Software und Strategien für den erfolgreichen Mittelstand

Wie sicher muss ein ERP-System der Zukunft sein?

„Endpoint-Security spielt eine zentrale Rolle“

Andreas Anand, Vice President Consulting Services EMEA bei Infor; Quelle: Infor

Noch immer vernachlässigen zu viele Unternehmen ihre Sicherheitsstrategie. Erst Anfang Mai dieses Jahres vermeldete das Bundesamt für Sicherheit in der Informationstechnik, dass in Deutschland ein Drittel aller Firmen von sogenannter Ransomware betroffen ist – also Software, die von Hackern in Firmennetzwerke eingeschleust wird, um Schaden anzurichten und dann Schutzgeld zu erpressen.

Vor diesem Hintergrund stellt sich die Frage: Wie sicher muss ein ERP-System der Zukunft sein?

Umdenken

Claudia Harth, Marketingleiterin bei mesonic; Quelle: mesonic

Insbesondere bei Mittelständlern ist in Sachen Sicherheit ein Umdenken zu beobachten, stellt Andreas Anand, Vice President Consulting Services EMEA bei Infor, fest: „Sie setzen verstärkt auf Cloud-Technologien, da sie befürchten, ihre Daten mit eigenen Mitteln nicht gut genug schützen zu können. Cloud-Provider hingegen sind technologisch wesentlich besser ausgerüstet, was die Entscheidung für Software aus der Wolke erleichtert.“ Dieser Aspekt gelte auch bei der Nutzung mobiler Endgeräte: Das Prinzip „Bring Your Own Device“ sei mit einem hohen Sicherheitsrisiko verbunden, „doch gute Cloud-Anbieter sind in der Lage, über eine Mobile-Firewall auch firmeneigene Tablets und Smartphones abzusichern“, berichtet Anand.

Im Hinblick auf Industrie 4.0 kommen in Bezug auf die Sicherheit der ERP-Systeme neue Dimensionen ins Spiel. Claudia Harth, Marketingleiterin bei mesonic, spricht zum einen die Sicherheit hinsichtlich des Datenaustauschs an: „Hier sollte zügig auf standardisierte Schnittstellen zwischen MES- und ERP-Systemen hingearbeitet werden, um eine schnelle und sichere Übermittlung und Verarbeitung der großen Datenvolumina sicherzustellen. Denn erst wenn die Daten von der Maschine ungehindert in das ERP-System übertragen, dort verarbeitet und für die Anwender nutzbar sind, können sie in Bezug auf verbesserte Geschäftsprozesse ausgewertet werden.“

Als zweiten Aspekt benennt sie die Sicherheit beim mobilen Datenzugriff: „Dabei ist die Cloud eine der treibenden Technologien, der sich die Unternehmen künftig öffnen müssen, wollen sie auch in Zukunft wettbewerbsfähig sein. Eine ausgefeilte Sicherheitsstrategie ist hierbei ein ganz entscheidender Faktor und bedarf eines ausgereiften und transparenten Konzepts, um das Unternehmen vor Zugriffen Unbefugter zu schützen.“ Ein Problem stellt nach ihrer Einschätzung das mögliche Risiko eines Datenverlusts durch Verlust oder Defekt mobiler Endgeräte dar, sofern diese offline genutzt werden bzw. werden müssen, etwa aufgrund einer fehlenden Netzabdeckung. Unter Umständen seien diese Informationen unwiederbringlich verloren.

„Je vernetzter die Produktion wird und je offener die Systeme nach außen sind, desto anfälliger sind auch ERP-Systeme für Cyber-Angriffe“, bringt es Dirk Bingler auf den Punkt. Daher plädiert der Sprecher der Geschäftsführung von GUS Deutschland: „Es ist die Aufgabe aller beteiligten IT-Player, für einen hohen Sicherheitsstandard zu sorgen. Fest steht: Es gibt keinen Weg mehr zurück. Daher steht das Thema Security auch bei ERP-Systemen schon lange ganz oben auf der Agenda, wenn es um Szenarien rund um die Digitalisierung und Industrie 4.0 geht.“

