Datensicherheit bei CRM- und ERP-Lösungen Sicherheitsmechanismen in CRM- und ERP-Programmen

Autor / Redakteur: Dietrich von der Groeben / Peter Schmitz

Eine CRM- und ERP-Lösung ist inzwischen oft das Herzstück des Unternehmens und stellt wesentliche Daten für den Geschäftserfolg bereit. Genau deshalb spielt die Sicherheit eines solchen Systems eine wesentliche Rolle.

Firmen zum Thema

In ERP- und CRM-Systemel lagern meist Unmengen an sensiblen Daten. Unternehmen sind also gut beraten, möglichst restriktive Zugriffsregeln zu vergeben, damit wirklich nur berechtigte Anwender diese Daten sehen können.
In ERP- und CRM-Systemel lagern meist Unmengen an sensiblen Daten. Unternehmen sind also gut beraten, möglichst restriktive Zugriffsregeln zu vergeben, damit wirklich nur berechtigte Anwender diese Daten sehen können.
(Bild: buchachon - Fotolia.com)

Oftmals ist eine CRM- und ERP-Lösung unerlässlich, um den Unternehmenserfolg nachhaltig zu garantieren. Zudem hinterlegen Unternehmen oft im ERP-System auch wichtige Daten aus dem Rechnungswesen oder Controlling. Deswegen spielt die Sicherheit dieses Systems eine wesentliche Rolle.

Eine CRM- und ERP-Lösung erfüllt in der Regel mehrere Aufgaben und wird normalerweise von verschiedenen Anwendergruppen mit unterschiedlichen Unternehmensfunktionen, Arbeitszielen und Kompetenzen verwendet.

Bildergalerie

Um sicherzustellen, dass jede Gruppe nur genau die Funktionen nutzen darf, die dem Tätigkeitsprofil entsprechen, muss das ERP-System geeignete Sicherheitsmechanismen unterstützen.

Im Idealfall rollenbasierte Zugriffsregeln mit individuellen Übersteuerungsmöglichkeiten, so dass Anwender nur Zugriff auf die Daten haben, die sie wirklich benötigen. Beispielhaft werfen wir dafür einen Blick auf das CRM- und ERP-System Steps Business Solution der Firma Step Ahead AG und zeigen wie dort Sicherheitsmaßnahmen umgesetzt sind.

Sicherheit für die Datenbank

Beginnen wir mit der Datenbank (in diesem System bspw. Microsoft SQL Server), dem einzig datenhaltenden System. Diese wird durch die Standardmechanismen des Microsoft SQL Servers und Windows Servers geschützt. Die hierzu notwendigen Werkzeuge sind bekannt und stellen einen Systemadministrator vor keine unlösbaren Probleme.

Sicherheit in der Datentransportschicht

Die nächste Sicherheitsebene ist die Datentransportschicht. Hier gilt als Grundlage das Sicherheitsbedürfnis des entsprechenden Unternehmens. Dieses legt mit eigenen Regeln fest, welche Anwender auf welche Daten zugreifen dürfen. Somit werden nur Daten an die jeweiligen Anwender transportiert, die sie für ihre Unternehmensfunktion wirklich benötigen. So darf Anwender A evtl. nur Daten aus Deutschland sehen, hingegen Anwender B nur Daten aus Deutschland, Österreich und der Schweiz und Anwender C Daten aus der ganzen Welt.

Das Regelwerk fungiert also wie eine interne „Firewall“. Natürlich trifft diese „Firewall“ nur so gute Entscheidungen, wie es die vorher festgelegten Regeln erlauben. Im obigen Beispiel wäre dann genau zu definieren, was alles durch die Regeln blockiert wird bzw. welche Ausnahmen gelten. Darf Anwender A beispielsweise eine Lieferung an die österreichische Adresse seines deutschen Kunden erstellen? Oder kann Anwender A bei einer Artikelauswertung auch die Absatzzahlen außerhalb Deutschlands sehen?

