Das grösste Risiko für ein Unternehmen ist es, seine Risiken nicht zu kennen. Dieses geflügelte Wort gilt in hohem Mass für die Sicherheit von ERP-Systemen. Es ist erstaunlich, wie viele KMU immer noch blauäugig unterwegs sind, dass schon nichts passieren wird. Fast scheint es, dass nur Hacker den wahren Wert von Unternehmensdaten kennen. Mit einer CyberSeal-Zertifizierung können Softwarehersteller ihren Kunden mehr Schutz bieten.
Die Digitalisierung bringt eine Wachstumszahl mit sich, auf die niemand stolz ist: Die Cyberkriminalität in der Schweiz nimmt jährlich um rund 25 Prozent zu. Betroffen sind zunehmend KMU. Der Grund ist einfach. Viele Firmen sind wenig geschützt, aber auf eine funktionierende IT angewiesen. Gerade ERP-Systeme entpuppen sich als wahre Jackpots für Angreifer. Oft ist die Software ungenügend geschützt und ein leichtes Spiel für Cyberkriminelle. Die Opfer haben kaum eine andere Wahl als zu zahlen, denn sie sind auf die Daten existenziell angewiesen. Kein Wunder sieht das neue Datenschutzgesetz künftig Bussen vor, wenn die Sorgfaltspflicht im Bereich Sicherheit vernachlässigt wird. Höchste Zeit also zu handeln.
Uns passiert schon nichts
«Datenschutz- oder Sicherheitsverletzungen, Spionage, Hackerangriffe, Ransomware, Denial-of-Service-Angriffe und Fehler von Mitarbeitenden sind die Hauptursachen für Cybervorfälle, und sie werden immer verbreiteter und kostspieliger», schreibt die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) in ihrer Studie «Cyberrisiken und Schweizer KMU». Ein Drittel der Unternehmen bis 250 Mitarbeitende wurden schon angegriffen, vier von hundert Firmen sogar erpresst. Die Wahrscheinlichkeit, dass auch Ihr KMU demnächst Opfer eines Cyberangriffs wird, ist also recht hoch. Vielfach herrscht die Meinung vor, dass das Unternehmen zu klein und daher uninteressant für Angreifer ist. Doch der Schein trügt. Gerade bei kleinen Firmen lässt sich besonders leicht Lösegeld erpressen. Ausserdem sind sie kaum geschützt und damit ideale Einfallstore für Angriffe auf grössere Kunden- oder Lieferantenunternehmen.
Ein lohnendes Angriffsziel
Als digitales Rückgrat unterstützen ERP-Systeme eine Vielzahl an Prozessen und Aufgaben im Unternehmen. Ein Systemausfall kann den gesamten Betrieb massiv beeinträchtigen oder sogar ganz lahmlegen. Die Folge wirken sich unmittelbar auf das operative Geschäft aus und führen rasch zu finanziellen Einbussen bis hin zum faktischen Grounding. Betroffene Firmen stehen meist unter hohem Druck und sind den Forderungen der Angreifer ausgeliefert.
Warum immer mehr Unternehmenslösungen ins Visier geraten, erklärt Neil MacDonald von Gartner Group im Hype Cycle for Application Security (2017) so: «Geschäftsanwendungen wie ERP, CRM und Personalwesen sind attraktive Ziele. In vielen Unternehmen hatte die Sicherheit bisher keine hohe Priorität. Systeme werden oft jahrelang nicht gepatcht, um die Betriebsverfügbarkeit zu gewährleisten.» Kriminelle Websites im Darknet bieten inzwischen Anleitungen und Tools für das Hacking verschiedener ERP-Systeme an. Mehr dazu finden Sie in der Studie «ERP Applications Under Fire» (Onapsis/Digital Shadows, 2018), wo unter anderem im Abschnitt «Anatomy of an ERP Cybersecurity Breach» auch der Ablauf eines Angriffs auf ein ERP-System dokumentiert ist.
Nicht das ERP ist das Problem
Um ein ERP-System zu schützen, sind vor allem die Risikobereiche rund um die Software zu identifizieren. Das ERP selbst ist nur selten das eigentliche Problem, ausser es weist eklatante Architekturmängel oder grobe Programmierfehler auf. Die Problemzonen befinden sich in den meisten Fällen im Umfeld der Lösung. Dazu gehören
- Infrastruktur wie Server, Clients, Netzwerk, Firewall, Backup
- Betriebssystem, Datenbank, Apps, Drittanwendungen
- Schnittstellen, Web Services
- Berechtigungen, Passwortpflege, Authentifizierung
- Fehlendes Fachwissen, mangelnde Ressourcen
- User-Verhalten, Missbrauch, Betrug
- Externe Zugriffe, Datenaustausch
Jeder dieser Bereich stellt für sich schon eine Herausforderung dar. Aufgrund ihrer Vernetzung und Abhängigkeiten steigt die Komplexität der Bedrohungslage für ein ERP-System rasch an. Um diese in den Griff zu bekommen, gibt es professionelle Sicherheitslösungen. Dies allein reicht jedoch nicht. Ebenso wichtig sind die Awareness der Mitarbeitenden, Homeoffice-Regeln, Dokumentationen und mehr.
