Informationssicherheit von ERP-Systemen

ERP Sicherheit

Informationssicherheit steht bei ERP-Projekten selten bis nie an vorderster Stelle. Doch ERP-System steuern für Unternehmen kritische Prozesse und beherbergen schützenswerte Personen- und Unternehmensinformationen. Was kann und soll zum Thema Informationssicherheit im ERP-Umfeld berücksichtigt werden, wie steht es um die Informationssicherheit beim eingesetzten ERP-System und dessen Umgebung? Bei der Informationssicherheit gilt: Vertrauen ist gut, Kontrolle ist besser und fachgerechte Vorkehrungen sind Pflicht. Bei den Vorkehrungen wird oft von einem ISMS (Informations-Sicherheits-Management-System) gesprochen.

Weshalb soll neben dem ROI auch noch die Compliance berücksichtigt werden? Gemäss dem Nachrichten Dienst des Bundes (NDB) sind das Problembewusstsein und die Schutzbemühungen von Schweizer Unternehmen unterschiedlich gross. Besonders grössere Firmen weisen einen sehr professionellen Umgang mit den Risiken auf. Verbesserungspotential wurde insbesondere bei KMUs festgestellt.

Informationssicherheit – ein paar Beispiele

  • Studie: Jeder verlorene Datensatz (durch Datenklau, System-Fehler oder verlorenem Endgerät) kostet Firmen im Schnitt 138 Euro (Quelle: CIO, Millionenschäden durch Datenlecks, 2011)
  • Praxis: Über 1’500 Dokumente mit Bewerbungen für Professuren öffentlich zugänglich (Quelle: news.ch, Datenleck bei der Uni Basel, 2014)
  • Bericht: Cyber-Spionage auf dem Vormarsch und richtet sich auch vermehrt gegen KMU (Quelle: Online PC, Internet Security Threat Report, 18. Ausgabe, 2013)
  • Umfrage: Rund drei Viertel der Sicherheitsexperten sind der Meinung, dass Arbeitnehmer bei Verlust ihres Arbeitsplatzes bereit wären, sensible Daten zu entwenden, um daraus Kapital zu schlagen (Quelle: news.ch, Websense. e-Crime Congress, 2009)
  • Bekanntmachung: Vertec erhält Zertifizierung für Informationssicherheit (Quelle: itreseller.ch, 2014)

Ein Problem mit Daten, mit der Sicherheit wird selten aktiv kommuniziert. Trotzdem ist die Suche nach Beispielen keine Hexerei. Dies und die obigen Beispiele zeigen, dass Informationssicherheit, insbesondere auch bei KMU, und vor allem in Systemumgebungen mit der Abbildung kritischer Prozesse und schützenswerter Informationen – also bei ERP-Systemen – gross geschrieben werden sollte.

Strukturiertes Vorgehen

Kommen wir zurück zum eingangs erwähnten ISMS. Der Weg zur Verbesserung der Informationssicherheit kann mit folgender Methode geführt werden:

  • PLAN: ISMS aufsetzen und zum Thema machen. Mit einem strukturierten Vorgehen wird die Organisation in der Implementation von Standards, Einhaltung der Verfahren und Sicherstellung des Risikomanagement unterstützt. Fragestellungen: Ziele, Bedarf, Anforderungen, Umfang?
  • DO: Verantwortlichkeiten, Ziele, Termine, Aufgaben und Kompetenzen regeln. Geeignete Aktionen und Bereitstellung der Ressourcen. Fragestellungen: Bedeutung, angestrebte Verbesserungen, Anwendbarkeit, Rollen- und Aufgabenbeschreibungen?
  • CHECK: Kontrolle, Überwachung, Abweichungen erkennen.
  • ACT: Lernen und verbessern. Fragestellungen: Zertifizierung, Audit, notwendige Anpassungen, Schulungen?