Sicherheitstechnologien

Frank Naujoks, Produktmanager bei Microsoft für Dynamics AX, Quelle: Microsoft

Für Frank Naujoks, Produktmanager bei Microsoft für Dynamics AX, gelten die Sicherheit von Daten, Anwendungen und Prozessen sowie die rechtskonforme Nutzung von IT-Technologien als die elementaren Grundbedürfnisse der digitalen Gesellschaft als und wichtige Rahmenbedingungen für Innovationen. „Auch für Unternehmen ist eine sichere IT-Infrastruktur unerlässlich, die ihre Mitarbeiter und Daten vor Angriffen und Diebstahl von außen genauso schützt wie vor Datenpannen und -missbrauch von innen“, konstatiert Naujoks. „Doch die Voraussetzungen sind nicht mehr das, was sie vor ein paar Jahren waren, als einzelne Angreifer die IT von Unternehmen mit Malware und Viren zu kapern versuchten und Firmen nicht im dem Maße vernetzt waren, wie sie es heute sind.“ Die Abschottung der unternehmenseigenen IT über Firewalls von der Außenwelt reiche nach seiner Überzeugung für eine umfassende Absicherung nicht mehr aus: „Statische Sicherungssysteme funktionieren nicht mehr. Die Veränderungen der Bedrohungsszenarien in einer mobilen Welt zu erkennen und eine umfassende Sicherheitsstrategie zu entwickeln, ist eine strategische Unternehmensaufgabe.“

Er empfiehlt moderne Technologien wie „Azure Single Sign-On“, die Multi-Faktor-Authentifizierung mit biometrischen Zugangsverfahren von Windows 10 oder den Dokumentenschutz von Office 365 auf Geräte- und Anwender-Level. „Selbst wenn es lästig ist, nur geschützte Verbindungen und von der IT freigegebene Anwendungen zu verwenden, es ist der einzige Weg, Angreifern die Tür in die eigene IT zu verschließen“, so Naujoks.

„Die Sicherheit eines ERP-Systems bekommt eine neue Bedeutung, weil zunehmend externe Systeme, Technologien, Plattformen und Menschen angebunden sind. Jeder Kontaktpunkt muss den gleichen Sicherheitsmechanismen unterliegen und muss „einfach“ sicher sein. Zugleich wird ein Teil der Prozesse und Interaktionen in einem ERP-System künftig von außen gesteuert“, stellt Henrik Hausen fest. Für den Geschäftsführer all4cloud GmbH & Co. KG ist heute bereits bekannt, welche Sicherheitsmechanismen anzuwenden sind, etwa um durch die Firewall an das relevante ERP-System (vermutlich in der Cloud) Informationen senden und im Gegenzug auch empfangen zu können. 

„Doch dies reicht vermutlich nicht aus“, räumt Hausen ein. „Es wird immer rollenbasierte Berechtigungssysteme geben müssen, um Inhalt sowie Zugriff abzusichern. Verschlüsseln ist selbstverständlich und unabdingbar. Darüber hinaus werden neue Mechanismen entwickelt werden müssen, um bei wachsenden Volumen an Daten-Absendern und -Empfängern die Sicherheit im Griff zu behalten. In der höchsten Ausprägung braucht jedes Teil eine eigene Firewall und Datenformate, die nur für den Empfänger bestimmt sind. IP-Interessen und -Rechte müssen gewahrt werden.“ Nach seiner Einschätzung seien relevante Daten immer zu ver- und zu entschlüsseln. Daten werden künftig zu Laufzeiten und vermutlich mit der In-Memory-Datentechnik verarbeitet. Dazu sei sogenannte Middleware notwendig, die als Daten- und Sicherheitsdrehscheibe fungiert, ähnlich einem Webshop, der eher indirekt mit seinem ERP-System verbunden ist.

