17. April 2024

Informationssicherheit von ERP-Systemen in der Cloud

Mit der zunehmenden Migration von Unternehmensanwendungen in die Cloud rückt die Sicherheit sensibler Daten und Geschäftsprozesse in den Mittelpunkt der Bedenken von Unternehmen weltweit. Dieser Artikel beleuchtet die Herausforderungen und Vorteile, denen Kundinnen und Kunden gegenüberstehen, wenn sie ERP-Systeme in die Cloud verlagern. Der Schwerpunkt liegt dabei auf den Unterschieden in der Informationssicherheit im Vergleich zu intern betriebenen Systemen. Themen wie Zugriffskontrolle, Verschlüsselung, Datensicherung und Compliance werden unter die Lupe genommen und die Besonderheiten der beiden Betriebsmodelle aufgezeigt. Besonderes Augenmerk wird auch auf die Identifizierung und Bekämpfung von Sicherheitsrisiken gelegt, die speziell bei cloudbasierten ERP-Systemen auftreten können.

Der weltweite Umsatz im ERP-Softwaremarkt beträgt im Jahr 2023 nach Angaben von Statista Market Insights [1] etwa 46,39 Milliarden Euro. Dieselbe Quelle gibt eine jährliche Wachstumsrate dieses Umsatzes (CAGR 2023–2028) von 5,42 % an, was zu einem prognostizierten Marktvolumen von 60,41 Milliarden Euro im Jahr 2028 führt. Für das Jahr 2023 prognostiziert Gartner einen weltweiten Umsatz mit Public Cloud Services von rund 597 Milliarden US-Dollar [2]. Laut der Studie Cloud-ERP 2021 von IDG Research Services [3] betreiben bereits 40 % der Befragten ihre ERP-Lösung in der Cloud. Knapp 22 % nutzen ein hybrides Modell, bei dem ein ERP-Kernsystem um Cloud-Funktionen erweitert wird. Für 60 % der Befragten haben Cloud-ERP-Systeme einen hohen Stellenwert im Rahmen ihrer Digitalisierungsstrategie. Allgemeine Cloud-Technologien werden sogar von 70 % priorisiert [3].

Studien und Prognosen zeigen deutlich eine positive Entwicklung, an der die Corona-Pandemie sicherlich ihren Anteil hat. 45 % der Befragten der Studie Cloud-ERP 2021 [3] betreiben ihre ERP-Lösung jedoch noch On-Premises. Es bestehen also noch einige Unsicherheiten bei den Unternehmen, insbesondere hinsichtlich der Risiken und Grenzen von Cloud-ERP-Lösungen. Rund 27 % nennen den Sicherheitsaspekt und 32 % das Risiko des Datenverlusts als ausschlaggebende Gründe gegen ein Cloud-ERP-System [4]. Der folgende Beitrag soll hier für etwas mehr Klarheit sorgen.

On-Premises-ERP versus Cloud-ERP

Cloud-ERP geht auf die ersten Application Service Provider (ASP) Anfang der 2000er-Jahre zurück. Sie hosteten und verwalteten bereits Unternehmenssoftware. Ihre Nachfolger sind die heutigen Software-as-a-Service-Angebote von ERP- oder Drittanbietern. Diese verwalten das ERP-System und die zugehörigen Daten zentral in der Cloud, von wo aus der Kunde bei Bedarf darauf zugreifen kann. Die Anbieter stellen die gesamte Infrastruktur zur Verfügung, also Server, Betriebssysteme, Datenbanken, Rechenzentren, Back-up-Equipment oder Programmierumgebungen. Die Speicherung und Wartung aller relevanten Daten und Anwendungen erfolgt aus der Ferne. Die meisten traditionellen ERP-Anbieter haben mittlerweile ein Cloud-Angebot in ihrem Portfolio, darüber hinaus gibt es neue ERP- und Best-of-Breed-Anbieter auf dem Markt, die ihre Software ausschließlich über die Cloud anbieten [5].

