Was haben KRITIS und IT-Sicherheitsgesetz 2.0 mit SAP zu tun?

KRITIS-AngriffserkennungDas IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft und bringt mehr Pflichten mit sich, u.a. für Betreiber kritischer Infrastrukturen und zur Erkennung von Sicherheitslücken und der Abwehr von Cyber-Angriffen.

Von Anna Otto (Customer Advisory Expert | SAP), Auditor Lutz Naake (Partner | EY) und Martin Müller (Security Expert | SAP) wollte ich wissen, was das IT-SiG 2.0 mit SAP-Landschaften zu tun hat, wie eine zielführende Herangehensweise bei der Absicherung der SAP-Systeme aussehen kann und welche Rolle die SAP Identity Access Governance und die Angriffserkennung spielen.

In einem IT-Onlinemagazin Expert Talk am 17.11.22 werden wir mit den drei Fachleuten das Themenfeld detailliert behandeln und Impulse für den Schutz von SAP-Landschaften — auch unter Bezugnahme auf die besonderen Anforderungen des IT-Sicherheitsgesetzes 2.0 — geben. Hier anmelden …

 

Welche Pflichten haben Unternehmen, die unter die KRITIS-Regulierung fallen, durch das IT-Sicherheitsgesetz 2.0?

Lutz-Naake-EYLutz Naake: Zu den bereits, durch das 2015 in Kraft getretene IT-Sicherheitsgesetz 1.0 geforderten Pflichten, wie die Implementierung von Maßnahmen gemäß Stand der Technik (§8a (1)), der Nachweispflicht durch Audits (§8a (3)) und der Meldung von Sicherheitsvorfällen (§8b (4)) kam durch das IT-Sicherheitsgesetz 2.0 explizit die Pflicht zum Einsatz von Systemen zur Angriffserkennung (§8a (1a)) hinzu.

Umzusetzen ist diese Anforderung bis zum 1. Mai 2023, welche erst kürzlich in einer Orientierungshilfe des BSI konkretisiert wurde. Obwohl man argumentieren könnte, dass auch Systeme zur Angriffserkennung bereits vor dem IT-Sicherheitsgesetz 2.0 durch die Forderung zum Stand der Technik bereits implizit gefordert wurden, führt nun ab Mai 2023 kein Weg mehr daran vorbei.

 

Angriffserkennung wird Pflicht für KRITIS

Welche Auswirkungen hat das IT-Sicherheitsgesetz 2.0 auf die SAP-Landschaften und deren Absicherung?

Martin Müller: Hier möchte ich auf Lutz Naake verweisen, der hier mit seiner fundierten Sicht eines etablierten Wirtschaftsprüfers sicherlich den besten Blickwinkel hat. Aber aus SAP-Sicht werden natürlich Security-Produkte zum Einsatz kommen, um diese Anforderungen abzudecken. Insbesondere SAP Enterprise Threat Detection mit dem inklusiven Managed Service erfreut sich gerade einer erhöhten Nachfrage unserer Kunden.

Anna Otto: Ich kann meinem Kollegen Martin Müller nur zustimmen. In Bezug auf die Benutzer- und Berechtigungsverwaltung, gibt es schon lange entsprechende Anforderungen aus verschiedensten Regularien. Nichtsdestotrotz sollte das IT-Sicherheitsgesetz 2.0 den Anlass geben, Prozesse noch einmal auf den Prüfstand zu stellen und ggf. mit den Identity und Access Governance Lösungen der SAP zu optimieren.

Lutz Naake: Wie bereits zuvor erwähnt, wird nun explizit das Thema Angriffserkennung gefordert. Das heißt: falls SAP-Systeme Teil einer kritischen Infrastruktur darstellen, müssen die zuständigen Betreiber durch geeignete Prozesse und Systeme die Protokollierung, Erkennung und die Reaktion auf Angriffe sicherstellen.

Recht detaillierte Anforderungen liefert hier die Orientierungshilfe des BSI, die basierend auf dem IT-Grundschutz vermutlich die meisten Betreiber vor eine echte Herausforderung stellen wird.

