Ein Enterprise Resource Planning- oder kurz ERP-System ist oft nicht nur das Herzstück zahlreicher großer Unternehmen und Konzerne, sondern kommt – seitdem weniger komplexe und dennoch leistungsfähige Systeme als Software-as-a-Service-Lösungen auf dem Markt sind – auch zunehmend bei klein- und mittelständischen Unternehmen zum Einsatz. Die auch in kleineren Unternehmen vorhandenen Ressourcen wie Betriebsmittel, Kapital oder Mitarbeiter zentral taktisch und strategisch steuern, einsetzen und kontrollieren zu können, bedeutet für jede Organisation Vorteile. Da Planungs- und Steuerungstools zumeist mit verbesserten Abläufen, anpassungsfähigeren Strukturen sowie optimierten Geschäftsprozessen einhergehen, sind sie auch zu einem wichtigen Wettbewerbsfaktor geworden.

Wie aber ist es um die Sicherheit von ERP-Lösungen bestellt? Keine Organisation – auch nicht die größte – kann es sich leisten, personenbezogene Daten sowie sensible Informationen zu Produkten, Kunden oder Umsatzahlen durch Sicherheitslücken zu verlieren oder in die falschen Hände zu spielen. Wie sicher sind also ERP-Systeme? Wir versuchen, Antworten zu finden.

Wie sicher sind ERP-Systeme?

Wie sensibel sind ERP-Daten?

Mit einem ERP-System ist der Anspruch verbunden, ein Unternehmen als Ganzes abzubilden und sämtliche Unternehmensbereiche zu erfassen. Gemeinhin stehen Programme für Finanzbuchhaltung, Auftragsbearbeitung, Warenwirtschaft, CRM und Personalwesen zur Verfügung. Viele der hinterlegten Unternehmensdaten, unter anderem solche aus dem Controlling oder aus dem Rechnungswesen, haben auch auf die Geschäftsprozesse einen maßgeblichen Einfluss. Daher ist der Schutz dieser Daten nicht allein sicherheits-, sondern auch erfolgsrelevant.

In ERP-Systemen ist jener geradezu geschäftsentscheidende Schutz jedoch gegeben, da die Systeme durch Firewalls und spezifisch steuerbare Zugriffsbefugnisse sowohl mit einer effektiven Zugriffskontrolle ausgestattet als auch maximal gegen Angriffe von außen abgesichert sind. Dennoch können verschiedene Dinge beachtet werden, um die vorhandene Sicherheit von ERP-Systemen nicht zu gefährden.

Sicherheitsmechanismen im ERP-System – der Anwender ist gefragt

Zumeist sind ERP-Systeme also mit absichernden Mechanismen wie etwa einer stark individualisierbaren Struktur von Zugriffsrechten ausgestattet. Diese Funktion, die beispielsweise den ausgedehnten Download von Kundendaten unterbinden soll, gilt es jedoch auch übergreifend anzuwenden. Den verschiedenen Anwendern, die jeweils unterschiedliche Arbeitsziele verfolgen, unterschiedliche Kompetenzen besitzen und unterschiedliche Rollen in Unternehmen bekleiden, sollte anhand rollenbasierter Zugriffsregeln also nur der Zugriff auf die Daten ermöglicht werden, die sie auch tatsächlich benötigen.

Diese Einstellungen im ERP-System vorzunehmen und entsprechende Zugriffsregeln zu definieren, ist also Aufgabe des Unternehmens, das demnach einen Großteil der Verantwortung für die Sicherheit seiner Daten selber trägt. Dabei kann der Schutz durch das Regelwerk nur so gut sein, wie es die vorher festgelegten Regeln zulassen. Ebenso muss das Unternehmen dafür Sorge tragen, dass die Regeln restriktiv gehandhabt werden und Regeländerungen ausschließlich von Personen vorgenommen werden können, die über spezielle Berechtigungen verfügen. Auch eine regelmäßige Überprüfung und erforderliche Anpassungen der Einstellungen sind ratsam, wenngleich hier die Gefahr besteht, dass schon kleinere Änderungen unabsehbare Auswirkungen haben und erweiterte Regelungen, mit denen den Unternehmensanforderungen in höchstem Maße entsprochen werden soll, das System maximal komplex werden lassen.