Die Einführung bzw. Implementierung eines Cloud-ERP ist wesentlich schneller als bei einem On-Premises-ERP, da keine IT-Infrastruktur angeschafft und installiert werden muss. Darüber hinaus lassen sich diese Systeme leichter skalieren, wenn sich die Unternehmensgröße ändert, und bieten somit eine größere und schnellere Elastizität. Während des Betriebs liegt die Verantwortung für das Monitoring, die Wartung der Infrastruktur, Updates und Patches, Datensicherung sowie den Service beim Cloud-ERP-Anbieter. Der Zugriff auf das Cloud-ERP erfolgt über das Internet, was einerseits die Nutzung heterogener Plattformen begünstigt, andererseits aber auch ein Verfügbarkeitsrisiko birgt. Damit einher geht die Eigenschaft der Ortsunabhängigkeit, da der Kunde in der Regel keine Kontrolle bzw. keine Kenntnis über den genauen Standort der bereitgestellten Ressourcen hat, was aus datenschutzrechtlicher Sicht (Vorgaben der DSGVO) nicht unproblematisch ist [6].

Letztendlich bedeutet die Nutzung von Cloud-ERP-Systemen, dass Unternehmen von einer externen Organisation abhängig sind. Zwar werden in den meisten Fällen Service Level Agreements (SLAs) mit dem Anbieter ausgehandelt, die genau regeln, was geliefert wird und welche Qualität bzw. welches Serviceniveau zu erwarten ist, dennoch überlassen die Kunden dem Anbieter das Ruder und müssen ihm vertrauen. Unternehmen mit einem Arbeitsumfeld, das hochsensible Daten, zahlreiche Anwendungsentwicklungen und eine große Zahl von Benutzern mit sich schnell ändernden Anforderungen umfasst, entscheiden sich daher häufig noch für eine Lösung in Form einer On-Premises-Installation [5].

Informationssicherheit von On-Premises-ERP

Zur Verdeutlichung der Sicherheitsrisiken von On-Premises-ERP-Systemen wird hier auf den Baustein APP.4.2: SAP ERP-System aus dem IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) [7] zurückgegriffen. Dort sind vier spezifische Bedrohungen und Schwachstellen aufgeführt, die nach Ansicht des Autors exemplarisch für alle ERP-Systeme gelten. Die Leser können im Folgenden SAP durch den Namen eines anderen ERP-Systemanbieters ersetzen.

Fehlende Berücksichtigung der Sicherheitsempfehlungen von SAP

Dieser Punkt ist recht unspezifisch und verweist allgemein auf die Sicherheitsleitfäden, die von Herstellern von betrieblicher Anwendungssoftware zur Verfügung gestellt werden. Im Detail wird auf das Benutzer- und Berechtigungsmanagement sowie Empfehlungen zur sicheren Kommunikation und sicheren Schnittstellenbetrieb mittels RFC und Webservices hingewiesen. Es ist bei jedem ERP-System wichtig, alle drei Aspekte sorgfältig zu bedenken und umzusetzen, wie auch in den folgenden Punkten unterstrichen wird.

Fehlendes oder nicht zeitnahes Einspielen von Patches und SAP-Sicherheitshinweisen

Veraltete oder nicht gepatchte Softwarekomponenten können Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können. Um solche Lücken zu identifizieren und zeitnah zu schließen, sollten die Sicherheitshinweise der SAP genutzt werden. Diese werden auch System Recommendations genannt. Zusätzlich bietet SAP Sicherheitsleitfäden und weitere Informationen zu diversen Sicherheitsaspekten, wie beispielsweise für UI-Technologien. Auch für alle anderen ERP-Systeme gilt dieselbe Bedrohung bzw. Schwachstelle. Die Behandlung des Themas obliegt jedoch dem jeweiligen Hersteller.

