Schutzschild fürs ERP-System: Wie sich Unternehmensdaten wirksam gegen Angriffe absichern lassen

13.12.2018

Daten sind der Schatz jedes Unternehmens und entsprechend attraktiv als Zielscheibe für Angriffe und Manipulationen. Die Mainzer Software-Experten von godesys stellen sich der Aufgabe, die Sicherheitslücke zu schliessen, die das ERP-System als bislang wenig beachtetes Einfallstor für Hacker und Mitarbeiter mit üblen Absichten bildet. Das Unternehmen ist am Forschungsprojekt DeepScan beteiligt. Ziel ist es, einen Machine-Learning-Mechanismus zu entwickeln, der auf Basis grosser Mengen von Unternehmensdaten darauf trainiert wird, Anomalien innerhalb des Systems in Echtzeit zu erkennen und auf potenzielle Gefahren hinzuweisen.

 

 

Wer Verantwortung für ein Unternehmen übernimmt, eliminiert Gefahren für dessen Fortbestand – in der realen Welt ebenso wie in der virtuellen. Dem ERP-System kommt dabei eine besondere Bedeutung zu, da es als virtuelle Abbildung des gesamten Unternehmens alle Daten zusammenführt. Während Datenkonzentration einen Hauptzweck jeder Unternehmenssoftware ausmacht, begründet sie zugleich das Risiko von Schäden und Missbrauch. 

Effektiver Schutz für digitale Assets

Bislang wurde die Sicherheit eines ERP-Systems vor allem durch das Rechtemanagement geregelt – doch ein Teil der internen Bedrohungen lässt sich dadurch nicht entkräften. Nicht minder brisant wird die Gefährdungslage, sobald ein Hacker von aussen die virtuelle Türschwelle überschreitet und die Schwachstellen in der Systemarchitektur erkennt und ausnutzt. Die Folge: „Als Herzstück des Unternehmens benötigt das ERP-System einen Schutz, wie wir ihn in der realen Welt kennen“, erklärt der Projektleiter Prof. Dr. Axel Winkelmann, Inhaber des Lehrstuhls für BWL und Wirtschaftsinformatik der Universität Würzburg. 

Bei vielen Computersystemen schlagen Virenscanner Alarm, sobald eine verdächtige Datei auftaucht; bei ERP-Systemen gibt es jedoch nichts Vergleichbares. Zwar werden ungewöhnliche Aktionen in sehr umfangreichen Protokolldateien erfasst, aber den Nutzern fehlt zurzeit noch die Möglichkeit, diese in Echtzeit zu bemerken und bei Bedarf zu intervenieren.

Im Kern geht es darum, Anomalien rechtzeitig zu erkennen und durch den Administrator bewerten zu lassen. Ein Beispiel: Zwei Mitarbeiter aus Ein- und Verkauf vereinbaren den Einkauf der doppelten Produktmenge, um die zusätzliche Menge privat – beispielsweise über den Webshop des Unternehmens – zu erwerben. Hierbei wird kurzzeitig der Verkaufspreis auf den Einkaufspreis reduziert.

Für das Unternehmen entsteht auf den ersten Blick kein Schaden, da der Verkaufspreis für die zusätzliche Menge dem Einkaufspreis entspricht. Langfristig ist jedoch mit einem Absatzeinbruch zu rechnen, da die zusätzlichen Güter später als Privatverkauf auf dem Markt angeboten werden.

Ein weiteres Beispiel: Ein Hacker gelangt in das ERP-System und hinterlegt bei den Kontodaten für Reisekostenabrechnungen seine eigene Kontonummer und zweigt Geld zum Schaden des Unternehmens ab. Es zeigt sich: Die Möglichkeiten der Manipulation sind zahlreich. 

Prozessexzellenz als Grundlage für Automatisierung

Die beschriebenen Fälle stellen Anomalien dar, die in Zukunft mithilfe von Deep Scan erkannt werden sollen. Das Prinzip hinter dem sogenannten Problem–Based-Learning (PBL): Anhand grosser Unternehmensdatensätze lernt die intelligente Software potenzielle Betrugsfälle kennen und meldet neue Anomalien im Workflow automatisch. Zusätzlich erhält sie Feedback von der IT, ob den von ihr gemeldeten Anomalien tatsächlich eine Bedrohung zugrunde lag, und wird dadurch kontinuierlich verbessert.

„Das KI-basierte Gefahrenmanagement wird perspektivisch ein Teil der ERP-Umgebung – und gerade hier punktet godesys ERP mit seiner leistungsfähigen Prozesssteuerung“, kommentiert Winkelmann. „Die Lösung erlaubt die logische Steuerung und Automatisierung der PBL-Prozesse über Workflows und liefert eine zukunftsweisende Basis für die hochgradig relevante Forschung, die wir im Rahmen von DeepScan angestossen haben.“ 

„IT-Sicherheit ist ein Thema, das ans Eingemachte geht – insbesondere im ERP-Kontext, wo sämtliche existenzwichtigen Daten eines Unternehmens gebündelt vorliegen“, erklärt Godelef Kühl, Gründer und Vorstandsvorsitzender der godesys AG. „Vor diesem Hintergrund nehmen wir unsere Verantwortung gegenüber unseren Kunden sehr ernst und haben mit unserer Beteiligung am Projekt DeepScan einen weiteren entscheidenden Schritt für das ERP für morgen eingeleitet. Dabei setzen wir ganz neue Impulse im KI-Segment, weil es bislang kaum entsprechende Lösungen für den Mittelstand gibt und der KI-Aspekt hier weitaus mehr leistet als ein blosses Buzzword. Denn unterm Strich bereitet die Lösung den Anwendern ein gutes Gefühl, wenn sie wissen, dass nichts passieren kann. Zudem ermöglicht der Echtzeiteingriff eine Verringerung des betrieblichen Aufwands, die als Kostenersparnis wirksam wird.“

 

 

Über godesys

Mit ERP-Lösungen für kundenorientierte Unternehmen unterstützt godesys den Mittelstand dabei, die Effizienz seiner Mitarbeiter zu steigern, die Prozessqualität sowie -geschwindigkeit zu erhöhen und gleichzeitig die Kosten zu senken. Zahlreiche Auszeichnungen wie das „ERP-System des Jahres“ 2009, 2010 und 2011, das TOP PRODUKT HANDEL 2014, 2015 und 2016 oder das Gütesiegel „Software made in Germany“ unterstreichen godesys Position als führender deutscher ERP-Anbieter. Die godesys-Plattform basiert auf offenen Standards und zeichnet sich durch branchenspezifische Funktionalitäten aus. Mehr als 650 Kunden setzen bereits erfolgreich Lösungen aus dem Hause godesys ein. godesys wurde 1992 gegründet, hat seinen Hauptgeschäftssitz in Mainz und weitere Niederlassungen in der DACH-Region. 

Weitere Informationen über die flexiblen ERP-Lösungen von godesys finden sich unter http://www.godesys.de.

 

godesys AG
vertreten durch:

ifax Schweiz GmbH
Kauffmannweg 14
Postfach 2264
6002 Luzern


Tel.: +49 (0)6131 – 95977-0
info@godesys.de

www.godesys.ch