Kosten versus Nutzen? Diese Frage ist eine in der Kategorie „schwierig zu beantworten“. Die Kosten sind den möglichen Risiken und dem Nutzen gegenüber zustellen. Zuerst soll in Massnahmen investiert werden, welche besonders effektiv sind oder gegen besonders hohe Risiken schützen. Die effektivsten Massnahmen sind dabei erfahrungsgemäss nicht immer die teuersten. Es ist daher unerlässlich, die Abhängigkeit der Geschäftsprozesse und Aufgaben der Informationsverarbeitung zu kennen, um angemessene Sicherheitsmassnahmen auswählen zu können. Häufig können (teure) technische Lösungen durch organisatorische Massnahmen ersetzt werden. Oft ist es jedoch schwierig, die organisatorischen Massnahmen konsequent umzusetzen und der personelle Aufwand steigt und beleastet somit auch die Ressourcen. (Quelle zu den Ausführungen Kosten versus Nutzen: BSI-Standard 100-1, Managementsysteme für Informationssicherheit)

Interessante und weiterführende Informationen

ERP-Risiko-Managament (ISSS-Forum)

Security Insider

Mehr Informationssicherheit für KMU

Massnahmenkatalog am Beispiel SAP ERP

Nüchterne Sicherheitslösungen (KMU-Rundschau)

Studie zur IT-Sicherheit in KMU (BSI)

Wirtschaftsspionage. Sind CH KMU bedroht?

Informationssicherheit – Fazit

Informationssicherheit ist (auch) Chefsache. ISO 27001 erwartet von der Geschäftsführung klare, geregelte Verantwortlichkeiten und ein Vorausgehen mit gutem Beispiel (Vorbildfunktion).

„Da kommt mir gerade ein Beispiel, und noch eins, … in den Sinn. Der Geschäftsführer mit dem neuesten Smartphone, inkl. Datensynchronisierung; der IT-Administrator mit beinahe unendlich vielen Rechten und Berechtigungen auf der Datenbank; der Lehrling der seine Bilder vom Wochenende auf den lokalen PC lädt; die freundliche Dame am Empfang mit den vielen gelben, selbstklebenden Notizzettel oder dem Passwort gleich neben der Tastatur aufgeklebt;  Anwendungsberechtigungen quer durch alle eingesetzten Module im Unternehmen; der Verkaufsleiter der über einen öffentlichen Hotspot (WLAN) die aktuellen Umsatzzahlen betrachtet; … !“

Selten stehen den KMU genügend Ressourcen für die Gestaltung und Umsetzung von ISMS zur Verfügung. Die Verwendung von zur Verfügung gestellten Hilfsmitteln, die Festlegung der Verantwortlichkeiten, die Planung der zu installierenden / konfigurierenden Elemente und eine interne, schriftliche Regelung tragen viel zur Verbesserung der Informationssicherheit bei. Mit einfachem, klarem, praxisnahe und umsetzbarem Vorgehen kann eine nachhaltige Verbesserung sichergestellt werden.

Zusammen mit dem ERP-Einsatz im Unternehmen kann die Informationssicherheit auf folgenden Pfeilern basieren:

  • Klare Verantwortlichkeiten schriftlich definieren. Entscheidungsträger und Fachperson sollten sich die Rollen teilen / trennen
  • Richtlinien und Rahmenbedingungen erarbeiten und dokumentieren
  • Identifizierung der schützenswerten Informationen (auch Inventory of Information Assets genannt)
  • Beschreibung der Grundsätze
  • Regelmässige und wiederkehrende Fortschritts- und Erfolgskontrolle
Veröffentlicht am 9. November 2014
3 Kommentare

[…] Werden Behördendaten vermehrt in der Cloud verarbeitet, kann auch die Wirtschaft und insbesondere die KMU profitieren. Beispielsweise bei der Standardisierung, der Förderung von entsprechenden Vorhaben und Projekten, Korrektur und Erarbeitung von rechtlichen Grundlagen und in der Schaffung von Rahmenbedingungen zur Verbesserung der Informationssicherheit. […]

[…] Die elektronische Rechnungsverarbeitung ist zweifelsohne mit einigen Herausforderungen verbunden. So gilt es, die Vorgaben des Gesetzgebers (z.B. bzgl. Anforderungen an die elektronische Signatur gem. EIDI-V, Art.2, Abs.2, sowie im Bereich von Finanzinstitutionen), die Vielzahl unterschiedlicher Anbieter, die notwendige technische Integration von e-Invoices, sowie die bestehende Systemlandschaft (ERP-Lösungen, Automatisierung) zu berücksichtigen. Ein starker Berater im Bereich Software-Evaluation und ein kompetenter Systempartner garantieren hierbei die Berücksichtigung sämtlicher interner und externer Faktoren, die für die erfolgreiche Umstellung nötig sind. Gerade das Thema Datensicherheit im IT- bzw. ERP-Umfeld gewinnt zunehmends an Brisanz (s. dazu auch unseren Blog bzgl. Informationssicherheit). […]

Kommentar schreiben