Mangelnde Planung, Umsetzung und Dokumentation eines SAP-Berechtigungskonzeptes

Das Berechtigungskonzept ist ein zentraler Bestandteil der Sicherheitsstrategie eines ERP-Systems. Es gewährleistet eine effektive Verwaltung und Kontrolle des Zugriffs auf das System sowie den Schutz sensibler Daten. Konkret umfasst das Berechtigungskonzept die Regelung, welche Benutzer auf welche Funktionen und Daten im ERP-System zugreifen dürfen und welche Aktionen damit ausgeführt werden dürfen. Die Hauptaspekte des Berechtigungskonzepts werden im Folgenden erläutert. Zur Implementierung eines effektiven Berechtigungskonzepts müssen Zugriffssteuerung, Berechtigungsstufen, Funktionsberechtigungen, Dateneinschränkungen, Transaktionsberechtigungen, zeitliche Begrenzungen sowie die Protokollierung und Überwachung von Benutzeraktivitäten berücksichtigt werden. Ein solches Konzept gewährleistet, dass ausschließlich autorisierte Benutzer auf die notwendigen Funktionen und Daten zugreifen können, wodurch unbefugter Zugriff verhindert wird. Dies trägt erheblich zur Sicherheit des ERP-Systems bei, da es die Möglichkeit von Datenlecks, Betrug und anderen Sicherheitsverletzungen minimiert. Es ist jedoch wichtig, das Berechtigungskonzept regelmäßig zu überprüfen und anzupassen, um sicherzustellen, dass es den sich ändernden Geschäftsanforderungen und Sicherheitsbedrohungen gerecht wird.

Fehlende SAP-Dokumentation und fehlende Notfallkonzepte

Dokumentationen und Notfallkonzepte sind von großer Bedeutung für die Sicherheit von ERP-Systemen. Sie spielen eine entscheidende Rolle bei der Vorbereitung auf unerwartete Ereignisse und bei der Gewährleistung der Kontinuität der Geschäftsprozesse. Dokumentationen definieren Sicherheitsrichtlinien und -verfahren. Sie legen beispielsweise fest, wie Benutzerkonten angelegt, verwaltet und deaktiviert werden, wie auf Daten zugegriffen werden kann und wie Sicherheitslücken zu beheben sind. Diese Richtlinien sind wichtig für die Einhaltung von Sicherheitsstandards und bewährten Praktiken. Zudem gewährleisten sie die Transparenz und Klarheit bezüglich der Funktionsweise des ERP-Systems und seiner Sicherheitsaspekte. Es ist von Bedeutung, damit alle involvierten Parteien – von Administratoren bis hin zu Endbenutzern – die erforderlichen Sicherheitsmaßnahmen verstehen und einhalten können. Die Dokumentation dient als Schulungsmaterial für Mitarbeiter, die das ERP-System verwenden. Schulungen und Schulungsmaterialien, die auf klaren Dokumentationen basieren, tragen dazu bei, das Bewusstsein für Sicherheitspraktiken zu schärfen und Fehler durch Unwissenheit zu reduzieren.

Die Dokumentation beinhaltet auch Notfallkonzepte, die festlegen, wie mit unterschiedlichen Arten von Notfällen umgegangen werden soll. Dazu zählen beispielsweise Systemausfälle, Datenverlust, Sicherheitsverletzungen oder Naturkatastrophen. Diese Pläne beschreiben, wie das ERP-System schnell wiederhergestellt und der Geschäftsbetrieb fortgesetzt werden kann.

Dokumentation und Notfallkonzepte sind wesentliche Bestandteile eines umfassenden Sicherheitsprogramms für ERP-Systeme. Sie tragen dazu bei, Risiken zu minimieren, die Reaktionsfähigkeit in Notfällen zu verbessern und die Integrität, Verfügbarkeit und Vertraulichkeit von Daten und Prozessen zu schützen, d. h. die Schutzziele der Informationssicherheit zu erreichen.

Diese vier spezifischen Bedrohungen und Schwachstellen beziehen sich auf die Kerninstallation eines ERP-Systems und hier insbesondere auf das SAP ERP-System. Angrenzende IT-Systeme, Betriebssysteme oder Datenbanken, deren Sicherheit direkt mit der des ERP-Systems zusammenhängt, werden nicht berücksichtigt.