Doch was passiert in puncto Sicherheit, wenn immer mehr mobile Szenarien und Endgeräte zum Einsatz kommen? „Die technischen mobilen Plattformen – Android, Microsoft, IOs – werden derzeit zum Beispiel durch HTML5-Oberflächen harmonisiert. Die Mechanismen für die Zugriffe auf cloudbasierte oder installierte Systeme werden vereinheitlicht“, berichtet Hausen. „Die Security muss hier schon am Endgerät abgebildet werden. Egal wo, ein Nutzer meldet sich an seinem Rechner, Tablet oder Smartphone an und greift über Internet-Infrastruktur auf ein System zu. Ob indirekt oder implizit, spielt dabei keine Rolle. Man ist heute überall online, über WLAN oder LTE, unabhängig davon, ob vor oder hinter der Firewall. Die Endpoint-Security spielt eine massive Rolle – Probleme auf diesem Gebiet müssen gelöst werden.“

Auf die Frage, wie sicher ein ERP-System der Zukunft sein muss, würde Oliver Villwock, Consulting Director mit Fokus SAP-Architektur, cbs Corporate Business Solutions, gerne antworten: so sicher wie bisher. „Das allerdings würde bedeuten, dass die aktuelle Sicherheitslage der IT und der damit eingeschlossenen SAP-Infrastruktur bereits zufriedenstellend gelöst wäre. Das ist nicht der Fall! Auch wenn die Softwarehersteller dies mit werbewirksamen Slogans à la ‚Run simple‘ kaschieren wollen, die Realität sieht anders aus.“

Nach seiner Einschätzung erweisen sich heutige ERP-Systeme als immer stärker exponiert: „Prozesse und Daten werden über zahlreiche Schnittstellen und Technologien sowie Lokationen und deren Rechtszonen verteilt gespeichert und transportiert. Die Landschaftskomplexität – und die Aufwände für Design und Betrieb derselben – nimmt also zu. Speziell die mit Industrie 4.0 assoziierte digitale Transformation und das Internet der Dinge treiben durch Innovations- und Technologiedruck viele Unternehmen in eine ‚feudale Sicherheit‘, die kaum noch transparent und damit kaum steuerbar oder beeinflussbar erscheint.“

Der Einsatz von Cloud-Lösungen, die Speicherung und Analyse von „Big Data“ sowie die verstärkte Ausrichtung der Benutzeroberflächen am mobilen Konsumwunsch der Endanwender stellen nach seiner Erfahrung nicht nur neue Herausforderungen an die IT-Sicherheit, sondern zeigen auch deutlich die Sicherheitsversäumnisse der Vergangenheit auf: „Das ERP-System der Zukunft – aber auch die es umgebende IT-Landschaft – muss deutlich sicherer werden als das bisher der Fall ist! Dazu gilt es, die zu schützenden Daten und Systeme zu identifizieren und die eigenen Schwächen zu kennen und sie mit geeigneten, zielgerichteten Schutzmechanismen zu versehen.“
„Sicherheit ist nicht alles, aber ohne Sicherheit ist alles nichts“, so bringt es Stephan Reisser auf den Punkt. Für den Beratungsleiter Innovations bei der All for One Steeb AG kann es keine  100-prozentige Sicherheit geben, ebenso wenig wie 100-prozentige Qualität: „Nach unseren Erfahrungen wird das Thema ‚Datensicherheit‘ als ein bedeutender – aber keinesfalls als der einzig entscheidende – Evaluationspunkt in die Gesamtbewertung der ERP-Betriebsszenarien mit einbezogen. Gerade weil es bei ERP 2020 nicht nur um die eigenen vier Wände geht, und sich unsere Rechenzentren ausschließlich in Deutschland befinden und damit den weltweit wohl höchsten Sicherheitsstandards und deren gesetzlichen Rahmenbedingungen unterliegen, kommen in konkreten Projekten schnell unsere Enterprise Cloud Services zum Tragen.“

Unternehmensübergreifend

Karl Tröger, Produktmarketing der PSI Automotive & Industry GmbH, Quelle: PSI

Die fortschreitende Vernetzung von Geschäftspartnern stellt die Grundlage der unternehmensübergreifenden Auftragsabwicklung im Zusammenhang mit Industrie 4.0 dar. Diese Sichtweise macht sich Karl Tröger aus dem Produktmarketing der PSI Automotive & Industry GmbH zu eigen: „Schrittweise werden sich neben den bereits vorhandenen Systemen weitere Elemente in die Prozesse integrieren. Dazu gehören beispielsweise Maschinen oder intelligente Produkte. Gegenstand der Vernetzung werden neben den für die Auftragsabwicklung typischen Daten und Informationen auch mehr und mehr Nutzungs- und Maschinendaten sein. Diese Daten werden auf ihrem Weg vom Sensor mit semantischen und kontextuellen Informationen angereichert und verknüpft. Die gewonnenen Informationen haben direkten Einfluss auf die Auftragsabwicklung und werden damit Eingang in die Planungs- und Steuerungsalgorithmen der ERP- und MES-Systeme finden.“