Es reicht jedoch nicht aus, die Daten unternehmensseitig durch Autorisierungsstrukturen und Benutzerrollen zu schützen. Vielmehr sollten die Mitarbeiter unbedingt für den achtsamen Umgang mit sicherheitsrelevanten Informationen sensibilisiert werden und sich dazu verpflichten. Denn bei Daten, die exportiert und beispielsweise unverschlüsselt per E-Mail oder im Rahmen eines Präsentationsprogramms versandt werden, kann keine systeminterne Sicherheitsregel mehr greifen. Freilich gibt es auch Datensicherheits- oder Auditing-Lösungen, über die Dokumente klassifizierbar sind und der Download dieser Dokumente nachverfolgt, festgehalten oder bei besonders kritischen Fällen gar verboten werden kann.

ERP-Vorteile vs. ERP-Sicherheitsrisiken

Gegenüber den Nachteilen, bei denen es sich neben dem hohen Aufwand für Integration, individuelle Anpassung, Schulung und Wartung um die mögliche Abschreckung und Entmutigung der Mitarbeiter aufgrund zu komplexer und komplizierter Anwendungen handelt, wiegen die Vorteile von ERP-Systemen durchaus schwer. Dazu zählen:

  • Vermeidung von mehrfach vorhandenen und widersprüchlichen Daten
  • verringerte Bearbeitungszeiten
  • schnellere Prozessabläufe
  • verbesserter Informationsfluss
  • optimierte Zusammenarbeit
  • verbesserter Überblick über die aktuelle Entwicklung des Unternehmens

Außerdem fördert die Arbeit mit ERP-Systemen das Prozessdenken der Mitarbeiter, deren wiederholte Schulungen sich durch bestimmte ERP-Lösungen ebenso umgehen lassen wie erforderliche Anpassungen oder die beständige Wartung.

Neben On-Premises-ERP-Systemen, die im eigenen Haus installiert sind, bieten Dienstleister wie 3S auch cloudbasierte ERP-Lösungen an. Diese haben den weiteren Vorteil, dass sich die Unternehmen nicht um Updates, Wartung und Management kümmern müssen. Auf diese Weise können – da Aktualisierungen und Erweiterungen zum Kundenservice gehören – häufige Weiterbildungen, die wegen immer schnellerer technologischer Entwicklungen und schon nach wenigen Jahren veraltetem Mitarbeiterwissen notwendig werden, entfallen. Gleiches gilt für Investitionen in Schulungen und neue Versionen.

Ausgelagerte Anwendungen garantieren zudem dafür, dass Daten zu Produkten, Finanzen und Kunden selbst durch Brand, Einbruch oder weitreichende IT-Fehler nicht unwiederbringlich verloren gehen können, womit selbst solche Katastrophen nicht zu großen Schäden oder bei kleineren und mittelständischen Unternehmen gar zur Insolvenz führen müssen. Indem cloudbasierte ERP-Systeme häufig georedundant betrieben und obendrein automatisch archiviert und gesichert werden, sind die Firmendaten maximal geschützt. Das gilt dank integrierter Backup-Lösungen oder Schnittstellen zu gängigen Anwendungen, die bereitgestellt werden, jedoch auch für die Daten in ERP-Systemen, welche im eigenen Unternehmen installiert sind.

Die überschaubaren Sicherheitsrisiken, die mit ERP-Systemen einhergehen, werden klar von den Vorteilen überwogen, die sich Unternehmen durch die Nutzung von Planungs- und Steuerungstools bieten. Besonders die so bedeutende Datensicherung ist ein Faktor, der den Ausschlag gibt. Dass speziell bei Cloud-Systemen, bei denen das Unternehmen dem Dienstleister die Geschäftsdaten anvertraut, aufgrund der Überwachungsaffäre von 2013 die Sorge entsteht, dass US-amerikanische IT-Anbieter von den US-Behörden zur Herausgabe der Daten veranlasst werden könnten, lässt sich mit einem deutschen Software-Anbieter umgehen, der eine Partnerschaft mit Microsoft oder einem anderen amerikanischen IT-Konzern eingegangen ist und bei dem das Hosting der Daten in Deutschland stattfindet.

One Response to “Sicherheit bei ERP-Systemen”

  1. Best Writing Service März 29, 2017 at 18:12 #

    Get an expert academic writing assistance. We can write any paper on any subject within the tightest deadline.
    http://superspaper.net