Blinder Fleck ERP-Sicherheit: Wie Unternehmen sich besser schützen können

ERP-Systeme und SAP-Anwendungslandschaften sind grundlegend für operative Unternehmensprozesse. Sie bilden das Rückgrat vieler Unternehmen und sind gleichzeitig ein gefährlicher blinder Fleck in der Cybersicherheitsstrategie. Denn trotz ihrer geschäftskritischen Bedeutung wird ihre Absicherung häufig vernachlässigt – mit potenziell gravierenden Folgen. Angesichts zunehmender Cyberangriffe, die dank KI immer raffinierter werden, gerät der Schutz dieser Systeme jedoch mehr denn je in den Fokus. So zeigt eine Cybersecurity-Studie dass bei 9 von 10 Ransomware-Angriffen ERP-Systeme betroffen sind. Doch warum bleibt ERP-Sicherheit so oft außer Acht? Und wie können Unternehmen dem entgegenwirken?

Unterschätzte Bedrohungslage

Obwohl sich die Cyberkriminalität in den letzten Jahren extrem professionalisiert hat und Hackergruppen mitunter organisiert sind wie Großunternehmen, wird der ERP-Sicherheit auf der Verteidigerseite vielfach nicht die Priorität eingeräumt, die ihr zustünde. Ein Angriff auf das ERP-System kann ohne weiteres den gesamten Betrieb lahmlegen: Laut einer Studie  sind 62 % der DACH-Unternehmen von Ausfallzeiten von mindestens 24 Stunden betroffen. Und dennoch herrscht vielerorts noch die Meinung – oder Hoffnung: „es wird schon nicht uns treffen“. Die Realität sieht jedoch anders aus: Die Frage ist nicht ob, sondern wann ein Unternehmen ins Visier von Cyberangreifern gerät.

Frei nach dem Motto „There is no glory in prevention“ werden in vielen Unternehmen Sicherheitsinvestitionen aufgrund der teilweise recht abstrakt wirkenden Risiken oft aufgeschoben. Vielen Verantwortlichen in der Führungsebene und sogar CISOs fehlt zudem die nötige tiefgehende Expertise in der Absicherung von ERP-Systemen und das mangelnde Verständnis für die Komplexität von SAP-Umgebungen erschwert dann eine fundierte Schutzstrategie.

Die größten Gefahren

ERP-Systeme sind gleichermaßen Angriffsziel externer und interner Bedrohungen. Externe Angriffe setzen häufig auf Phishing, automatisierte Exploit-Ketten oder Zero-Day-Sicherheitslücken, also bisher noch nicht bekannte Lücken, für die es noch keine Patches gibt. Eine Untersuchung des Risk Barometer 2024 zeigt, dass Cybervorfälle weiterhin das größte Risiko für Unternehmen darstellen.

Doch auch interne Faktoren spielen eine Rolle: Fehlendes Fachwissen führt oft dazu, dass Bedrohungen unterschätzt und wichtige Schutzmaßnahmen vernachlässigt werden. Besonders häufig fehlen grundlegende Sicherheitsvorkehrungen wie Multi-Faktor-Authentifizierung (MFA), die Nutzung von Verschlüsselung oder die Segmentierung von Netzwerken, um Angriffe auf bestimmte Bereiche begrenzen zu können. Ebenso wird die regelmäßige Durchführung von Penetrationstests und Sicherheitsaudits sowie ein kontinuierliches 24/7 Log-Monitoring aus Ressourcengründen häufig vernachlässigt. Wenn dann aufgrund dieser fehlenden Maßnahmen ein Sicherheitsvorfall auftritt, kommt erschwerend hinzu, dass viele Unternehmen keine ausreichenden und konsequenten Backup-Strategien verfolgen. Diese Versäumnisse machen Unternehmen anfällig und erhöhen das Schadenspotenzial eines Angriffs erheblich.

