ERP-Software
So können Sie ERP-Software sicher und datenschutzkonform nutzen
Von Christian Siebert, Manager Marketing Communications bei der SelectLine Software GmbH
Eine leistungsstarke ERP-Software gehört für immer mehr Unternehmen zum Standard, um die verschiedensten Unternehmensbereiche zu vernetzen und zu optimieren. Sie stellt einen Knotenpunkt dar, an dem eine Vielzahl von Daten zusammenläuft. Daher ist es kein Wunder, dass Cyberkriminelle die Schwachstellen von ERP-Software gerne ins Visier nehmen. Zum Glück haben Sie viele Möglichkeiten, um Ihr Unternehmen zu schützen.
Cyberangriffe als Hauptgefahr
Die Zahl der Cyberattacken auf Unternehmen ist in den letzten Jahren kontinuierlich gestiegen.
Für 2020 verzeichnete das Bundesamt für Informationssicherheit im Durchschnitt mehr als 340.000 Varianten von Schadprogrammen pro Tag. Die Dunkelziffer dürfte jedoch noch um einiges höher liegen.
Schätzungen gehen davon aus, dass Cyberkriminelle heute einen Schaden von mehr als 100 Milliarden Euro jährlich verursachen. Eine Statista-Umfrage von 2022 ergab, dass bereits 46 Prozent der deutschen Unternehmen Opfer von Cyberkriminalität geworden sind. Gerade kleine und mittlere Unternehmen sind beliebte Ziele, da sie in der Regel über wenige Expertise in Fragen der IT-Sicherheit verfügen.
Aus Hacker-Perspektive stellt ERP-Software ein besonders lukratives Angriffsziel dar. Die Aufgabe einer solchen Software besteht darin, sämtliche Unternehmensprozesse miteinander zu verknüpfen, sodass sie unkompliziert und in Echtzeit verwaltet werden können. Gelingt es Cyberkriminellen, einzelne Daten oder ganze Datensätze zu stehlen, kann dies die Unternehmensprozesse empfindlich beeinträchtigen und im schlimmsten Fall sogar zu existenzbedrohenden Problemen führen.
Grundsätzlich lässt sich feststellen, dass das Sicherheitsrisiko zunimmt, je mehr Nutzer mit einer ERP-Software arbeiten. Mit jeder neuen Schnittstelle entsteht zugleich auch ein neues Ziel für Hacker. Es kommt nicht selten vor, dass Sicherheitslücken lange unentdeckt bleiben. Das ist beispielsweise der Fall, wenn die ERP-Struktur bereits einen hohen Grad an Komplexität aufweist. Immer wieder zeigt sich, dass Unternehmen Maßnahmen zur Cybersecurity nicht oder nur halbherzig umsetzen.
Maßnahmen für eine sichere ERP-Software
Das Sicherheitskonzept für Ihre ERP-Architektur kann folgende Maßnahmen umfassen.
Regelmäßige Schulungen der Mitarbeiter
Idealerweise sind Ihre Mitarbeiter jederzeit bestens im Bilde, was die aktuelle Bedrohungslage betrifft, sodass sie mit (möglichen) Gefährdungen verantwortungsvoll umgehen können.
Starke Passwörter
Noch immer zählen zu simple Passwörter zu den Hauptgründen, weshalb Phishing-Angriffe erfolgreich sind. Regelmäßige Sicherheits- und Software-Updates sowie zweistufige Verifizierungen stellen die ideale Ergänzung zu komplexen Passwörtern dar. Wichtig: Eine leistungsstarke ERP-Software verfügt über mehrere Sicherheitsebenen.
Rechtemanagement
Ein häufiges Problem in Unternehmen ist, dass ihnen ein strikter Umgang mit Berechtigungen fehlt. Ein smartes Rechtemanagement verringert dieses Risiko, indem es dafür sorgt, dass Nutzer nur diejenigen Rechte erhalten, die sie für ihre Arbeit tatsächlich benötigen.
Software-Erweiterungen
Durch spezielle ERP-Sicherheitslösungen senken Sie gezielt die Risiken Ihres Systems. Entsprechende Erweiterungen stellen unter anderem die Datenintegrität sicher, zentralisieren die Sicherheitsüberwachung, identifizieren Missbrauch und können unbefugten Zugriff aufdecken.
