Zu viele Sicherheitslücken im ERP-Umfeld

Typische Schwachstellen finden sich im Bereich der Benutzerverwaltung

(19.09.11) - Die SecuFit GmbH, IT-Dienstleistungs- und Beratungsunternehmen mit Fokus auf Sicherheitsüberprüfungen, warnt vor erheblichen Sicherheitsrisiken im ERP-Umfeld. Experten haben in den vergangenen Monaten in Deutschland zahlreiche Unternehmen unterschiedlicher Größe untersucht. Im Fokus standen dabei eingesetzte ERP-Systeme von SAP und die daran angebundenen Lösungen von Fremdanbietern.

Das Ergebnis: Rund 80 Prozent der überprüften Unternehmen weisen teils massive Sicherheits-lücken auf. Typische Schwachstellen finden sich vor allem im Bereich der Benutzerverwaltung und der Vergabe von Benutzerrechten. Häufig verfügen User über deutlich weiter reichende Rechte, als für ihren Tätigkeitsbereich eigentlich notwendig. Beinahe ein "Klassiker" sind auch fest eingerichtete Administrator-Rollen, die ursprünglich beispielsweise zum Test einer Erweiterung benötigt wurden. Diese werden anschließend oft vergessen und nie wieder entfernt. Für potenzielle Angreifer stellt dies ein attraktives Einfallstor dar.

Wichtig zu wissen: Hacker haben nicht nur große Unternehmen und Konzerne im Visier. Neuen Erkenntnissen zufolge betreffen rund 90 Prozent der Angriffe mittelständische Unternehmen. In vielen Fällen bemerken diese nicht einmal, gehackt worden zu sein, was den Schaden noch vergrößern kann.

Die Netzinfrastruktur ist nach den Erkenntnissen von SecuFit zwar insgesamt meistens besser gesichert als noch vor ein paar Jahren, allerdings ist die Anzahl der Schnittstellen innerhalb und außerhalb zum ERP-System um mehr als das Dreifache gestiegen.

Im Vordergrund sollte für die haftende Geschäftsleitung stehen, sich einen Überblick über die Sicherheitssituation zu verschaffen.

"Es ist für uns immer wieder erschreckend, wie leichtfertig Unternehmen mit ihren Daten umgehen", sagen Frank Wacker und Christian Rinner, Geschäftsführer der SecuFit GmbH. "Oft sind die Firmennetzwerke grundsätzlich zwar gut abgesichert. Vernachlässigt werden aber häufig ERP- beziehungsweise SAP-typische Risiken. Dabei laufen gerade hier oft alle wichtigen, unter-nehmenskritischen Informationen zusammen. Versierte, professionelle Angreifer sind ganz gezielt auf der Suche nach solchen Hintertüren. Wir können Unternehmen nur dazu raten, auch ihr ERP-System innerhalb der globalen Sicherheitsstrategie entsprechend zu berücksichtigen. Sinnvoll ist auch die Einbindung in ein Identity-Management-System für die Benutzerverwaltung. Die Sicherheit für das ERP-System sollte immer nach dem Prinzip einer Waage aufgebaut sein. Das bedeutet, das Gegengewicht für den angreifenden Hacker muss schwer genug sein, um zu verhindern, dass aus der Waage ein Katapult wird. Informationen stellen das Kapital vieler Unternehmen dar. Entsprechend gut sollten sie auch gesichert werden." (SecuFit: ma)