Herausforderungen bei der ERP-Sicherheit

Eine der größten Hürden ist der mangelnde Überblick über die eigene ERP-Landschaft. Neben Produktivsystemen existiert oft eine Vielzahl von Altsystemen, die nicht ausreichend dokumentiert und/oder gepatcht sind. Laut dem 2024 Data Breach Investigations Report bleiben 85 % der Schwachstellen noch 30 Tage nach der Bereitstellung von Patches unbeseitigt, 47 % sogar noch 60 Tage danach. Bedrohungsakteure nutzen solche Schwachstellen gezielt aus und können dann in die Tiefen der SAP-Landschaften eindringen und Daten verschlüsseln oder extrahieren. Hinzu kommt der Fachkräftemangel in der IT: Viele Mitarbeitende sind Generalisten, die mit täglichen Administrationsaufgaben ausgelastet sind, sodass kritische Updates verzögert oder gar nicht implementiert werden. Das ist wie eine Einladung für Angreifer.

Lösungsansätze für eine bessere ERP-Sicherheit

Um ERP-Systeme effektiv zu schützen, bedarf es einer ganzheitlichen Sicherheitsstrategie:

1. Transparenz schaffen:

Unternehmen sollten alle Systeme, einschließlich Alt- und nachgelagerter Systeme, inventarisieren und dokumentieren. Diese Transparenz ermöglicht es, Schwachstellen frühzeitig zu erkennen.

2. Regelmäßige Sicherheitsüberprüfungen:

Die gesamte ERP-Landschaft sollte regelmäßig auf Schwachstellen überprüft werden. Dabei helfen automatisierte Sicherheitslösungen, die kontinuierliche Audits und Log-Monitoring bieten. Solche Tools können Anomalien frühzeitig anzeigen und beheben sowie verdächtige Aktivitäten melden, bevor Angreifer sich im Netzwerk ausbreiten können.

3. Security-Patches implementieren:

Eine zeitnahe Implementierung von Security-Patches ist essenziell. Wenn personelle Ressourcen knapp sind, können automatisierte Lösungen und die Zusammenarbeit mit einem spezialisierten Sicherheitsprovider, der eng mit SAP zusammenarbeitet, dabei unterstützen, Patches automatisiert und effizient im Arbeitsalltag einzuspielen.

4. Schulung der Mitarbeitenden:

Auch wenn Security-Awareness insbesondere in Zeiten von qualitativ hochwertigen, KI-gestützten Attacken als alleinige Sicherheitsmaßnahme nicht mehr ausreicht, sollten Unternehmen in die Schulung ihrer Mitarbeitenden investieren. Sicherheitsbewusstsein auf allen Ebenen ist entscheidend, um Social-Engineering-Angriffe oder menschliche Fehler zu minimieren und insbesondere weniger elaborierte Angriffe schnell zu erkennen und zu stoppen. Spezifische Schulungen für IT-Teams zu ERP-Sicherheit können zudem dazu beitragen, die interne Fachkompetenz auszubauen.

5. Netzwerksegmentierung und Verschlüsselung:

Die Implementierung von granularer Netzwerksegmentierung kann die Ausbreitung von Angriffen eindämmen. Verschlüsselung sollte für alle sensiblen Daten Standard sein, um die Vertraulichkeit zu wahren.

Backup-Strategien optimieren:

Unternehmen sollten ihre Backup-Strategien überprüfen und regelmäßig testen. Backups sollten nicht nur erstellt, sondern auch auf ihre tatsächliche Wiederherstellbarkeit geprüft werden, um im Ernstfall schnell reagieren zu können und keine bösen Überraschungen zu erleben.

ERP-Sicherheit: ein geschäftskritisches Thema

ERP-Sicherheit darf nicht länger nur als reine IT-Aufgabe gesehen werden. Die Sicherung geschäftskritischer Systeme sollte auch auf Vorstandsebene Priorität haben. CISOs müssen mit entsprechender Entscheidungsmacht ausgestattet und aktiv in die strategische Unternehmensführung eingebunden werden. Nur so kann IT-Sicherheit den Stellenwert erhalten, der erforderlich ist, um Unternehmen langfristig vor den wachsenden Bedrohungen zu schützen.

Die Botschaft ist klar: ERP-Sicherheit ist nicht nur eine technische Notwendigkeit, sondern ein geschäftskritischer Faktor, der über Erfolg und Bestand von Unternehmen entscheidet. Unternehmen, die frühzeitig auf eine umfassende Sicherheitsstrategie setzen, können nicht nur Bedrohungen abwehren, sondern auch ihre digitale Transformation nachhaltig absichern.