Absicherung von ERP-Systemen

ERP – Herzstück der Wertschöpfungskette

ERP (Enterprise Ressource Management) ermöglichen die zentrale Steuerung komplexer Fertigungs- und Logistikprozesse sowie die Integration aller für einen Wertschöpfungspozess eines Unternehmens notwendigen IT- und OT-Ressourcen. Darüber hinaus werden schutzbedürftige Informations-Assets zentral integriert und bedürfen folglich einer umfassenden Absicherung durch geeignete IT-Security-Maßnahmen und -Strategien.

 

Regulierte Integration – Problembeschreibung

ERP-Systeme integrieren unternehmensweite Datenmodelle, Datenbanken und Datenbestände mit einem hohen Schutzbedarf. Konzepte für eine regulierte Datenfluss- und Zugriffsteuerung durchziehen horizontal alle Bereiche der IT-Planungs- und OT-Fertigungsstrukturen. Digitale Identitäten erfordern entlang der gesamten Prozesskette einer regulative Ausrichtung.Der Zugriffssteuerung in jedem Teilbereich orientierte bisher nur auf die Servicebene, ohne eine regulierte Zugangssteuerung im Netzwerkbereich

Identitätsbezogene ERP-Anwendungskontrolle

Bisher erfolgte ERP-Nutzung ohne Autorisierung auf Netzwerkebene

Alte Form der Zugriffskontrolle

ERP-Systeme verteilen ihre Daten an die nachgeordneten Produktions-, Kommissionierungs- und Beschaffungssysteme unter Anwendung von Benutzer-Berechtigungen für den kontrollierten Zugriff auf fachliche Anwendungs- und Servicesysteme. Allein die Zugriffskontrolle der fachlichen Anwendungs- und Serviceebene entscheidet, wer einen Zugriff auf die fachlichen IT-Systeme erhält.

ERP-Sicherheit mit Netzwerk-Microsegmenten

SDN (Software Defined Network) erlaubt Microsegmentierung auf Geschäftsprozessebene. Der Verlauf einer Wertschöpfungskette ist Ausgangspunkt einer strukturierten Netzwerk-Segmentierung. Digitale Identitäten benötigen eine Autorisierung für die Nutzung von Netzwerk-Bereichen entlang der Prozesskette. Bereiche von Netzwerkstrukturen werden Bestandteil fachlicher Prozessberechtigungen.

Neue Form der Zugriffskontrolle

ERP-Systeme verteilen ihre Daten an die nachgeordneten Produktions-, Kommissionierungs- und Beschaffungssysteme unter Anwendung von Benutzer-Berechtigungen für den Zugriff auf fachliche Anwendungs- und Servicesysteme. Zusätzlich werden nutzerbasierte Netzwerkberechtigungen für den regulierten Zugang in ausgewählte Netzwerkzonen benötigt.

Die Zugriffskontrolle der fachlichen Anwendungs- und Serviceebene und die Zugriffskontrolle der Netzwerkinfrastruktur entscheiden zusammen, wer einen Zugriff sowohl auf das ERP-System selbst als auch auf die mit dem ERP-System verbundenen fachlichen IT-Systeme erhält.

Ein „Lateral-Movement“ (eine ungehinderte Ausbreitung von Angriffen über ein Netzwerk) wird darüber effektiv verhindert.

Menü