Weitere Gefährdungen der Informationssicherheit von betrieblichen Anwendungssystemen

Im Folgenden werden weitere und häufige Gefährdungen der Informationssicherheit von betrieblichen Anwendungssystemen und damit auch von ERP-Systemen benannt, die sich teilweise auch mit den oben dargestellten Bedrohungen und Schwachstellen des IT-Grundschutzkompendiums überschneiden. Zur Verdeutlichung ihrer Einflussbereiche sind sie den drei Dimensionen der Informationssicherheit zugeordnet:

Technik

  • Zugriffskontrolle und Authentifizierung: Dies betrifft die technischen Mechanismen zur Verwaltung von Benutzerrechten und Authentifizierungsmethoden.
  • Datenschutz und Vertraulichkeit: Dazu gehören technische Schutzmaßnahmen wie die Verschlüsselung von Datenübertragungen und -speicherungen, aber auch sichere Schnittstellen und Sicherheitslücken in Software von Drittanbietern.
  • Malware, Phishing und Social Engineering sowie Denial of Service (DoS)-Angriffe: Hierunter fallen technische Maßnahmen wie Antivirensoftware und Firewalls, aber auch Security Information and Event Management (SIEM)-Systeme.

Organisation

  • Sicherheitsmanagement und Compliance: Dies umfasst die Organisation von Sicherheitsrichtlinien und -verfahren sowie die Einhaltung von Sicherheitsstandards und -vorschriften. Dazu gehören auch Benutzer- und Berechtigungsmanagement, Patch-Management, Mitarbeiterschulungen und Risikomanagement.
  • Notfall- und Datensicherungskonzepte sowie Security Incident Response: Die Organisation und Planung von Notfallwiederherstellungsplänen und die Reaktion auf Sicherheitsvorfälle sind ebenfalls organisatorische Aspekte.

Mensch

  • Menschliches Versagen und menschliches Verhalten: Hier geht es um das Verhalten und die Entscheidungen von Mitarbeitern, die zur Sicherheit beitragen oder sie gefährden können. Dazu gehören das Bewusstsein für Sicherheitspraktiken und das Verhalten bei Phishing- und Social-Engineering-Angriffen.
  • Schulung und Awareness: Schulungsmaßnahmen, die das Bewusstsein für Informationssicherheit fördern, fallen in die Kategorie Organisation, aber natürlich auch in die Kategorie Mensch, der letztendlich an diesen Maßnahmen teilnimmt und die Vorgaben verinnerlicht, d. h. ein Sicherheitsbewusstsein entwickelt.

Diese Kategorisierung verdeutlicht noch einmal, dass Informationssicherheit nicht nur technische Aspekte umfasst, sondern auch organisatorische Prozesse und das Verhalten der Mitarbeitenden berücksichtigt. Ein umfassender Sicherheitsansatz muss alle drei Bereiche beachten, um die Sicherheit eines betrieblichen Anwendungssystems effektiv zu gewährleisten.

Informationssicherheit von Cloud-ERP

Informationssicherheit ist eines der Hauptthemen, das Unternehmen bei der Einführung von Cloud-ERP-Systemen beschäftigt. Insbesondere die Aufrechterhaltung der Sicherheit in den Bereichen Zugangskontrolle, Datenschutz und Identitätsmanagement ist für Unternehmen, die eine Migration ihres ERP-Systems in die Cloud erwägen, zu einem entscheidenden Faktor geworden [8].

Bei Betrachtung der vier genannten spezifischen Bedrohungen und Schwachstellen für Cloud-ERP-Systeme aus dem Baustein APP.4.2 des IT-Grundschutzkompendiums wird unmittelbar deutlich, dass sowohl die Berücksichtigung der Sicherheitsempfehlungen von SAP als auch das zeitnahe Einspielen von Patches und SAP-Sicherheitshinweisen in der Verantwortung des Cloud-ERP-Anbieters liegen. Die Planung, Umsetzung und Dokumentation eines SAP-Berechtigungskonzepts sowie der SAP-Dokumentation und des Notfallkonzepts liegen ebenfalls in der Verantwortung des Cloud-ERP-Anbieters, werden aber idealerweise in Zusammenarbeit mit dem Kunden durchgeführt. Diese Zusammenarbeit kann von der reinen Information über die Umsetzung bis hin zur konkreten Mitwirkung bei der Erstellung reichen. Die Erfüllung der Anforderungen dieses Bausteins, die vor allem im technischen und organisatorischen Bereich liegen, ist daher in erster Linie Aufgabe des Anbieters.

