ERP-Systeme mit mangelhafter Absicherung: Rund 80 Prozent der Unternehmen weisen Sicherheitslücken auf

SecuFit warnt vor massiven Risiken vor allem im Bereich der Benutzerverwaltung

[datensicherheit.de, 15.09.2011] Die SecuFit GmbH, ein IT-Dienstleistungs- und Beratungsunternehmen mit Fokus auf Sicherheitsüberprüfungen, warnt vor erheblichen Sicherheitsrisiken im ERP-Umfeld:
Die Experten von SecuFit hätten nach eigenen Angaben in den vergangenen Monaten in Deutschland zahlreiche Unternehmen unterschiedlicher Größe untersucht. Im Fokus hätten dabei insbesondere die eingesetzten ERP-Systeme von SAP und die daran angebundenen Lösungen von Fremdanbietern gestanden. Demnach wiesen rund 80 Prozent der überprüften Unternehmen teils massive Sicherheitslücken auf. Typische Schwachstellen fänden sich vor allem im Bereich der Benutzerverwaltung und der Vergabe von Benutzerrechten.
Häufig verfügten Anwender über deutlich weiter reichende Rechte, als für ihren Tätigkeitsbereich eigentlich notwendig. Beinahe ein „Klassiker“ seien auch fest eingerichtete Administrator-Rollen – ursprünglich beispielsweise zum Test einer Erweiterung benötigt. Diese würden anschließend oft vergessen und nie wieder entfernt. Für potenzielle Angreifer stelle dies ein attraktives Einfallstor dar.
Wichtig zu wissen sei, dass Hacker nicht nur große Unternehmen und Konzerne im Visier hätten – neuen Erkenntnissen zufolge beträfen rund 90 Prozent der Angriffe mittelständische Unternehmen. In vielen Fällen bemerkten diese nicht einmal, gehackt worden zu sein, was den Schaden noch vergrößern könne.
Die Netzinfrastruktur sei nach den Erkenntnissen von SecuFit zwar insgesamt meistens besser gesichert als noch vor ein paar Jahren, allerdings sei die Anzahl der Schnittstellen innerhalb und außerhalb zum ERP-System um mehr als das Dreifache gestiegen. Im Vordergrund sollte für die haftende Geschäftsleitung stehen, sich einen Überblick über die Sicherheitssituation zu verschaffen.
Es sei für sie immer wieder erschreckend, wie leichtfertig Unternehmen mit ihren Daten umgingen, so Frank Wacker und Christian Rinner, Geschäftsführer der SecuFit GmbH. Oft seien die Firmennetzwerke grundsätzlich zwar gut abgesichert. Vernachlässigt würden aber häufig ERP- beziehungsweise SAP-typische Risiken. Dabei liefen gerade dort oft alle wichtigen, unternehmenskritischen Informationen zusammen. Versierte, professionelle Angreifer seien ganz gezielt auf der Suche nach solchen Hintertüren. Sie könnten Unternehmen nur dazu raten, auch ihr ERP-System innerhalb der globalen Sicherheitsstrategie entsprechend zu berücksichtigen. Sinnvoll sei auch die Einbindung in ein Identity-Management-System für die Benutzerverwaltung. Die Sicherheit für das ERP-System sollte immer nach dem Prinzip einer Waage aufgebaut sein – das „Gegengewicht“ zum angreifenden Hacker müsse schwer genug sein, um zu verhindern, dass aus der Waage ein „Katapult“ werde. Informationen stellten das „Kapital“ vieler Unternehmen dar – entsprechend gut sollten sie auch gesichert werden.
Die SecuFit GmbH mit Sitz in Dachau bei München führt für ihre Kunden unter anderem Penetrationstests durch. Mit speziellen „Ethical Hacker Tools“ könnten Angriffe simuliert und so die vorhandenen Abwehrmechanismen von IT-Infrastrukturen im Detail überprüft werden.

Weitere Informationen zum Thema:

SecuFit
Ist Ihre IT SeciFit?