-Kenntnisse. Dementsprechend wird die Komplexität von SAP-Umgebungen oft unterschätzt und notwendige Schutzmaßnahmen werden nicht umgesetzt. Und genau da ist der Wurm drin: Viele Sicherheitslücken bleiben häufig über lange Zeiträume ungepatcht. Dies zeigt nicht zuletzt der Threat Report von Onaspis und Flashpoint. Alle im Bericht identifizierten SAP-Schwachstellen wurden von SAP bereits vor mehreren Jahren gepatcht, jedoch von den Unternehmen nicht ausreichend geschützt. Cyberkriminelle nutzen diese bekannten, aber ungepatchten SAP-Schwachstellen schlussendlich aus, um in ERP-Systeme einzudringen.
Sie sprachen die schnelle Entwicklung cloudbasierter Technologien als einen Risikofaktor an. Ist die Migration in die Cloud dennoch ein sinnvoller Schritt?
Michael Bässler: Es ist nicht ungewöhnlich, dass eine Software, die zum Zeitpunkt der Implementierung auf dem neuesten Stand war, im Laufe der Zeit veraltet und nicht mehr mit dem technologischen Wandel Schritt halten kann. Dann bietet ein ERP-System die Möglichkeit, wettbewerbsfähig zu bleiben. Die Migration in die Cloud kann unter anderem zur Optimierung der Betriebsabläufe beitragen, indem wiederkehrende Aufgaben und Geschäftsprozesse damit einfach automatisiert werden können. Dies hat nicht nur eine Steigerung der Effizienz zur Folge, sondern auch eine Verringerung der Anzahl manueller Fehler. Das cloudbasierte System bietet zusätzliche Vorteile in Bezug auf Skalierbarkeit und Flexibilität. Durch die zentrale Erfassung und Verwaltung der Daten in der Cloud ermöglicht diese ERP-Lösung darüber hinaus einen einfachen und schnellen Zugriff auf Echtzeitinformationen. Ein Wechsel in die Cloud kann langfristig auch die bestehenden hohen Wartungskosten senken und den Sicherheitsstandard erhöhen. Dies ist der Fall, wenn Updates zentral organisiert und eingespielt werden und somit sicherheitsrelevante Änderungen schneller produktiv verfügbar sind und viele Kunden zeitgleich von der gesteigerten Sicherheit profitieren. Zudem drängen einige Anbieter ihre Nutzer geradezu auf Cloud-Hosting umzusteigen. So stellt SAP Ende 2027 den Support für seine On-Premises-Varianten SAP Process Integration (PI) und SAP Process Orchestration (PO) ein. Eine Migration in die Cloud ist also unumgänglich.
Worauf muss ich als Unternehmen achten, wenn ich auf die aktuelle Version SAP S/4HANA migrieren möchte? Welche Schlüsselbereiche sollten bei der Migration besonders in den Fokus rücken?
Michael Bässler: Unabhängig davon, welches System Unternehmen derzeit nutzen, ist die Umstellung auf SAP S/4HANA weniger ein klassisches IT-Projekt als vielmehr ein tiefgreifender Systemwechsel. Was viele dabei allzu oft unterschätzen, ist die Zeit. Vier Jahre vergehen schnell. Unternehmen, die das Transformationsprojekt „SAP S/4HANA“ noch vor sich haben, sind bereits spät dran. Laut eigenen Angaben von SAP sollte die Migration von herkömmlichen SAP-Systemen auf SAP S/4HANA zwar nur 12 bis 18 Monaten dauern. Laut einer Studie von Gartner haben Unternehmen, die den Prozess bereits begonnen haben, jedoch festgestellt, dass die Umstellung weitaus mehr Zeit in Anspruch nimmt.
Welche besonderen Herausforderungen gibt es rund um die Migration?
Michael Bässler: LeanIX hat in Zusammenarbeit mit PwC eine Studie durchgeführt, die die größten Hindernisse für Unternehmen bei der Umstellung auf SAP S/4 HANA identifiziert hat. Es zeigte sich, dass bestehende komplexe IT-Landschaften, unsaubere Stammdaten und unternehmensspezifischer ABAP-Code, der nicht mit dem neuen System kompatibel ist, als größte Herausforderungen gesehen werden. Weitere Hürden sind uneinheitliche Unternehmensprozesse, die vor einer Migration harmonisiert werden sollten. Zudem fehlt es an Expertise im Change Management, um die richtige Strategie zu entwickeln. In einigen Fällen wird der Migrationsprozess auch durch einzelne Stakeholder verlangsamt, die in den Abstimmungsprozess einbezogen werden müssen. Um diesen Herausforderungen zu begegnen, sollte der Erstellung eines Ressourcenplans Priorität eingeräumt werden, der die erforderlichen Ressourcen sowohl für die IT-Teams als auch für die Fachabteilungen identifiziert und zuweist.
