ERP-Security

Wie man sich und sein Unternehmen vor Cyberattacken schützt.


Cybersecurity ist aktuell aus gutem Grund ein Gesprächsthema in vielen Industrien. Mit der zunehmenden Digitalisierung der Wirtschaft nimmt auch die Gefahr von Cyberangriffen zu. Cyberattacken kommen weltweit immer häufiger vor und laufen vor allem koordinierter ab. Neben Datendiebstahl sind sogenannte Ransomware-Angriffe, die Nutzer aus dem System aussperren, bis eine Geldsumme überwiesen wird. Da ERP-Systeme eine zentrale Datenbank der Firmen darstellen, sind sie auch das bevorzugte Ziel von Hackern. (Data citation needed)

Viele Unternehmer sind noch immer der Meinung, dass ihr Betrieb nicht relevant oder bekannt genug ist, um angegriffen zu werden. Diese Einstellung ist ein Irrglaube (DATEN), dann Hacker gehen systemisch vor und greifen mit automatisierten Systemen so viele Unternehmen wie möglich an, ohne nach Umsatz oder Bekanntheitsgrad zu selektieren.

Wie kommen Hacker an die Daten ran? Viele Angriffe zielen auf Schwachstellen in der Software ab, doch der leichteste Angriffspunkt hat sich schon seit Jahrhunderten nicht verändert – der Mensch. Egal wie ausgeklügelt das Sicherheitskonzept der ERP-Software ist, wenn auch nur ein Mitarbeiter seine Zugangsdaten preisgibt oder Sie irgendwo sichtbar aufschreibt (z.B. Post-It am Bildschirm), bringen sich die anderen Maßnahmen nichts mehr.


Um einen Überblick über ERP-Sicherheit (auf Basis von Odoo) zu geben, Teilen wir das Thema in drei Abschnitte auf:

  • Technologie - Was macht Software sicher? Worauf muss geachtet werden?

  • Access Management - Wie richtet man ein ERP sicher für alle Mitarbeiter ein?

  • Menschen - Wie stelle ich sicher, dass meine Mitarbeiter kein Sicherheitsrisiko darstellen?

Es wird in jedem System immer Schwachstellen geben. So wie jede Sicherheitstür mit genug Aufwand aufgebrochen werden kann, kann auch jedes System angegriffen werden. Aber je schwächer ein System ist, desto eher wird man zum Ziel. Schon sehr einfache Maßnahmen können die arbeit für einen Hacker wesentlich schwieriger machen und somit effektiv schützen.

Odoo • Image and Text

Technologie

Fangen wir mit dem an, was am wenigsten auf den End-User zutrifft – die technische Sicherheit. Da nur die wenigsten Nutzer ein volles technisches Verständnis ihrer Software haben, obliegt es der Softwarefirma sicherzustellen, dass Sicherheitslücken behoben werden, bevor die Software zum Einsatz kommt. 

Doch vor allem bei ERP-Software muss der Kunde bei der Einrichtung Entscheidungen treffen, die Auswirkungen auf Datensicherheit haben. Gleich am Anfang – das Hosting.

Im Falle von Odoo gibt es (wie bei den meisten aktuellen ERP-Systemen) zwei grundliegende Hostingmöglichkeiten:

On-Premise Hosting

Das ERP-System wird auf einem lokalen Server gehostet.
Sowohl die Software selbst als auch alle Daten sind an einem Ort. Es muss Hardware angeschafft und gewartet werden, dafür gibt es kein technisches Risiko unerlaubter Zugriffe, solange niemand zu dem Server Zugang hat. Der Aufwand ist erheblich höher als beim Cloud hosting, und macht meistens nur Sinn, wenn Hardware schon vorhanden ist, oder aus besonderen Gründen das Cloud-Hosting nicht möglich ist.

Cloud Hosting

Sowohl Daten als auch das System werden in der Cloud gehostet.
"Cloud" bezeichnet in der Norm Rechnenzentren, die als Dienstleistung Server zur Verfügung stellen, auf die über eine sichere Verbindung Zugegriffen werden kann. Es entfallen Kosten für Hardware und Wartung. Ein weiterer Vorteil ist das von jedem Gerät mit einer Internetverbindung sicher auf das System zugegriffen werden kann, wodurch auch z.B. Außendienstmitarbeiter jederzeit auf notwendige Daten Zugriff haben.

Das Protokoll HTTPS wird zum Verbindungsaufbau mit fast allen Webseiten verwendet, auf die man im Alltag zugreift. Obwohl das Protokoll Standard ist, entspricht es einem sehr hohen Sicherheitsniveau und kann somit ohne weitere Bedenken zum Verbindungsaufbau mit dem ERP-System genutzt werden.