Dies lässt sich direkt auf die anderen oben genannten Bedrohungen der Informationssicherheit übertragen. Der technische Bereich liegt vollständig in der Verantwortung des Cloud-ERP-Anbieters. Im Bereich Organisation sollte der Anbieter die treibende Kraft sein, aber den Kunden in die Umsetzung miteinbeziehen. Beide Seiten tragen im Bereich Mensch die volle Verantwortung für ihre eigenen Mitarbeitenden. Ebenso wie der Anbieter dafür sorgen muss, dass seine Belegschaft durch eine Sicherheitskultur und regelmäßige Sicherheitsschulungen ein Sicherheitsbewusstsein entwickelt, muss dies auch der Kunde mit seinen Nutzerinnen und Nutzern des Systems gewährleisten.

Verantwortung des ERP-Cloud-Anbieters

Der Anbieter ist für die Sicherheit der Cloud-Infrastruktur verantwortlich, in der die Daten gespeichert und verarbeitet werden. Dies umfasst Aspekte wie die physische Sicherheit der Rechenzentren, die Netzwerksicherheit und die Verfügbarkeit. Darüber hinaus ist er für die Implementierung geeigneter Sicherheitsmaßnahmen auf Plattform- und Anwendungsebene verantwortlich. Dazu gehören Sicherheitsfunktionen wie Zugriffskontrolle, Verschlüsselung, Schutz der Datenintegrität und Sicherheitsüberwachung. Schließlich sollte er auch sicherstellen, dass seine Cloud-Plattform den geltenden Datenschutzbestimmungen entspricht und über eventuell erforderliche Zertifizierungen verfügt.

Verantwortung des ERP-Cloud-Kunden

Der Kunde ist dafür verantwortlich, seine Daten zu klassifizieren und entsprechende Zugriffskontrollen zu implementieren. Dies bedeutet, dass der Kunde festlegt, welche Art von Daten als sensibel gelten und wer darauf zugreifen darf. Darüber hinaus ist er für die Entwicklung und Umsetzung interner Datenschutzrichtlinien und -verfahren verantwortlich, die den Schutz der Daten gemäß den geltenden Datenschutzgesetzen gewährleisten. Außerdem muss er die Umsetzung angemessener Sicherheitsmaßnahmen auf Anwendungsebene sicherstellen. Dies kann Aspekte wie die sichere Konfiguration des ERP-Systems, die Verwaltung von Benutzerzugriffen und Berechtigungen sowie die Überwachung von Sicherheitsereignissen umfassen. Diese Themen hängen jedoch von der Festlegung der Verantwortlichkeiten im Rahmen des Servicevertrags ab. Letztlich muss der Kunde auch sicherstellen, dass er die geltenden Datenschutzbestimmungen einhält, insbesondere wenn es um die Verarbeitung sensibler Daten in der Cloud geht.

Generell ist zu beachten, dass die genauen Aufgaben und Verantwortlichkeiten je nach Cloud-Anbieter und Kundenvereinbarung variieren können. Um Missverständnisse zu vermeiden und sicherzustellen, dass alle Sicherheitsaspekte angemessen berücksichtigt werden, ist es ratsam, in den Service Level Agreements (SLAs) und Verträgen eine klare Aufteilung der Verantwortlichkeiten festzulegen.

Die Verantwortung für den Datenschutz liegt sowohl beim Cloud-Anbieter als auch beim Kunden. Der Anbieter ist Auftragsverarbeiter und für diese gibt es nach der Datenschutzgrundverordnung (DSGVO/GDPR) besondere Haftungsregeln, wenn sie den Datenschutz verletzen. Diese entbinden den Auftraggeber jedoch nicht von seiner Verantwortung. Er muss sich selbst von den Datenschutzgarantien beim Auftragsverarbeiter überzeugen.