ERP-Prüfungen
Ein wichtiger Schlüssel, um langfristig Informationssicherheit zu gewährleisten, sind ausgiebige ERP-Prüfungen. Diese werden oftmals vom Anbieter durchgeführt und umfassen die ständige Überwachung, die kontinuierliche Protokollierung und die Erstellung von Backups. Auch ein Check der Firewall gehört häufig dazu.
Updates
Kein Programm ist fehlerfrei, weshalb regelmäßige Aktualisierungen und Sicherheits-Updates von essenzieller Bedeutung für die Sicherheit einer ERP-Software sind. Idealerweise legt der Software-Hersteller seinerseits Wert darauf, in regelmäßigen Abständen Updates bereitzustellen.
Der datenschutzrechtliche Rahmen von ERP-Software
In den vergangenen Jahren ist das Thema Datenschutz immer mehr ins Zentrum gerückt. Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft getreten. Sie soll einen einheitlichen Rechtsrahmen für die Speicherung und Verwaltung personenbezogener Daten liefern. Die Umsetzung ist für Unternehmen insbesondere wegen der hohen Geldstrafen von Bedeutung, die bei Nichteinhaltung drohen. ERP-Software muss die datenschutzrechtlichen Voraussetzungen der DSGVO einhalten, da sie mit personenbezogenen Daten arbeitet. Grundsätzlich handelt es sich bei personenbezogenen Daten um Daten, die sich einer Person eindeutig zuordnen lassen. Zu ihnen zählen beispielsweise der Name, die Anschrift, die Telefonnummer oder die E-Mail-Adresse.
Auf diese datenschutzrechtlichen Grundsätze sollten Sie achten
Von Beginn an sollten Sie Wert darauf legen, dass Ihre ERP-Software den DSGVO-Grundsätzen entspricht.
Richtigkeit der Daten
Nicht nur aus betriebswirtschaftlicher, sondern auch aus datenschutzrechtlicher Sicht ist die Richtigkeit und damit auch die Aktualität der Daten zentral. Um das Recht betroffener Personen zu gewährleisten, sollte eine ERP-Struktur so aufgebaut sein, dass die personenbezogenen Daten jederzeit geändert werden können.
Transparenzgebot
Laut Art. 13 DSGVO müssen die Betroffenen über die Datenverarbeitung informiert werden. Der Informationspflicht gegenüber Mitarbeitern und Kunden können Sie beispielsweise mithilfe Ihrer Website nachkommen.
Recht auf Löschung
Wenn die Datenspeicherung nicht mehr erforderlich ist und die gesetzlichen Aufbewahrungspflichten nicht verletzt werden, müssen personenbezogene Daten gelöscht werden. Damit die Anwender einer ERP-Software der Löschpflicht automatisch nachkommen können, benötigen sie ein geeignetes Löschkonzept.
Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit beinhaltet, dass ein Unternehmen dazu in der Lage sein muss, den betroffenen Personen ihre Daten in einem maschinenlesbaren Format auszuhändigen. Wichtig: Dieses Recht findet lediglich auf Daten Anwendung, die durch einen Vertrag oder eine Einwilligung legitimiert sind. Eine ERP-Software hilft dabei, es umzusetzen, und zwar häufig in Form von Auswertungen.
Rechenschaftspflicht
Der für den Datenschutz Verantwortliche muss stets dokumentieren und nachweisen können, wie er die DSGVO-Grundsätze einhält. Dabei kann ihn eine ERP-Software unterstützen, indem sie Protokolle speichert, die beispielsweise die folgenden Vorgänge betreffen:
- Zugriff
- Änderungen der personenbezogenen Daten
- Änderungen der Konfiguration
- Übertragungen
- Systemtransporte
Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, legitime und eindeutige Zwecke erhoben werden. Die Weiterverarbeitung aus anderen Gründen ist unzulässig. Möchte ein Unternehmen den Zweck ändern, hat es zu prüfen, ob er mit dem ursprünglichen Zweck vereinbar ist. In der Praxis bedeutet dies, die Auswertungs-Tools einer ERP-Software für die Beurteilung heranzuziehen.
Über den Autor
Christian Siebert ist seit mehr als 15 Jahren im Online-Marketing tätig. Bereits 2005 gründete er ein E-Commerce für Radsportartikel und spezialisierte sich auf die Bereiche Online-Kommunikation und Vertrieb. Seit 2020 arbeitet Christian als Manager Marketing Communications bei der SelectLine Software GmbH.