Podcast | Markus Weißensel - Ist ein ERP-System eine Security Blackbox?

Markus Weißensel ist CISO bei Fuchs Petrolub aus Mannheim. Du hast noch nie von Fuchs Petrolub gehört? Ihre Produkte sind überall auf der Welt unerlässlich. Automotive Schmierstoffe, Industrieschmierstoffe und Schmierfette: der börsennotierte, deutsche Konzern ist der weltweit größte, unabhängige Anbieter von innovativen Schmierstofflösungen für nahezu alle Industrien und Anwendungsbereiche. Sie bedienen Kunden aus den Bereichen Bergbau, Stahlindustrie, Landwirtschaft, Fahrzeugindustrie, dem Haushaltsbereich sowie aus dem Bereich Handel für Motorenöle. Die Produkte kamen sogar schon im Weltall bei einer Mission des Mars-Rovers "Perseverance" zum Einsatz. Mit knapp 90 Standorten weltweit, 50 Tochtergesellschaften und knapp 6.100 Mitarbeitenden produziert das 1931 gegründete Unternehmen Schmierstoffe, die zentraler Bestandteil vieler nachhaltiger Zukunftstechnologien sind. 

In einem Unternehmen dieser Größenordnung gibt es selbstverständlich Systeme, mit denen alle geschäftsrelevanten Bereiche und Prozesse eines Unternehmens im Zusammenhang betrachtet werden können, kurz ERP. Das wohl bekannteste ist die gleichnamige Lösung vom Softwareunternehmen SAP. 

Neben vielen weiteren Themen, die in IT-Abteilungen in Bezug auf Security Maßnahmen oft stiefmütterlich behandelt werden, ist aber das ERP oft das, was von allen am wenigsten Beachtung erhält, gleichwohl bei einem Stillstand dieses Systems in den aller meisten Unternehmen nichts gehen dürfte. In vielen Unternehmen ist die Angst vor der "Blackbox ERP" und vor dem, was man finden könnte, jedoch einfach zu groß. Manche Systeme befinden sich noch auf einem Stand, der heute keinen Standards mehr genügt – und den Security Standards schon gar nicht.

Bei Fuchs Petrolub hatte niemand Angst, die Blackbox zu öffnen und so sprechen Julius, Marcel und Markus in Folge 52 über die Security Blackbox ERP und tauchen dabei tief in die Welt von SAP ein. 

Julius, Marcel & Markus geben Antworten auf folgende Fragen:

• Wer ist Markus Weißensel, was macht er heute und was zeichnet ihn aus?
• Was zeichnet aus seiner Sicht einen guten CISO aus?
• Markus ist im VOICE - Bundesverband der IT-Anwender e.V. aktiv. Warum ist es aus heutiger Sicht wichtig, sich fortlaufend mit Unternehmen zu benchmarken und Erfahrungen auszutauschen?
• In sehr vielen Unternehmen finden wir ein zentrales IT-System vor, welches hauptverantwortlich für die Erbringung des Kernbusiness ist – die Rede ist von SAP. Was kann sich alles in einem SAP-System verbergen und wo liegt das Risiko für Unternehmen?
• SAP ist für viele eine geschlossene Blackbox, die bereits durch SAP selbst ausreichend geschützt zu sein scheint. Warum ist diese Annahme eine Ente?
• Kauft ein Unternehmen mit einer SAP-Lizenz auch gleichzeitig Sicherheit? Ist das ein Trugschluss?
• Welche wichtigsten Maßnahmen müssen IT-Teams nun im Zusammenhang mit ihrem ERP / SAP durchführen? Welche Maßnahmen liegen innerhalb von SAP und welche außerhalb von SAP mit Third Party Tools?
• Wie wirkt sich der Change von on-premise ERP-Systemen zu SaaS aus der Cloud auf die Risiken und die notwendigen Maßnahmen aus?
• Was beschäftigt Markus im Rahmen von OT-Security derzeit? Fuchs Petrolub hat ein globales SOC aufgebaut: Welche Learnings kann er ziehen?
• Wie immer ein kleiner Ausblick: Wie wichtig ist das Thema Standortanbindung mit SD-WAN im Zeitalter hoher Datenmengen, SaaS und Problemen in der letzten Meile? Welche Rolle wird Automatisierung spielen?