Blicken wir nochmal etwas genauer auf das Thema ERP-Sicherheit. Was sind die häufigsten ERP-Sicherheitsprobleme und wie können Unternehmen diesen begegnen?
Michael Bässler: Ransomware- und Phishing-Angriffe stellen nach wie vor eine der größten Bedrohungen für die ERP-Sicherheit dar. Schwache Passwörter, mangelndes Wissen und nicht verstandene Sicherheitsprotokolle können dazu führen, dass Mitarbeitende ihr Unternehmen unbewusst in Gefahr bringen. Eine Ein-Faktor-Authentifizierung reicht heute definitiv nicht mehr aus, um sich vor Cyberangriffen zu schützen. Unternehmen jeder Größe müssen umgehend 2FA-Protokolle, einschließlich Sicherheitstokens oder biometrischer Scans, an allen potenziellen ERP-Eingangspunkten implementieren. Dies ist eine einfache und kostengünstige Maßnahme, die extrem wichtig ist.
Fehlendes Wissen der Mitarbeiter zu Phishing- oder Ransomware-Attacken scheint nach wie vor ein hoher Risikofaktor zu sein?
Michael Bässler: Unternehmen sollten unbedingt regelmäßig interaktive Schulungen zu Phishing-Methoden mit allen Teams durchführen. In einer kürzlich durchgeführten Umfrage waren 78 Prozent der Unternehmen der Meinung, dass ihre Schulungsmaßnahmen ausreichen, um Phishing-Risiken vorzubeugen. Dennoch fielen fast ein Drittel der Mitarbeitenden bei einem einfachen Phishing-Test durch. Nicht zu unterschätzen ist auch die Tatsache, dass mit der Zunahme von Mitarbeitenden, die remote arbeiten und einen externen Zugang benötigen, sich für Unternehmen immer mehr Schwachstellen an immer mehr Orten auftun. SAP veröffentlicht regelmäßig Sicherheitsupdates und Patches, die Schwachstellen beheben und die Sicherheit der ERP-Systeme erhöhen. Es ist ratsam, diese so schnell wie möglich zu installieren, um das Risiko von Angriffen zu minimieren.
Durch die immer größere Vernetzung der Systemlandschaften nimmt auch die Anzahl der Schnittstellen zu. Was müssen Unternehmen hier gesondert beachten?
Michael Bässler: In Zeiten der Digitalisierung und Automatisierung von Geschäftsprozessen werden Schnittstellen immer unentbehrlicher. Insbesondere für die Anbindung externer Anwendungen sind Schnittstellen notwendig, wenn diese Systeme nicht auf SAP-Technologie basieren. Damit die Kommunikation sowie der Daten- und Informationsaustausch zwischen den Systemen und SAP-Anwendungen reibungslos ablaufen kann, wird die Schnittstelle eingesetzt. Schnittstellen stellen aber leider auch ein großes Einfallstor in SAP-Systeme dar. Dies betrifft nicht nur die tatsächlich eingerichteten Schnittstellen vom / zum SAP-System, sondern auch die Berechtigungen zum externen Aufruf von Funktionsbausteinen in SAP-Systemen. Eine Prüfung dieser Schnittstellen erweist sich meist als sehr komplex, da zumal eine große Anzahl von Schnittstellen existiert und viele verschiedene Aspekte zu berücksichtigen sind. Häufig werden Benutzerberechtigungen auch zu weitreichend vergeben. Hier ist es wichtig, Benutzerkonten und Passwörter sorgfältig zu verwalten und ebenfalls regelmäßig zu überprüfen. Das bedeutet, dass Passwörter stark sein und Benutzerkonten nur mit den minimal notwendigen Berechtigungen ausgestattet werden sollten. Gerade durch das Prinzip der minimalen Berechtigungen, können Schwachstellen, Angriffsrisiken und deren Auswirkung deutlich reduziert werden.
Michael Bässler
ist CTO bei Theobald Software.