Cybersecurity: Rund 50 Prozent fürchten um Existenz

Sie kommen sehr schnell und oft immer noch unverhofft: Cyberangriffe richten nicht nur einen immensen Schaden an, rund die Hälfte der Unternehmen in Deutschland fürchtet mittlerweile um ihre Existenz. Das sind eindeutige Zahlen von August 2023 aus einer Studie des Bundeskriminalamts (BKA) zu Cybercrime in Kooperation mit dem Digitalverband Bitkom.

„Entscheider müssen sich spätestens jetzt die Frage stellen, ob alles Notwendige getan wurde, damit ihr Unternehmen einen Cyberangriff überleben kann“, sagt SAP-Security Advisor Dr. Markus Schumacher (dr. Fuchs Senior Advisors | Foto).

Wir wollten von ihm wissen, was das genau für die Sicherheit von SAP-Systemlandschaften bedeutet.

Über den Stellenwert von SAP-Security für Unternehmen und wie man sich vor dem Risiko durch Cyberangriffe schützen kann, sprechen wir auch im CIO-Talk mit thyssenkrupp zur IT-Onlinekonferenz am 28.09.2023. Hier können Sie sich dazu anmelden.

 

Herr Schumacher, die letzten 20 Jahre SAP-Geschichte spiegeln auch die Geschichte der IT-Sicherheit. Was hat sich verändert?

Markus Schumacher Markus Schumacher: Es hat sich in der Tat vieles verändert. Ich bin aber auch oft verblüfft, dass vieles immer noch zu gelten scheint: Wenn man fragt, was ein SAP-System sicherer macht – ob das in der Cloud ist oder egal wo – sagen viele: Rollen und Berechtigungen sind das Allheilmittel.

Bei SAP dauert Security manchmal etwas länger als bei anderen Unternehmen, weil eigene Konzepte vorliegen, eigene Paradigmen. Es kamen Technologien oder Konzepte wie SAP Enterprise Threat Detection (ETD) oder Identity und Access Management hinzu. Code Scanning wurde ein Thema, es gilt, Webservices abzusichern usw. Und heute kann man in der SAP Secure Operations Map oder der SAP Security Best Practice vieles nachlesen. Man sieht, dass es auch bei SAP ein rundes Security-Portfolio gibt.

Ein sehr aktuelles Thema ist die Erkennung von Angriffen in Echtzeit. Eigentlich ist es unerheblich, wie viel ich heute proaktiv tue. Ich muss auch erkennen können, wann etwas passiert, um zu reagieren und mein Unternehmen zu schützen.

 

SAP-Sicherheit: Bedrohungslage hat sich verändert

Wie unterscheidet sich die Bedrohungslage für SAP-Sicherheit von der anderer IT-Systemlandschaften?

Früher hat man klare Silos gehabt. Es gab die SAP-Fachabteilung und die IT-Security-Abteilung. Das ändert sich heute. Ich sage immer: Wenn man über ein SAP-System spricht, dann muss man Bedrohungen ernst nehmen. Wenn ein Angriff passiert, dann liegt das Risiko nicht nur darin, dass „eben mal“ mein Laptop verschlüsselt wird und man mich erpresst. Dann steht vielleicht mein Lager still, meine Produktion, ich kann keine Rechnungen mehr stellen, die LKWs stauen sich auf der Autobahn. Man muss sehr viel umfassender denken.

 

Unternehmen, die SAP betreiben, gehören sehr häufig zur kritischen Infrastruktur (KRITIS). Was bedeutet das für sie im Hinblick auf das IT-Sicherheitsgesetz 2.0?

Erstmal finde ich positiv, dass es eine Gesetzgebung gibt, denn das schafft einen Rahmen und sorgt für einen gewissen Druck, Handlungen vorzunehmen. Ein wenig „perfide“ ist, dass die Gesetze nicht genau sagen, was man machen muss und ob man überhaupt betroffen ist, also ein Unternehmen der „Kritischen Infrastruktur“ ist oder nicht. Grob vereinfacht steht im Gesetz: Betroffene Unternehmen müssen folgendes tun… Da steht aber nicht: Firma A, B oder C gehört dazu. Aber der Kreis der potenziell betroffenen Unternehmen wird immer größer. Das ist der eine wichtige Aspekt des Sicherheitsgesetzes.