Restriktive Regeln

Um Missbrauch von firmeninternen Daten zu vermeiden, sollten diese Regeln auf jeden Fall restriktiv gehandhabt werden. Änderungen dieser Regeln sind wiederum nur mit speziellen Berechtigungen möglich, die meistens entweder bei der Geschäftsführung oder bei den IT-Verantwortlichen liegen.

Grundsätzlich lohnt es sich immer, diese Regeln (=Einstellungen) regelmäßig zu überprüfen und ggf. eine höhere Sicherheitseinstellung zu wählen. Dem gegenüber steht dann natürlich der Anspruch einer einfachen Verwaltbarkeit. Jede zusätzliche Regel macht das Gesamtsystem komplexer und kleine Änderungen haben evtl. nicht mehr überschaubare Konsequenzen. Hier ist die Beratungskompetenz des Herstellers gefragt, um dem Kunden ein einfaches aber sicheres Regelsystem zu bieten.

Sicherheit bei der Datenpräsentation

Bei der Anzeige der Daten in der Anwendung - der Datenpräsentation - kommen rollenspezifische Oberflächenanpassungen zum Einsatz. Das System stellt dem Anwender zwar die, in der Datentransportschicht festgelegten Daten bereit, zusätzlich können diese jedoch mittels Änderungen im Oberflächenlayout quasi gefiltert angezeigt werden. Das geschieht durch Ausblenden von Feldern in der Oberfläche. Dem Anwender werden so, nur die für ihn relevanten Daten sichtbar gemacht. Des Weiteren wird geregelt, ob Anwender A den Datensatz lesen und (be)schreiben darf – oder nur lesen - oder keinerlei Sichtbarkeit(en) hat. Es werden hierbei einzelne „Regelfelder“ eingeschränkt.

Beispiele: Das bedeutet, dass Anwender A – falls gewünscht - z.B. keine Bankkonten, Geburtsdaten o.ä. sehen darf. Anwender B hingegen darf diese sehen und auch ändern. Dieses bedarf bei der Einführung der ERP- und CRM-Lösung eine exakte Definition der Tätigkeitsprofile der einzelnen Anwender. Denn nur so kann festgelegt werden, ob die Sichtbarkeit gegeben werden können oder nicht. Es gilt das Prinzip: entweder – oder.

Auf jeden Fall ist zu beachten, dass jede Personalveränderung – seien es Eintritte, Austritte, Beförderungen oder auch Versetzungen – immer eine direkte Auswirkung auf die Berechtigungen und somit auf die Datensicherheit hat. Auf jeden Fall muss klar definiert werden, welche Aufgaben die Person hat oder hatte und welche Regeln zum Tragen kommen. Nur so kann ein Sicherheitsleck verhindert werden.

Applikatorische Regeln

Abschließend muss noch erwähnt werden, dass innerhalb des Systems zusätzlich noch applikatorische Regeln gelten. Diese sind fix im System verankert und können durch den Anwender nicht verändert werden. Hier werden u.a. Grundvorschriften, Sicherungs-periodizitäten und Verfügbarkeiten - z.B. über Datenmengen, Aufbewahrungsfristen, gesetzliche Vorschriften, Datensicherheit o.ä. - festgelegt.

Dies fungiert als eine zusätzliche Sicherheitsstufe, um dem Anwender die höchst mögliche Sicherheit seiner Daten zu gewährleisten. Denn ERP-Systeme, die sensible Daten verwalten, die für operative und strategische Aktivitäten entscheidend sind, müssen über aktuelle Sicherungskonzepte verfügen.

Über den Autor

Dietrich von der Groeben
Dietrich von der Groeben
(Bild: Step Ahead AG)
Dietrich von der Groeben ist Produkt Manager bei der Step Ahead AG in Germering. Er studierte an der Universität der Bundeswehr in München und Fachhochschule in Würzburg Informatik.

(ID:42559376)