Trotz all dieser möglichen Sicherheitsmaßnahmen haben insbesondere große Unternehmen nach wie vor Bedenken hinsichtlich der Speicherung sensibler Informationen auf den Servern von Cloud-ERP-Systemen Dritter. Weitere Nachteile sind das Risiko von Sicherheits- und Integritätsverletzungen sowie der mögliche Missbrauch vertraulicher Informationen durch die Dienstleister. Eine Lösung bieten hybride Cloud-ERP-Systeme, bei denen die sensibelsten Daten vor Ort gespeichert und die übrigen Module in eine Cloud-Lösung migriert werden [9].

Fazit

Zusammenfassend muss betont werden, dass Cloud-ERP-Systeme nicht weniger Informationssicherheitsrisiken bergen als On-Premises-ERP-Systeme, sondern aufgrund der Beteiligung von mindestens zwei Parteien (Kunde und Anbieter) sogar mehr. 

Umso wichtiger ist daher eine enge Zusammenarbeit und regelmäßige Kommunikation zwischen beiden Parteien. Auf diese Weise kann sichergestellt werden, dass alle erforderlichen Sicherheitsmaßnahmen ergriffen werden und die Daten angemessen geschützt sind. Hierfür ist es wichtig, dass Cloud-Anbieter und Kunden in ihren Vereinbarungen und Verträgen klar festlegen, wer für welche Aspekte der Informationssicherheit und des Datenschutzes verantwortlich ist. 

Literatur

[1] Enterprise-Resource-Planning-Software – Weltweit. (n.d.). Zugriff am 30. August 2023, von https://de.statista.com/outlook/tmo/software/unternehmenssoftware/enterprise-resource-planning-software/weltweit

[2] Gartner. (19. April, 2023). Umsatz mit Cloud Computing** weltweit von 2010 bis 2022 und Prognose bis 2024 (in Milliarden US-Dollar) [Graph]. In Statista. Zugriff am 01. September 2023, von https://de.statista.com/statistik/daten/studie/195760/umfrage/umsatz-mit-cloud-computing-weltweit/

[3] Studie Cloud-ERP 2021, IDG Research Services 14.-18. August 2020.

[4] Bitkom Whitepaper – ERP Trend-Check 2021, Bitkom e.V. Berlin.

[5] Bradford M. (2015). Modern erp : select implement & use today’s advanced business systems (Third). North Carolina State University College of Management.

[6] Fröschle, H. P. (2011). Cloud Computing – Herausforderun gen für IT-Management und -Betrieb. ERP Management, 7(1), 45–46.

[7] APP.4.2: SAP-ERP-System. APP.4: Business-Anwendungen. Edition 2021, Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutzkompendium.

[8] Zhong, F., & Rohde, M. E. (2014). Cloud Computing and ERP: a framework of promises and challenges. ACIS.

[9] Saa, P., Moscoso-Zea, O., Costales, A. C., & Luján-Mora, S. (2017, June). Data security issues in cloud-based Software-as-a-Service ERP. In 2017 12th Iberian Conference on Information Systems and Technologies (CISTI) (pp. 1–7). IEEE.

Prof. Dr. Achim Schmidtmann ist Professor für Wirtschaftsinformatik, insbesondere betriebliche Informationssysteme und ERP-Systeme an der Hochschule Bielefeld und Studiengangsleiter im Master Wirtschaftsinformatik. Von 2006 – 2017 forschte und lehrte er am Fachbereich Informatik der Fachhochschule Dortmund und war von 2014–2017 CIO der Fachhochschule Dortmund.

Prof. Dr. Achim Schmidtmann
Hochschule Bielefeld
Fachbereich Wirtschaft
Interaktion 1
33619 Bielefeld
E-Mail: achim.schmidtmann@hsbi.de
www.hsbi.de