Der zweite ist: Was seit Ende Mai 2023 in Kraft getreten ist, wird in bestimmten Punkten spezifischer und verlangt mehr als früher. Die reine Kontrolle für Angriffserkennung in Echtzeit genügt nicht mehr: Man braucht einen Prozess plus ein Tool. Das verlagert den Handlungsdruck ins Operative.

Und grundsätzlich: Das, was im Gesetz steht, ist sinnvoll, ob man nun ein Unternehmen der Kritischen Infrastruktur ist oder nicht. Sich einzuordnen, ist in der Regel auch nicht schwer. Bei Sektoren wie Infrastruktur, Versorgung, Energie gibt es gar nichts zu überlegen. Aber ich würde auch als Automobilhersteller schon aus Eigeninteresse prüfen: Macht das nicht auch für mich Sinn? Eigentlich sollte jeder prüfen, welche Maßnahmen umgesetzt werden sollten, um seine Firma zu schützen.

 

… und wenn man die Anforderungen noch nicht vollständig umgesetzt hat?

Wenn der KRITIS-Auditor vor der Tür steht und man nichts gemacht hat, dann hat man ein echtes Problem. Doch darauf sollte man sich nicht fokussieren. Wenn tatsächlich etwas passiert, ist das der Supergau. In jedem Fall kann das für Entscheider richtig unangenehm werden.

In den Vorgaben steht, dass der so genannte „Stand der Technik“ umgesetzt werden soll. Bei SAP kann dies in der SAP Secure Operations Map stehen. Und sie ist veröffentlicht und wurde von vielen – DSAG, SAP, von anderen Kunden – mitentwickelt. Da kann keiner sagen: „Das habe ich nicht gewusst!“ Somit kann die Nichtumsetzung dieses Standes der Technik sehr leicht zum persönlichen Haftungsthema werden.

Am Ende ist es auch gar nicht so dramatisch, das zu erfüllen. Oft erzählen Kunden, dass sie sich völlig überrollt fühlen. Aber man muss nicht alles über Nacht erledigen. Wichtig ist eine Priorisierung und diese sollte sich ableiten aus individuellen Unternehmens- und Schutzbedürfnissen. Dann kann man sofort mit den schnell erreichbaren Zielen starten, eine Roadmap erstellen und die einfach abarbeiten.

 

Backups und Failover im Security-Notfallplan

Wenn der Angriff passiert: Was empfehlen Sie CIOs und CISOs als erstes für den Security-Notfallplan?

Pauschal kann man das nicht sagen: Eine Bank hat eine andere Vorstellung von einem Notfall als ein Maschinenbauer oder ein Retailer. Wichtig ist, so banal das klingt, überhaupt diesen Plan zu haben. Und zwar nicht nur in der Schublade, sondern dass der Plan ab und zu geprüft und der Ernstfall geübt wird.

Aus meiner Einschätzung ist elementar, dass man funktionierende Backups hat – oder sogar für die Ausfallsicherheit von Komponenten oder Systemen ein redundantes Failover-Konzept, das man auch testet. Es sollte immer wieder eingespielt und geprüft werden, ob es funktioniert.

 

Wie viel Akzeptanz braucht es im Unternehmen, um so ein Konzept umzusetzen?

Ein Notfallplan muss gelebte Sicherheit sein. Das muss Teil der Firmen-DNA sein. Man muss immer wieder Tests durchführen. Das fängt bei Themen wie Phishing an. Man braucht aber auch Maßnahmen wie: „Wir haben roten Alarm.“ Dafür gibt es Anbieter, die Stresstests machen und Angriffe von außen simulieren.

Man kann auch Benchmarks setzen: Welche Maßnahmen haben geklappt, welche nicht? Wir stehen nicht auf einer grünen Wiese, es gibt ein richtiges Tool-Set und Best Practices am Markt. Die „Grüne Wiese“ heißt in diesem Fall: Lass es uns tun.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Maike Rose, IT-Onlinemagazin.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Anzeige

Das IT-Onlinemagazin ist Medienpartner der Transformation World 2024

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Martin Scharmach

Drängt SAP die Kunden ohne klaren Fahrplan in die Cloud?

Seit SAP angekündigt hat, ein reiner Cloud-Konzern werden zu wollen, gibt es auch immer wieder …