Ob das System nun lokal oder in der Cloud gehostet wird - die eigentliche Infrastruktur für ERP-Systeme ist sicher. Natürlich gibt es Möglichkeiten, weitere Maßnahmen zu treffen. Diese übersteigen jedoch sowohl die Ansprüche als auch die Kompetenzen der meisten KMU. Die Schwachstellen, die bei Cyberangriffen ausgenutzt werden, liegen meistens in den Einstellungen oder an den Nutzern selbst. Fast jedes ERP System wird mit einer eigenen Berechtigungsstruktur kommen, wo eingestellt werden kann, welche Mitarbeiter auf bestimmte Informationen Zugriff haben, und welche nicht.

Access Management

Access Management bezeichnet die Verwaltung von Rechten, die Mitarbeiter im ERP-System haben. Das spielt nicht nur für die interne Organisation eine große Rolle, sondern eben auch für die Datensicherheit. Sollte jemand fremder Zugriff zu einem Mitarbeiterkonto erlangen, ist der mögliche Schaden, der angerichtet werden kann, durch die Rechte des Kontos begrenzt.

Das Berechtigungssystem von Odoo besteht grundsätzlich aus Access Rights, Rules und Gruppen.

Odoo • Text and Image

Access Rights

Access legt für eine Gruppe an Nutzern grundliegende Zugriffsrechte fest, die das notwendige Minimum für Interaktionen mit Datensätzen darstellen. Die Konfiguration von read, write, create, delete entscheidet ob z.B. ein Manager Verkaufsaufträge erstellen kann und Sales-Mitarbeiter diese nur bearbeiten können. Oft entstehen Sicherheitslücken, weil Zugriff auf die Datenbank nicht nur erlaubt ist, sondern auch das Löschen und Verändern von Einträgen für unbefugte ermöglicht.

  • Read – Der Nutzer kann die Daten ansehen. 

  • Write – Der Nutzer kann den Datensatz verändern.

  • Create – Der Nutzer kann neue Datensätze erstellen.

  • Delete – Der Nutzer kann Daten und Datensätze Löschen.

Es sollte im Voraus entschieden werden, welche Gruppen im Betrieb existieren, und welche Berechtigungen für diese Mitarbeiter notwendig sind. Funktionen wie das Löschen von Datensätzen sollten sehr selektiv freigeschaltet werde, da sie ein Risiko für die Datenbank darstellen.

Groups

Manager, Geschäftsführer, Verkaufsmitarbeiter, usw werden innerhalb des ERP-Systems als Gruppen eingerichtet. Danach können neue Mitarbeiter einfach einer Gruppe zugeordnet werden, und alle nötigen Berechtigungen für die Arbeit im System erhalten. Der Vorteil in odoo ist, dass durch die Einstellugnen der Gruppe das gesamte aussehen des Systems auf die Rolle der Mitarbeiter zugeschnitten werden kann.

Es können kleine Details wie Felder und Buttons ausgeblendet werden, aber auch gesamte Module für bestimmte Gruppen verdeckt werden. Das optimiert nicht nur den Arbeitsablauf, sondern verhindert auch Versehentlichen Zugriff auf die falschen Datensätze.

Rules

Als nächste Stufe werden spezifische Regeln definiert. Hier bietet Odoo eine sehr breite Palette an Einstellungsmöglichkeiten, die den Workflow innerhalb des Systems kontrollieren. Rules legen fest, wie genau eine Gruppe mit Datensätzen interagiert. Beispielsweise können Verkäufer durch Access auf alle Verkaufsaufträge zugreifen und diese lesen, aber nur die eigenen Aufträge verändern. 

Das alles mag auf den ersten Blick sehr kompliziert erscheinen. Abhängig von der Größe und Komplexität des Unternehmens kann der Aufbau der Berechtigungsarchitektur viel Zeit und Mühe in Anspruch nehmen. Das sollte es auch, denn sie sorgt für einen sicheren und reibungslosen Ablauf im Betrieb. Haben Mitarbeiter zu viele Berechtigungen entstehen Sicherheitsrisiken. Sollten Mitarbeiter jedoch nicht die notwendigen Zugriffsrechte haben, stockt der Arbeitsprozess.

Odoo • Image and Text

Menschen

Last but not least – die Menschen, die das System benutzen. So sehr man auf Sicherheitslücken in der Technologie achten kann, sind die Nutzer in den meisten Fällen das größte Sicherheitsrisiko. Auch Hacker machen sich das zu Nutzen. Wozu sollte man versuchen, ein System über Umwege anzugreifen, wenn einer der Mitarbeiter „123456“ als Passwort verwendet? Wenn die Zugriffsrechte des Mitarbeiters noch dazu so konfiguriert sind, das auf alle Daten zugegriffen werden kann, ist das Spiel gelaufen.

