Unternehmensdaten wirksam gegen Angriffe absichernSchutzschild für das ERP-System
24. Januar 2019Daten gelten als der Schatz jedes Unternehmens und sind entsprechend attraktiv als Zielscheibe für Angriffe und Manipulationen. Die Mainzer Software-Experten von godesys stellen sich der Aufgabe, die Sicherheitslücke zu schließen, die das ERP-System als bislang wenig beachtetes Einfallstor für Hacker und Mitarbeiter mit üblen Absichten bildet. Dazu ist das Unternehmen am Forschungsprojekt DeepScan beteiligt. Dessen Ziel ist es, einen Machine-Learning-Mechanismus zu entwickeln, der auf Basis großer Mengen von Unternehmensdaten darauf trainiert wird, Anomalien innerhalb des Systems in Echtzeit zu erkennen und auf potenzielle Gefahren hinzuweisen.
Wer Verantwortung für ein Unternehmen übernimmt, eliminiert Gefahren für dessen Fortbestand – in der realen Welt ebenso wie in der virtuellen. Dem ERP-System kommt dabei eine besondere Bedeutung zu, da es als virtuelle Abbildung des gesamten Unternehmens alle Daten zusammenführt. Während Datenkonzentration einen Hauptzweck jeder Unternehmenssoftware ausmacht, begründet sie zugleich das Risiko von Schäden und Missbrauch.
Bislang wurde die Sicherheit eines ERP-Systems vor allem durch das Rechtemanagement geregelt – doch ein Teil der internen Bedrohungen lässt sich dadurch nicht entkräften. Nicht minder brisant wird die Gefährdungslage, sobald ein Hacker von außen die virtuelle Türschwelle überschreitet und die Schwachstellen in der Systemarchitektur erkennt und ausnutzt. Die Folge: „Als Herzstück des Unternehmens benötigt das ERP-System einen Schutz, wie wir ihn in der realen Welt kennen“, erklärt der Projektleiter Prof. Dr. Axel Winkelmann, Inhaber des Lehrstuhls für BWL und Wirtschaftsinformatik der Universität Würzburg.
Virenscanner und ERP
Bei vielen Computersystemen schlagen Virenscanner Alarm, sobald eine verdächtige Datei auftaucht; bei ERP-Systemen gibt es jedoch nichts Vergleichbares. Zwar werden ungewöhnliche Aktionen in sehr umfangreichen Protokolldateien erfasst, aber den Nutzern fehlt zurzeit noch die Möglichkeit, diese in Echtzeit zu bemerken und bei Bedarf zu intervenieren. Im Kern geht es darum, Anomalien rechtzeitig zu erkennen und durch den Administrator bewerten zu lassen.
Ein Beispiel: Zwei Mitarbeiter aus Ein- und Verkauf vereinbaren den Einkauf der doppelten Produktmenge, um die zusätzliche Menge privat – beispielsweise über den Webshop des Unternehmens – zu erwerben. Hierbei wird kurzzeitig der Verkaufspreis auf den Einkaufspreis reduziert. Für das Unternehmen entsteht auf den ersten Blick kein Schaden, da der Verkaufspreis für die zusätzliche Menge dem Einkaufspreis entspricht. Langfristig ist jedoch mit einem Absatzeinbruch zu rechnen, da die zusätzlichen Güter später als Privatverkauf auf dem Markt angeboten werden. Ein weiteres Beispiel: Ein Hacker gelangt in das ERP-System und hinterlegt bei den Kontodaten für Reisekostenabrechnungen seine eigene Kontonummer und zweigt Geld zum Schaden des Unternehmens ab. Es zeigt sich: Die Möglichkeiten der Manipulation sind zahlreich.
Prozessexzellenz als Grundlage für Automatisierung
Die beschriebenen Fälle stellen Anomalien dar, die in Zukunft mithilfe von Deep Scan erkannt werden sollen. Das Prinzip hinter dem sogenannten Problem-Based-Learning (PBL): Anhand großer Unternehmensdatensätze lernt die intelligente Software potenzielle Betrugsfälle kennen und meldet neue Anomalien im Workflow automatisch. Zusätzlich erhält sie Feedback von der IT, ob den von ihr gemeldeten Anomalien tatsächlich eine Bedrohung zugrunde lag, und wird dadurch kontinuierlich verbessert.
„Das KI-basierte Gefahrenmanagement wird perspektivisch ein Teil der ERP-Umgebung – und gerade hier punktet godesys ERP mit seiner leistungsfähigen Prozesssteuerung“, kommentiert Winkelmann. „Die Lösung erlaubt die logische Steuerung und Automatisierung der PBL-Prozesse über Workflows und liefert eine zukunftsweisende Basis für die hochgradig relevante Forschung, die wir im Rahmen von DeepScan angestoßen haben.“
Verantwortung ernst genommen
„IT-Sicherheit ist ein Thema, das ans Eingemachte geht – insbesondere im ERP-Kontext, wo sämtliche existenzwichtigen Daten eines Unternehmens gebündelt vorliegen“, erklärt Godelef Kühl, Gründer und Vorstandsvorsitzender der godesys AG. „Vor diesem Hintergrund nehmen wir unsere Verantwortung gegenüber unseren Kunden sehr ernst und haben mit unserer Beteiligung am Projekt DeepScan einen weiteren entscheidenden Schritt für das ERP für morgen eingeleitet. Dabei setzen wir neue Impulse im KI-Segment, weil es bislang kaum entsprechende Lösungen für den Mittelstand gibt und der KI-Aspekt hier weitaus mehr leistet als ein bloßes Buzzword. Denn unterm Strich bereitet die Lösung den Anwendern ein gutes Gefühl, wenn sie wissen, dass nichts passieren kann. Zudem ermöglicht der Echtzeiteingriff eine Verringerung des betrieblichen Aufwands, die als Kostenersparnis wirksam wird.“ (rhh)
Hier geht es zu godesys