Unternehmenssoftware
Unterschätzte ERP-Sicherheit
Fortsetzung des Artikels von Teil 1
Guideline für mehr Sicherheit
Mehr Sicherheit für ERP-Systeme
Risiko erkannt, Gefahr gebannt? So einfach ist es leider nicht. So muss jedem IT-Verantwortlichen, aber auch Unternehmensentscheider bewusst sein: Den einen ultimativen Sicherheitstipp gibt es nicht. Es ist vielmehr die Kombination aus mehreren Maßnahmen. Um diese zu bestimmen, hilft die folgende Guideline.
1. Schwachstellen identifizieren:
Bei der Prüfung des ERP-Systems sollten im ersten Schritt alle möglichen Schwachstellen bestimmt werden. Diese Liste sollte nach Dringlichkeit priorisiert werden. Dabei ist auch eine Aufwands- und Kostenschätzung abzugeben, die gerade bei der Besprechung mit den Budgetverantwortlichen helfen kann.
2. Sicherheitsziele definieren:
Basierend auf der Vorarbeit gilt es nun, die Sicherheitsziele für das ERP-System zu entwickeln. Erst die Analyse des Status quo hilft dabei, Handlungsfelder und die damit verbundenen Ziele zu evaluieren. Hinzu kommen noch die unternehmensweiten IT-Ziele.
3. Zugangsberechtigungen festlegen:
Gerade für das ERP-System braucht es klare Zugriffsregeln. Begrenzen Sie unbedingt die Anzahl der Mitarbeiter, die mit dem System arbeiten müssen, auf das Nötigste. Zudem ist zu analysieren, wer welche Berechtigung braucht. Dafür ist der nächste Schritt hilfreich.
4. Anwendergruppen anlegen:
Über die Erstellung von Tätigkeitsprofilen lässt sich ableiten, wer welche Funktion nutzen darf. Auch die Mitarbeiterposition sollte bei der Rechtevergabe beachtet werden. Der Abteilungsleiter benötigt den Zugriff auf andere Daten als der Mitarbeiter. Ziel ist es also, Zugänge nach den Tätigkeitsprofilen und nach Mitarbeiter zu verteilen.
5. Prozesse aufsetzen:
Sollte ein Mitarbeiter das Unternehmen verlassen, braucht es eine Schnittstelle zwischen IT- und HR-Abteilung. Oft genügt schon eine simple Information mit dem Namen des Ausscheidenden und der Bitte, alle Zugriffsrechte zu entziehen. Gerade im Cloud-Umfeld ist das essenziell, da hier Mitarbeiter mit ihrem eigenem Rechner arbeiten und nicht Teil des Firmennetzwerkes sind. Darüber hinaus sollten regelmäßig, mindestens jährlich, die Zugriffsregeln überwacht werden.
6. Updates und Tests durchführen:
Kontinuierliche Aktualisierungen und Sicherheitsupdates sind Pflicht. Das gilt für die Anwendung selbst, aber auch für alle Programme wie die entsprechende Firewall und das Betriebssystem, auf dem die ERP-Lösung läuft. Auch Tests müssen durchgeführt werden. In sogenannten Penetrationstests versetzen sich IT-Experten in die Rolle von Hackern und prüfen das ERP-System auf Schwachstellen. Anschließend halten sie ihre Ergebnisse in einem Bericht fest.
7. Schulungen umsetzen:
Da viele Mitarbeiter sich nicht umfänglich über die Gefahren im Klaren sind, sollten Firmen regelmäßige Schulungen abhalten und für das Thema IT-Sicherheit sensibilisieren – und zwar alle Mitarbeiter, auch die Chefetage.
ERP-Sicherheit bedeutet IT-Sicherheit
Veraltete Software stellt ein nicht zu unterschätzendes Risiko dar. Ob primäre oder sekundäre Schäden: Jedes Unternehmen muss die ERP-Schwachstellen ernst nehmen und zügig handeln. Verglichen mit den möglichen Verlusten lohnt jedes Investment in die Sicherheit der IT-Infrastruktur. Wer hier spart, handelt leichtsinnig. Was es braucht, ist neben dem Wissen um die Schwachstellen und Tipps zur Lösung die feste Verankerung der ERP-Security in einem durchdachten Sicherheitskonzept.
Matthias Weber, Inhaber des Beratungsunternehmens Mwbsc
- Unterschätzte ERP-Sicherheit
- Guideline für mehr Sicherheit
Lesen Sie mehr zum Thema