Für Tröger erfordert der Anspruch einer automatisierten Kommunikation zwischen den beteiligten Systemen, Anlagen und Produkten konsequent angewendete Sicherheits- und Schutzmechanismen bei der Datenhaltung und den eigentlichen Kommunikationswegen: „Authentifizierung und Autorisierung vor der Nutzung der Daten und Funktionen bekommt eine gegenüber dem heutigen Status quo nochmals höhere Bedeutung. Hier besteht mit Sicherheit noch Handlungsbedarf – und sei es nur bei der umfassenden Umsetzung bestehender Normen und Standards. Infrastrukturen lassen sich bereits heute relativ gut absichern. Etablierte Sicherheitskonzepte müssen nun erweitert und auf weitere Komponenten wie intelligente Produkte und vernetzte Maschinen und Anlagen anwendbar gemacht werden. Hier besteht insbesondere im Umfeld der Automatisierungstechnik großer Handlungsbedarf.“

Beim Zugriff auf Datenbestände bzw. bei der Nutzung von Funktionen der MES- und ERP-Systeme durch mobile Anwendungen bedarf es für Tröger weiterer Voraussetzungen: „Heutige monolithische Anwendungen müssen aufgebrochen und nach außen geöffnet werden. Serviceorientierte Architekturen der zugrundeliegenden Softwaresysteme unterstützen in einem ersten Schritt den Prozess der Zerlegung dieser großen Anwendungen am Frontend (oder Mensch-Maschine-Interface) in kleinere und eben auch einfacher und intuitiv bedienbare Apps.“

Der Zugriff auf die Systeme bzw. deren APIs (Application Programming Interface) sei selbstverständlich abzusichern. Hier seien bereits heute verschiedene Sicherheitssysteme verfügbar und anwendungsbereit, so Tröger weiter: „Es wird darauf ankommen, die Zugriffsmechanismen der unterschiedlichen Kommunikationskanäle zu vereinheitlichen und damit auch beherrschbar zu machen. Nur so kann die Anwendung und kontinuierliche Verbesserung der Sicherheitssysteme gewährleistet werden. Besonders im Umfeld mobiler Devices müssen weitere Aspekte berücksichtigt werden. Hierzu gehört beispielsweise der Schutz der Daten und Informationen bei Verlust der Geräte. Entsprechende Methoden müssen in die Anwendungen integriert werden.“ Nicht zuletzt werde es darauf ankommen, die beteiligten Menschen und Anwender der Systeme für Sicherheitsthemen zu sensibilisieren und den verantwortlichen Umgang mit den neuen Möglichkeiten zu erlernen.

„Sicherheit war noch vor einigen Jahren eine viel größere Hürde“, berichtet Martin Gunnarsson, Product Director bei IFS. „Die Weiterentwicklung von Technologien und die gesteigerte Fokussierung auf Sicherheitsaspekte resultieren in einem deutlich reiferen Blick auf die Datensicherheit. Heute können fortschrittliche Cloud-Rechenzentren tatsächlich als sicherer angesehen werden als unternehmenseigene Rechenzentren, da sie zum einen von hoch qualifizierten Mitarbeitern betrieben werden und zum anderen modernste Systeme und Dienstleistungen bieten.“

Er befürchtet, dass Industrie 4.0 durch die zahlreichen, mit dem Internet verbundenen „Smart-Devices“ wohl immer ein Ziel von Hacker-Angriffen und somit auch ein Sicherheitsthema sein wird. Diese neue Industrie arbeite nach einer neuen Vorgehensweise, so Gunnarsson: „Intelligente Produkte haben einen genauen Standort, einen Status, historische Daten sowie verschiedene Möglichkeiten, um den endgültigen Zustand zu erreichen. Das bedeutet, dass eine enorme Datenmenge generiert wird, die diese Produkte eindeutig identifizieren kann. Daher ist es erforderlich, die gesamte Infrastruktur vor unbefugtem Zugriff zu schützen und jedwede Art von Informationsmissbrauch zu verhindern.“

Rainer Huttenloher