Nachgefragt bei Infoguard und Compass Security

Wenn das ERP zum Verhängnis wird

Uhr
von Coen Kaat

Gemäss einer aktuellen Studie kommen Cyberkriminelle immer häufiger über das ERP-System in Firmennetzwerke und so an sensible Daten. Die Redaktion hat bei zwei Schweizer Sicherheitsexperten nachgefragt, wie sie das Risiko einschätzen und wie sich Firmen absichern können.

(Source: Lightcome / iStock.com)
(Source: Lightcome / iStock.com)

Sie weiss alles. Wie viele Waren eine Firma verkauft und zu welchen Preisen. Welcher Mitarbeiter für den einzelnen Verkauf zuständig war, wohin die Ware geliefert wurde und sogar noch viel mehr. Eine Enterprise-Resource-­Planning-Lösung (ERP) zu nutzen, ist für viele Unternehmen zum unverzichtbaren Standard geworden. Denn so lassen sich sämtliche Geschäftsprozesse auf einer zentralen Benutzeroberfläche abbilden.

Aber aus just diesem Grund könnten ERP-Systeme auch für Cyberkriminelle ein lohnendes Ziel sein. Diesen Standpunkt vertreten die Firmen Digital Shadows und Onapsis. Sie veröffentlichten Ende Juli eine Studie zum Cyberrisiko ERP-System. Demnach stieg die Anzahl veröffentlichter Exploits in ERP-Anwendungen, die für Cyberangriffe ausgenutzt werden können, um 100 Prozent. Das Interesse an derartigen Schwachstellen im Darknet soll zwischen 2016 und 2017 sogar um 160 Prozent gestiegen sein.

 

Unachtsamkeit ist des Hackers Freund

Problematisch werde es vor allem, wenn Firmen vergessen, Sicherheitspatches zu installieren oder ihre ERP-Lösung mangelhaft konfigurieren. Dies öffnet dem Cyberkriminellen quasi die Tür zum Firmennetzwerk. In ihrer Studie schreiben die beiden Unternehmen, dass sogar seit vielen Jahren bekannte Schwachstellen noch immer von Angreifern ausgenutzt werden – wie etwa der SAP-Exploit TA16-132A.

"ERP-Systeme sind vielfach sehr komplex und bestehen aus verschiedenen Modulen mit jeweils individueller Entstehungsgeschichte", sagt Markus Limacher, Head of Security Consulting beim Schweizer IT-Dienstleister Infoguard.

Markus Limacher, Head of Security Consulting bei Infoguard. (Source: Infoguard)

"Deswegen besteht auch die Möglichkeit, dass irgendwo im System oder in der Konfiguration – beispielsweise bei der Rechtevergabe – unbeabsichtigt ein Fehler gemacht wurde." Aufgrund der geschäftsrelevanten Informationen, die ein ERP sammelt und bündelt, seien die Systeme daher als unternehmenskritisch einzustufen und entsprechend zu schützen.

"Zudem werden sehr viele ERP-Systeme als Webservice von intern oder aus der Cloud genutzt, was das Risiko einer Attacke erhöht", sagt Limacher. "Ein Angriff auf den Cloud-Dienst oder den -Provider kann einen enormen Business-Impact haben."

Ivan Bütler, CEO der Beratungsfirma Compass Security, schätzt das Risiko etwas anders ein. "Ich sehe das nicht als die grösste Gefahr", sagt er auf Anfrage. "Viele ERP-Systeme sind nicht direkt ans Internet oder ans DMZ angebunden – ausgenommen cloudbasierte ERP-Systeme." Oft seien ERP-Verbindungen nur von Firma zu Firma möglich und aus dem Internet gänzlich gesperrt. Daher würden ERP-Systeme auch weniger als Sprungbrett ins Intranet einer Firma genutzt.

"Vielleicht gibt es den einen oder anderen Benutzer, der im ERP das gleiche Passwort gewählt hat wie das VPN-Passwort", sagt der CEO. In dem Fall könne man mit dem ERP-Passwort auch über ein VPN direkt in das Unternehmensnetzwerk eindringen. "Aber sich so vom Internet übers ERP ins Intranet zu hacken, ist viel zu aufwändig und komplizierter als über einen Trojaner oder eine Phishing-Attacke."

Ivan Bütler, CEO von Compass Security. (Source: Netzmedien)

Es gebe zwar derzeit einen Trend hin zu ERP aus der Cloud. Doch aktuell seien nur wenige Systeme schon in die Cloud migriert. Die Sicherheit werde folglich noch immer durch den Perimeter gewährleistet – also durch Schutzmechanismen wie etwa Firewalls. "Wer den Perimeter-Schutz überwinden kann, der hat oftmals leichtes Spiel, auch ins ERP-System einzudringen." Allerdings ist der Angreifer zu diesem Zeitpunkt ohnehin schon im Firmennetzwerk drin.

Unternehmen sollten sich also zunächst über ihre Kronjuwelen bewusst werden. Ist das ERP-System wirklich dasjenige System ist, welches für das System besonders kritisch ist. "Wäre das Unternehmen oder der Geschäftsprozess wirklich behindert oder lahmgelegt, wenn es ein ERP-Problem gibt? Oder wäre es eher ein Image Schaden, weil allenfalls die ganze Welt erfährt welche Kunden es gibt und welche Preise gelten?", sagt Bütler.

 

Das grössere Risiko: der Mitarbeiter

Ein selbstentwickeltes ERP-System ist gemäss beiden Experten nicht per se weniger sicher als eine Standardlösung. "Es kommt ganz darauf an, wie das System programmiert wurde", sagt Limacher. "Wenn man den Aspekt Security-by-Design in der Entwicklung berücksichtigt, hat ein selbst entwickeltes ERP-System keine Nachteile."

Wer sich schützen will, darf nicht bloss an die Abwehr von Cyberattacken denken. In vielen Fällen sind noch immer die eigenen Mitarbeiter ein erfolgreicher Angriffspunkt für Cyberkriminelle. Dank Social-Engineering-Taktiken wie etwa Phishing oder CEO-Fraud dürfte ein Hacker es auf diesem Weg sehr viel leichter haben, an Informationen, Daten oder Geld zu kommen.

Webcode
DPF8_103547