:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
Laut Ergebnissen des Leitfadens Informationssicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist eines der häufigsten Versäumnisse in den Unternehmen, dass sie ihre Berechtigungsvergabe nicht restriktiv handhaben. Die Anwender haben in den meisten Fällen Zugriff auf Daten, die sie gar nicht benötigen. Das Need-to-know-Prinzip, bzw. der im Identity Management als Least-Privilege-Prinzip (Minimalprinzip) bekannte Grundsatz wird sträflich vernachlässigt. Missachten die Verantwortlichen in den Unternehmen, dass ihre Mitarbeiter lediglich die Berechtigungen für den Zugriff auf Informationen erhalten sollten, die sie für die Bewältigung ihrer Aufgaben benötigen, erhöhen sie jedoch die Gefahr für Missbrauch.
Der Sicherheitsaspekt ist also nur eine Seite der Medaille. Wollen die Unternehmen ihre Geschäftsprozesse mit einer leistungsfähigen IT unterstützen, war und ist die Ausgestaltung der Berechtigungen eine grundlegende Bedingung. Denn unabhängig von der Software-Architektur steuert das Berechtigungskonzept den Zugriff auf die Funktionen eines ERP-Systems. Am Beispiel des Minimalprinzips wird deutlich, dass die Befolgung dessen nicht nur Selbstzweck ist oder lediglich der Informationssicherheit dient. Es hat vielmehr Auswirkungen auf die Unternehmensaktivitäten selbst.
:quality(80)/images.vogel.de/vogelonline/bdb/428500/428598/original.jpg "In den IT-Grundschutz-Katalogen erläutert das BSI grundlegende IT-Security-Maßnahmen. (BSI)")
Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 3
IT-Grundschutz nach BSI auf Basis von ISO 27001
Deshalb müssen ERP-Systeme, die ein Hort sensibler Daten und für operative und strategische Aktivitäten fundamental sind, über aktuelle Berechtigungskonzepte verfügen. Wird das Need-to-know- bzw. Least-Privilege-Prinzip befolgt, stützen sich die Ziele der Informationssicherheit und ERP-Systeme gegenseitig: Indem die Mitarbeiter nur über die für sie relevanten Daten zugreifen können, wird die Sicherheit über aktuelle Berechtigungen gewährleistet. Gleichzeitig lässt sich das ERP-System so strukturieren, dass es die aktuellen Aktivitäten eines Unternehmens gezielt und umfassend unterstützt.
Die Analytik macht den Unterschied
Wesentlicher Fokus aller integrierten Managementsysteme, insbesondere auch der Norm ISO/IEC 27001, ist und muss die regelmäßige Kontrolle des Soll-Konzepts und der Abgleich mit der Ist-Situation sein. Wird diese vernachlässigt oder entfällt gar ganz, wird das Prinzip des integrierten Informationssicherheits-Managementsystem ad absurdum geführt. Demgemäß steht und fällt der Erfolg eines ISMS in den Unternehmen mit den internen und externen Audits. Hierbei müssen zwei Faktoren beachtet werden:
- Die Informationssicherheit ist nur eine – und in der Regel konkurrierende – Aufgabe, welche die IT-Administration im laufenden Betrieb zu erledigen hat. Also auch die Installation und Verwaltung von Berechtigungskonzepten (siehe Bildergalerie, Abb. 2) ist für eine IT-Abteilung nicht mehr als ein notwendiges Übel. Hinzu kommt, dass ein Systemadministrator aufgrund seiner Arbeitsbelastung kaum noch in der Lage ist, unsichere Einstellungen vollständig zu vermeiden. Er nimmt solche in vielen Fällen billigend in Kauf, um sein Pensum überhaupt bewältigen zu können. Ein Dilemma, dessen sich die Unternehmen in der Regel bewusst sind, welches aber ohne organisatorische oder informationstechnische Unterstützung nicht zu lösen ist.
- Auditoren, unabhängig davon, ob sie intern oder extern sind, müssen in der Lage sein, ERP-Systeme im Rahmen ihres Audits zu prüfen. Dies ist ein umfangreiches Unterfangen, das Expertenwissen voraussetzt. Eine SAP ERP-Lösung stellt beispielsweise alleine über 100.000 Tabellen und Funktionen sowie unzählige sicherheitsrelevante Konfigurationsvarianten bereit. Da aber die Auditoren in der Regel weder das entsprechende Spezialwissen noch die Zeit haben, eine gründliche Prüfung durchzuführen, sind sie auf entsprechende Hilfsmittel angewiesen.
(ID:40519570)
:quality(80)/p7i.vogel.de/wcms/04/04/0404ff494ae793255c252788d20428cd/0126256656v1.jpeg "Im Dschungel der Cybersecurity-Zertifizierungen reicht es nicht, einfach drauflos zu marschieren. Wer die Spielregeln kennt und klug kombiniert, sichert sich nicht nur die Gunst von Auditoren, sondern auch das Vertrauen der Kunden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a72262ba39fe4a5012b61c8869f4c0/0126746159v2.jpeg "Audits und Zertifizierungen sind für den Mittelstand keine Hürde, sondern eine Chance für bessere Prozesse und mehr Vertrauen. (Bild: © EDA - stock.adobe.com)")