 

KRITIS Kontrollumfeld versagt oft

Wie kann eine zielführende Herangehensweise bei der Absicherung der SAP-Systeme aussehen?

Lutz Naake: Ganz klassisch empfehle ich hier einen risikobasierten Ansatz. Basierend auf einer Risikoanalyse und der Bedrohungslage sollten die aktuellen implementierten Maßnahmen dahingehend überprüft werden, ob diese (bei wirksamer Implementierung) die identifizierten Risiken auf ein akzeptables Maß senken. Des Weiteren ist natürlich wichtig, dass ich diese Maßnahmen auch regelmäßig auf Angemessenheit (Design) und Wirksamkeit überprüfe.

Leider verlassen sich aktuell noch zu viele Betreiber von kritischer Infrastruktur darauf, dass Schwachstellen im Kontrollumfeld durch eine interne Revision oder externe Auditoren aufgedeckt werden. In diesem Fall hat aber das eigentliche Kontrollumfeld schon versagt.

 

Welche Rolle und Relevanz spielen das Identity and Access Management und die Governance bei der Absicherung von SAP-Landschaften?

Anna Otto: Eine sehr zentrale Rolle! Interne Angriffe erfolgen sehr viel häufiger als gedacht und in diesen Fällen schützt insbesondere eine umfangreiche und ganzheitliche Identity Access Governance. Diese sollte immer alle Anwendungen und Prozesse abdecken und so die Zugriffe auf das Erforderliche einschränken.

Auch Fragestellungen der Authentifizierung und Verschlüsselung der Kommunikation sind bei dieser Betrachtung nicht zu unterschätzen.

 

SAP ETD ermöglicht Angriffserkennung

Herr Müller, was braucht man, um Cyberangriffe abwehren zu können?

Martin-Mueller-SAPMartin Müller: Bereits seit über sieben Jahren gibt es hier das ausgereifte Produkt SAP Enterprise Threat Detection. Vor ca. 2 Jahren hat man dieses Produkt erweitert, um es auch als Managed Service zur Verfügung zu stellen. Ziel war es unseren Kunden zu helfen, Angriffe auf SAP frühzeitig zu erkennen und zu verhindern, ohne einen aufwendigen Betrieb der Lösung selbst durchzuführen.

Es passt einfach in die heutige Zeit, dass Experten von der SAP Kundensysteme überwachen und Auffälligkeiten in einfach zu lesenden Reports an den Kunden übermittelt werden. Das Monitoring der SAP IT Landschaft führt daher direkt zu einer Erhöhung der Sicherheit im SAP-Applikationsumfeld.

 

Frau Otto, woran fehlt es bei SAP-Kunden … und haben Sie Tipps für Quick-Wins?

Anna Otto: Viele Kunden haben zwar eine Benutzer- und Berechtigungsverwaltung und entsprechend definierte Prozesse, allerdings läuft immer noch einiges manuell und ist damit fehleranfällig.

Es gäbe einige Beispiele, aber wenn ich mich einen Quick-Win aussuchen sollte, würde ich die Verschlüsselung der Kommunikation wählen. Diese ist immer noch nicht bei allen Kunden eingerichtet, geht schnell umzusetzen und erhöht die Sicherheit enorm.

Die Fragen stellte Helge Sanden (IT-Onlinemagazin).

 

Wenn Sie mehr erfahren möchten, melden Sie sich zum IT-Onlinemagazin Expert-Talk am 17.11. um 11 Uhr mit Anno Otto, Lutz Naake und Martin Müller an. Wir werden das Themenfeld ausführlich diskutieren und Impulse für den Schutz von SAP-Landschaften — auch unter Bezugnahme auf die besonderen Anforderungen des IT-Sicherheitsgesetzes 20 — geben. Hier anmelden …

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Jetzt anmelden:

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

SAP-Security-2022

SAP-Security Stimmungsbarometer

IT-Sicherheitsgesetz 2.0: Wie weit sind Sie mit der Umsetzung?   Das IT-Sicherheitsgesetz 2.0 ist seit …