Was Sie wissen sollten, damit es später nicht "weh tut!"
Ist Ihr ERP-System sicher? Eine Frage, die doch jeder mit einem klaren und lauten „Ja!“ beantworten können sollte. Aber mal Hand aufs Herz, würden Sie sich zu einem lauten und klaren „Ja!“ hinreißen lassen? Es stellt sich doch die Frage, „Was bedeutet eigentlich sicher?“
Sicherheit dreht sich nicht nur um die Nullen und Einsen und die reine Systemarchitektur. Sicherheit ist ein viel weitreichender Begriff, der von einer technologischen, einer finanziellen, aber auch einer strategischen Sicherheit ausgeht. Lassen Sie uns in den Aspekt der strategischen Sicherheit weiter eintauchen.
Sie haben noch ein altes ERP-System im Einsatz, beispielsweise auf Basis eines Microsoft SQL Servers 2008 R2 oder älter? Sie mögen sagen, das System ist sicher, da Sie doch in Virenschutz und eine Firewall investiert haben und es von einem bekannten Hersteller kommt. Nun ist es aber so, dass ein solches System, das vom Hersteller nicht mehr mit kritischen Sicherheitsupdates versorgt wird, nicht mehr DSGVO konform ist und ein Datenrisiko darstellt. Bereits das kann zu großen Problemen führen, denn in dieser ERP-Datenbank lagert vermutlich Ihr Heiligstes - die Daten Ihrer Mieter.
Auch stellt sich die Frage, wie Sie ein solches System möglichst sicher halten können, um es vor Angriffen zu schützen. Ist Ihr eigener Systemadministrator ein zertifizierter Experte oder kann es Sinn machen, auf ein Rechenzentrum zu vertrauen, welches mit vielen Experten die Systeme 24/7 überwacht und hier Angriffe global erkennt und identifizieren kann? Es ist schwierig, wenn nicht sogar unmöglich, dies von einem einzigen Mitarbeitenden oder einem kleinen Team zu verlangen. Fachleute in der IT-Sicherheit sind sich sicher:
„Die Frage ist nicht, ob Sie gehackt werden, sondern wann.“
Auf den ersten Blick lässt sich vermuten, dass es dann vielleicht doch besser wäre, wieder auf Karteikarten für Ihre Mieter umzusteigen, aber auch hier drohen Gefahren. Schützen viele Unternehmen Ihre Systeme vor Angriffen von außen, wird der Schutz vor inneren Angriffen häufig vernachlässigt. Wie schützen Sie sich davor, dass ein Mitarbeitender, bevor er bei Ihnen die Kündigung einreicht, erst noch alle Karteikarten kopiert und beim neuen Arbeitgebenden weiterverwendet? Ob bewusst und mutwillig oder durch ein Versehen. Viele Angriffe kommen heute aus dem Inneren, z. B. durch das unabsichtliche Klicken auf eine E-Mail, dem Herunterladen eines Anhangs oder der Eingabe von Nutzerdaten.
Der Schutz Ihrer Systeme ist ein ständiges, niemals abgeschlossenes Vorhaben. Es gilt, die Hürden so hoch wie möglich zu setzen, um das Interesse eines Angreifers zu minimieren und den Aufwand für ihn hochzutreiben. Die Hürden und Grenzen verschieben sich aber regelmäßig und daher müssen Sie sich ständig anpassen. Sicherheitsmechanismen, die Sie beispielsweise in den 80ern in Mietobjekten bei den Fenstern installiert haben, sind heute für Einbrecher nur noch eine Sache von Sekunden. Mit den neuesten Technologien wie Sicherheitsriegeln, Sicherheitsglas, verklebten Scheiben und ähnlichem kann man den Aufwand aber so erschweren, dass ein Gelegenheitsangriff sich nicht mehr lohnt. Diese Gelegenheitsangriffe passieren so auch in der digitalen Welt.
Besonders anfällig für solche Angriffe sind smarte Geräte. Seien es smarte Heizungsthermostate, Videokameras in öffentlichen Bereichen oder auch Kundenportale. Diese im Einzelnen, ohne größere Gedanken nur schnell montiert, spielen sich zu einem ernsten Problem hoch. Hier können Sie jedoch durch regelmäßige Updates, starke Passwörter und Mechanismen wie Multifaktorauthentifizierungen bereits unkompliziert Abhilfe schaffen.
Ein ERP-System gehört häufig zu den Systemen, die nicht als erstes betrachtet werden, wenn man sich Gedanken um die Sicherheit macht. E-Mails, Notebooks und andere Geräte stehen dabei häufig im Vordergrund. Was aber wiegt schwerer? Wenn ein einzelnes Notebook für eine Zeit ausfällt oder doch, wenn das zentrale ERP-System mit all Ihren Kundendaten und den Prozessen rund um die monatliche Mietbuchhaltung für eine Zeit ausfällt? Es ist daher von zentraler Bedeutung, sich das gesamte Bild anzuschauen und nicht nur einen kleinen Teil Ihrer Sicherheitsstruktur zu betrachten.
Sicherheit, insbesondere die der kritischen Systeme, muss daher Chefsache sein. Welcher Geschäftsführende reklamiert aber heute, er sei verantwortlich für die IT-Sicherheit? Das Gute bei all den Risiken ist, dass es auch Standards gibt, die uns täglich beim Erhalt der Sicherheitsstandards unterstützen können. Nachfolgende drei Grundregeln müssen dazu beachtet werden
- Die AUtorisierung Ihrer Mitarbeiter und Kunden. Wer darf was?
- Die AUthentifizierung von Mitarbeitenden und Kunden. Ist derjenige, der vorgegeben wird, auch wirklich der, der Zugang haben möchte? Wie stellen Sie sicher, dass hier beispielsweise keine Anmeldedaten weitergegeben werden?
- Das AUdit: Sind die Rechte für den Mitarbeiter X, die 1997 nach dem Praktikum vergeben wurden, noch immer die, die heute benötigt werden? Hat der Mitarbeiter gegebenenfalls mal die Abteilung gewechselt und benötigt mehr Rechte? Geht damit nicht auch der Bedarf nach weniger Rechten einher? Das regelmäßige Audit ist eins der Themen, das zumeist nicht ausreichend berücksichtigt wird.
All diese drei Regeln haben eines gemeinsam: Werden Sie vergessen oder falsch angewendet, kann man zusammenfassend sagen, AU AU AU. Das wird auf verschiedenste Weise „weh tun“. Diese Regeln sind so wichtig, dass man hier auch von den drei goldenen Regeln der IT-Sicherheit spricht. Wie kommt man hier zu dem Begriff der goldenen Regel? AU ist das chemische Symbol von Gold im Periodensystem. Dies ist doch eine passende Eselsbrücke dazu, in die Sicherheit zu investieren, Ihre wertvollsten Güter zu schützen und das Thema der Sicherheit auf die Chefetage zu heben.
Sie sind mit diesen Themen nicht allein. Lassen Sie sich von starken Partnern wie der Aareon Deutschland GmbH dabei unterstützen, die Sie durch die Welt der IT-Sicherheit begleitet und Ihre ERP-Systeme dabei aktuell und leistungsfähig hält.