In der Automobilindustrie sind ERP-Systeme zentrale Steuerungsinstanzen der Wertschöpfung und stehen daher oft im Fokus von Cyberangriffen. Diese Anwendungen bündeln wichtige Daten, steuern Lieferketten sowie Produktionsprozesse und sind tief in operative Prozesse integriert. Gleichzeitig wachsen ERP-Landschaften über Jahre hinweg: individuelle Erweiterungen, komplexe Transportketten, Schnittstellen und hybride Architekturen erhöhen die strukturelle Komplexität und damit die Angriffsfläche. Wird die ERP-Landschaft kompromittiert oder durch fehlerhafte Änderungen destabilisiert, kann dies operative Auswirkungen haben. Je komplexer ein ERP-System, desto schwieriger wird es, Transparenz über Code-Qualität, Konfigurationen und Richtlinienkonformität zu behalten.
Klassische Werkzeuge greifen oft nicht
Klassische IT-Sicherheitsmechanismen wie Netzwerksegmentierung oder Perimeter-Schutz adressieren in erster Linie Infrastruktur- und Zugriffsebene. Spezifische Risiken innerhalb der ERP-Anwendungen selbst – etwa in kundenspezifischen Erweiterungen oder Transportprozessen – erfordern zusätzliche, anwendungsspezifische Mechanismen. Dedizierte Anwendungen für die ERP-Systemsicherheit zahlen damit auf die Produktionssicherheit ein. Wie sich dieser Herausforderung strukturiert begegnen lässt, zeigt das Beispiel von Škoda.
ERP-Systemlandschaft unter steigendem Druck
Škoda Auto zählt zu den etablierten europäischen Automobilherstellern und produziert Fahrzeuge an mehreren internationalen Standorten. Die IT-Systeme des Unternehmens unterstützen eine Vielzahl zentraler Geschäfts- und Produktionsprozesse. Der Automobilhersteller mit rund 40.000 Mitarbeitenden stand vor der Aufgabe, die Qualität, Sicherheit und Compliance seiner SAP-Umgebung zuverlässig mit internen sowie gruppenweiten Richtlinien in Einklang zu bringen. Standardsoftware am Markt konnte die Anforderungen an Compliance und Wirksamkeit nur teilweise abbilden. Škoda wollte daher bestehende Prüfprozesse weiter optimieren, den manuellen Aufwand reduzieren und den Zeitbedarf in Entwicklung und Qualitätssicherung senken – bei gleichzeitig wirtschaftlich vertretbaren Kosten. Ziel war es, die Systemlandschaft sicher, compliant und aktuell zu halten – mit einem Fokus auf strukturierte Qualitätssicherung innerhalb einer komplexen Systemumgebung. SAP-Verantwortliche wissen, dass sie handeln müssen – aber nicht, wie sie fundiert entscheiden. ‣ weiterlesen
SAP-Transformation mit Augenmaß: Sicherheit für die richtige Entscheidung
Verankerte Sicherheit im Entwicklungsprozess
Im Rahmen einer DevSecOps-Strategie wurde Onapsis Control for Code implementiert. Die Software wurde in insgesamt fünf produktiven Systemen implementiert, darunter das zentrale ERP-System sowie das Data Warehouse. Ausschlaggebend für den Einsatz des Produktes waren sowohl funktionale Anforderungen als auch die Möglichkeit, Prüfprozesse zentralisiert und automatisiert in bestehende Entwicklungs- und Transportabläufe zu integrieren. Der Ansatz basiert auf einer kontinuierlichen Überprüfung und Optimierung des Quellcodes während Entwicklung und Modifikation der Anwendungen. Sicherheits- und Compliance-Prüfungen sind Bestandteil des Entwicklungsprozesses. Ergänzend prüft eine Transport-Scanning-Funktionalität jeden neuen Code-Transport, bevor Änderungen in produktive Systeme gelangen. Auf diese Weise wird sichergestellt, dass nur geprüfter, regelkonformer Code in die operative Umgebung überführt wird. Zusätzlich können Scans regelmäßig im Rahmen von Wartungs- oder Patchzyklen erfolgen. Die Anwendung unterstützt rund 300 Entwickler und ermöglicht eine signifikante Skalierung der Sicherheitsaktivitäten im Entwicklungsumfeld. Qualitätssicherung wird dadurch systematisiert und unabhängig von individuellen Einzelprüfungen – ein klassischer Secure-by-Design-Ansatz.
Betriebssicherheit und Transparenz verbessert
Seit Einführung der Anwendung wurden zahlreiche Funde in sicherheitsrelevanten Bereichen wie Security, Compliance und Data Loss Prevention identifiziert und behoben, über einen Zeitraum von sieben Jahren. Dies verdeutlicht den Bedarf an dedizierten Security-Produkten, insbesondere in gewachsenen ERP-Systemlandschaften. Erweiterungen, gewachsene Strukturen und komplexe Transportketten erzeugen eine Dynamik, die ohne automatisierte Prüfmechanismen oft nur schwer vollständig zu überblicken ist. Gleichzeitig verbesserten sich mit dem Einsatz des Werkzeuges die Performance und die Stabilität der ERP-Systeme weiter. Die Betriebssicherheit wurde gestärkt und die Zahl der manuellen Code-Reviews deutlich gesenkt. Die geringe False-Positive-Rate erhöhte die Effizienz zusätzlich und stärkte die Akzeptanz im Entwicklungsteam.
ERP-Systemsicherheit als Produktionsfaktor
Gerade im Automotive-Umfeld sind ERP-Systeme eng mit Produktions- und Logistikprozessen verzahnt. Änderungen an Anwendungen oder Konfigurationen wirken sich auf Disposition, Fertigungsaufträge oder Qualitätsprozesse aus. Ungeprüfte Transporte oder unsicherer Custom Code können daher nicht nur Compliance-Verstöße verursachen, sondern operative Risiken nach sich ziehen. Ein Secure-by-Design-Ansatz integriert Sicherheitsprüfungen in Entwicklungs- und Änderungsprozesse. Die kontinuierliche Analyse von Code und Transporten sorgt für eine gleichbleibend hohe Qualität über die gesamte ERP-Landschaft hinweg. Sicherheit wird so zu einem festen Bestandteil der Prozessstabilität.
Verantwortung in hybriden ERP-Systemarchitekturen
Eine weitere Herausforderung stellt das Shared-Responsibility-Modell in Cloud- und Hybrid-Systemen dar. ERP-Systemlandschaften bestehen zunehmend aus hybriden Architekturen, in denen On-Premise-Systeme und Cloud-Komponenten zusammenwirken. Während Infrastruktur- und Basisdienste teilweise beim Anbieter liegen, bleiben etwa Application Security, Code-Erweiterungen oder Konfigurationskontrollen in der Verantwortung der Unternehmen. Das erfordert eine aufmerksame ERP-Security.
Relevanz über Automotive hinaus
Die beschriebenen Herausforderungen sind nicht auf die Automobilindustrie beschränkt. Das dargestellte Beispiel zeigt exemplarisch, dass die strukturierte Integration von Sicherheits- und Qualitätsprüfungen in Entwicklungs- und Änderungsprozesse sowohl die Systemsecurity verbessern als auch Effizienzpotenziale erschließen kann.