Was kann man als Unternehmer tun, um die eigenen Mitarbeiter Sicherheitsbewusster zu machen? Folgende 5 Punkte kann jedes KMU beachten. Befolgt man diese, ist man schon wesentlich weniger anfällig für Cyberattacken als der Durchschnitt. 

1. Schulung und Ausbildung. Risiken im Netz entstehen zumeist nicht aus Absicht, sondern aus Unwissen. Schulen Sie Ihre Mitarbeiter darüber, was für Gefahren es gibt und wie diese Aussehen. Fehlt das Wissen intern, lassen sich solche Schulungen auch bei IT-Beratern buchen. Hat man ein klareres Bild davon, was für Gefahren existieren, ist es wesentlich einfacher, Gegenmaßnahmen konsequent durchzusetzen. 

2. Starke Passwörter wählen und regelmäßig ändern. Cyberattacken laufen meistens automatisiert ab. Ist das Ziel ein Passwort zu erraten, wird oft als erster Schritt eine Liste an oft-verwendeten Passwörter von einem Programm durchprobiert. Passwörter wie „12345“ „passwort“ usw sind hier schnell erraten. Darum sollten alle Passwörter Mindestkriterien erfüllen müssen in Länge und Komplexität.

Eine weitere Gefahrenquelle ist die Verwendung von identischen Kennwörtern in mehreren Systemen. Das Tool HaveIBeenPwned überprüft ob die Login-Daten einer Emailadresse bei einem der großen Data-Leaks veröffentlicht wurden. 

Komplexe Passwörter, die regelmäßig geändert werden (z.B. alle zwei Monate) erschweren den Zugriff von Außen signifikant.

3. Einen Passwort-Manager verwenden. Wie merkt man sich nun die komplexen Kennwörter, die man alle zwei Monate ändert?

Ein Passwort-Manager ist ein kleines Programm, das als „Tresor“ für alle verwendeten Passwörter dient. Zugriff erfolgt über ein zentrales Master-Passwort. Es ist für die meisten Menschen sehr schwer, sich mehr als 2-3 Kennwörter zu merken, vor allem wenn diese sehr komplex sind. Mit einem Passwort Manager ist das nicht mehr notwendig.

Beliebte und vertrauenswürdige Anbieter wären Dashlane, Lastpass und Sticky Password. Die Dienste sind zwar kostenpflichtig, aber Datensicherheit ist kein Thema, wo man mit dem Sparen anfangen sollte.

4. Zwei-Faktor Authentifizierung zum Standard machen. Ist es nicht ein Sicherheitsrisiko, alle Kennwörter an einem Platz mit einem Masterpasswort aufzubewahren? Ja. Vor allem wenn das Masterpasswort schwach ist. Daher muss die Zwei-Faktor Authentifizierung eingerichtet werden. Das bedeutet, das neben Login und Passwort noch ein weitere Faktor notwendig ist, um das System zu entsperren. Im Passwort-Manager findet man mehrere Optionen - unsere Empfehlung wäre der Google Authenticator. Ist dieser eingerichtet, wird bei jedem Login ein Code abgefragt, der auf dem Handy erscheint. Um hier noch Zugriff zu bekommen müsste der Hacker nicht nur Login und Passwort des Mitarbeiters haben, sondern auch dessen Handy (welches hoffentlich auch mit Pin oder Fingerabdruck geschützt ist).

5. Software immer aktuell halten. Man schaltet den PC ein und wieder erscheint die Nachricht: „Windows konfiguriert wichtige Updates, bitte warten“. Was kann denn so wichtig sein, wenn sich nach dem Update nicht geändert hat? Ganz einfach: Es wurden im Hintergrund Sicherheitslücken behoben und Prozesse verbessert. Laufend werden Schwachstellen erkannt und behoben, daher sollten jede Software, die eingesetzt wird, immer am neuesten Stand gehalten werden.

Digitale Sicherheit ist konstant ein Thema und wird trotzdem von vielen Geschäftsführern nicht ernst genug genommen. Dabei verlangt es nicht viel Aufwand, die eigene IT-Sicherheit zu erhöhen. Bei der ERP-Integration sollten Zugriffsrechte und Sicherheit immer eine Prioritätsein und an die Bedürfnisse des Betriebes angepasst werden. Software wie Odoo kann nicht nur im Standard weiträumig konfiguriert werden, sondern auch durch Module von Drittanbietern in ihren Sicherheitsfunktionen erweitert werden, wodurch auch die Sicherheitsaspekte des ERP-Systems die Bedürfnisse des Unternehmens wiederspiegeln.

Rosenbauer Logo
Mammut Logo
OEBB Logo
Cell Logo
TZ Austria Logo

Sie wollen digital und sicher arbeiten?

Lassen Sie uns Ihnen helfen, wir beraten Sie gerne.