CyberSeal als Gütesiegel für IT-Anbieter
Dass man angesichts der Risiken und Bedrohung eines Cyberangriffs nicht tatenlos zusieht, versteht sich (hoffentlich) von selbst. An dieser Stelle sollen zwei Massnahmen vorgestellt werden, welche gerade für Schweizer KMU von besonderem Interesse sein könnten.
Zum einen handelt es sich dabei um das Gütesiegel CyberSeal, welches von der Allianz Digitale Sicherheit Schweiz (ADSS) vergeben wird. Das CyberSeal bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seine Kunden und angemessenen gegen Cyber-Risiken zu schützen. Die Zertifizierung eignet sich für IT-Dienstleister mit Sitz und Kundenbasis in der Schweiz, wenn sie im Auftrag von KMU-Kunden die Gesamt- oder Teilverantwortung für den Setup und Betrieb der IT übernehmen und/oder Cloudlösungen konfigurieren und zur Verfügung stellen. Vorteile für die Endkunden sind:
- Reduktion der Risiken bezüglich Cyberattacken
- Weniger Vorfälle, schnellere Behebung, tiefere Kosten im Ereignisfall
- Unabhängiges Gütesiegel vereinfacht die Wahl des IT-Dienstleisters
- Stärkere Fokussierung auf das Kerngeschäft
Die Zertifizierung ist jeweils drei Jahre gültig. Im Jahr eins erfolgt ein umfassendes CyberSeal Audit. In den Jahren zwei und drei dient je ein Aufrechterhaltungsaudit der Qualitätskontrolle. Im Jahr vier erfolgt mit einem umfassenden Audit der Prozess wieder von Neuem.
CyberSeal ist ein Gütesiegel, welches von der Allianz Digitale Sicherheit Schweiz vergeben wird Es bestätigt, dass ein IT-Dienstleister geeignete technische und organisatorische Massnahmen umsetzt, um seinen Kunden und sich selbst einen angemessenen Schutz vor Cyberrisiken zu gewährleisten. Damit leistet das CyberSeal einen Beitrag zur Erhöhung der Cyber-Resilienz der Schweizer KMU. Um das Gütesiegel zu erhalten, muss ein umfassendes Pflichtenheft erfüllt werden. Darin enthalten sind unter anderem Themen wie Zugriff auf Kundeninfrastruktur, Patch Management, Protokollierung und Monitoring, Mitarbeiter Awareness, Umgang und Regeln fürs Arbeiten aus dem Homeoffice und vieles mehr. Die Zertifizierung ist jeweils drei Jahre gültig. Die Einhaltung der Richtlinien wird jährlich von einem Auditor überprüft.
SIEM als ERP-Frühwarnsystem
Security Information and Event Management (SIEM) ist ein Bereich der IT-Security, welcher sich auf das Sammeln und Auswerten von Logdaten konzentriert. Eine SIEM-Software identifiziert und analysiert das Verhalten der gesamten IT-Infrastruktur. generiert werden. Auffälligkeiten im Netzwerk, auf Servern, bei Komponenten, aber auch bei Cloud- und anderen Anwendungen, in Antiviren-Programmen oder Firewalls können so umgehend entdeckt werden.
Der Vorteil dabei ist, dass auch grosse Datenmengen blitzschnell untersucht und damit die Sicherheitslage eines Unternehmens in Echtzeit überwacht werden können. Abweichungen vom Normalzustand wie zum Beispiel fehlgeschlagene Anmeldung oder eine potenzielle Virengefahr lösen nicht nur einen Alarm aus, sondern können mit einem SIEM-Tool aufgrund vordefinierter Verfahren umgehend beseitigt werden. Gleichzeitig werden alle Logdaten gespeichert, um vertiefte Analysen auf forensischer Ebene durchzuführen. SIEM ist heute eine wichtige Komponente für die Protokollierung und das Monitoring eines Security Operation Centers. Es hilft aktiv dabei, Cyberangriffe frühzeitig zu erkennen und abzuwehren, Risiken zu analysieren und die Bedrohungslage zu verringern.
Security beginnt beim IT-Partner
Für viele KMU ist das Thema Security ein Buch mit sieben Siegeln. Es mangelt oft an Zeit, Geld und Wissen, um sich intensiv auf Dauer mit komplexen Sicherheitsanforderungen zu beschäftigen. Ehrlich gesagt, ist die vertiefte Auseinandersetzung mit Security-Themen, Tools und Threats auch keine Kernaufgabe für ein Unternehmen. Hier sollte der IT-Partner mit geschultem Personal, professionellen Lösungen und zuverlässigen Dienstleistungen Hand bieten können.
Natürlich müssen parallel dazu auch die Anwender dahingehend sensibilisiert und befähigt werden, alle relevanten organisatorischen Vorkehrungen für einen optimalen Schutz ihrer IT-Infrastruktur und damit auch ihres ERP-Systems zu treffen. Fazit: Es reicht heute nicht mehr, eine Lösung zu evaluieren, ohne dabei Security-Aspekte zu berücksichtigen.