IT-Sicherheitsgesetz 2.0 verabschiedet: Was SAP-Anwenderunternehmen jetzt tun müssen

2015 wurde das erste IT-Sicherheitsgesetz verabschiedet. Es sollte deutsche Unternehmen in kritischen Infrastrukturen (KRITIS), etwa der Strom- und Wasserversorgung, besser vor Hackern schützen.

Die zweite Auflage des Gesetzes vom April 2021 bringt nun erhebliche Neuerungen: Zu den KRITIS-Einrichtungen kommen die „Unternehmen im besonderen öffentlichen Interesse“ hinzu, beispielsweise Rüstungshersteller oder bestimmte IT-Anbieter, aber auch die Abfallwirtschaft. Wer nicht mitzieht, riskiert drastische Geldbußen. Bisher lag die Strafe bei 100.000 Euro, künftig werden bis zu 2 Millionen Euro fällig.

„Die Unternehmen müssen sich tief in die Karten schauen lassen, denn das BSI verlangt viel detailliertere Informationen als zuvor“, sagt Nadine Müller, Partnerin im Bereich SAP Security Consulting bei EY. „Sie müssen sich beim BSI registrieren, größere Störungen melden und die IT-Sicherheit nachweisen. Die Nachweise müssen auf Anfrage schnell in der korrekten Form bereitstehen.“ Allein das erfordert ein Umdenken in der IT-Security. Noch kritischer ist eine weitere Anforderung: Die Unternehmen sind künftig verpflichtet, Angriffe proaktiv aufzuspüren sowie kontinuierlich sicherheitsrelevante Protokolldaten zu erfassen und auszuwerten.  

SAP-Security fit machen für das IT-Sicherheitsgesetz

Die meisten Unternehmen haben für die Angriffserkennung bereits eine Lösung für Security Information and Event Management (SIEM) im Einsatz. „Das ist eine Monitoring-Software, die Netzwerke, Betriebssysteme und Datenbanken permanent nach Angriffen absucht und sehr gute Ergebnisse liefert“, sagt Steffen Trumpp, Solution Advisor Expert im Bereich Governance, Risk, Compliance & Security bei SAP. „Aber, und das ist der Knackpunkt, die meisten SIEM-Lösungen decken die SAP-Applikationsschicht nur bruchstückhaft ab. Dabei liegen gerade hier die wertvollsten und sensibelsten Informationen – eben das Wissen, das Unternehmen einzigartig macht. Es geht beispielsweise um Baupläne zu innovativen Produkten oder um wertvolle Kundendaten. Ein Verlust dieser Daten kann nicht nur Lösegeldforderungen nach sich ziehen, sondern den USP und damit die Marktstellung gefährden.“

Zwar gibt es bereits seit rund fünf Jahren eine Monitoring-Lösung für die gesamte SAP-Applikationsebene, nämlich SAP Enterprise Threat Detection. Aber längst nicht jeder Kunde setzt sie ein. Warum? „Man findet immer Gründe, nicht anzufangen“, sagt Steffen Trumpp. „Keine Zeit, kein Budget, keine Security-Fachkräfte und rechtlich sowieso nicht erforderlich. Potenzielle Angreifer freuen sich natürlich über das zögerliche Vorgehen, denn so haben sie leichteres Spiel. Dabei haben viele Security-Entscheider schon ausgearbeitete Pläne in der Schublade, sie haben aber die Dringlichkeit unterschätzt.“

Insofern ist das neue IT-Sicherheitsgesetz ein Weckruf zur rechten Zeit, findet Nadine Müller von EY. „Die Unternehmen sollten das Gesetz nicht als Gängelei, sondern als Chance betrachten. Jetzt ist die Aufmerksamkeit da, jetzt bekommen die Initiativen den nötigen Rückhalt aus der Chefetage. Außerdem ist es ja nur eine Frage der Zeit, wann ein Angriff kommt. Die Lage wird täglich ungemütlicher, jederzeit kann der Ernstfall eintreten.“

SAP-Security: Wie anfangen?

Die gute Nachricht: Kein Unternehmen beginnt bei null, in der Regel sind bereits tragfähige Security-Konzepte und -Strukturen vorhanden. Es müssen also nicht Dutzende Produktivsysteme schlagartig in eine neue Strategie gezwängt werden. Oft fehlen nur noch einzelne Elemente, etwa die Implementierung entsprechender Monitoring-Lösungen, um das gesamte Unternehmen, inklusive der SAP-Landschaft, zu schützen.

„Zuerst sollten Unternehmen natürlich analysieren, wie ihre SAP-Sicherheit aktuell aufgestellt ist“, sagt Nadine Müller. „Wer seine Governance und sein Security-Konzept nach einem führenden Standard aufgebaut hat, etwa ISO/IEC 27001 oder NIST, verfügt schon über eine ideale Startbahn für die jetzt notwendigen Maßnahmen. Ein Big Bang ist ohnehin nicht mehr zeitgemäß, Unternehmen können und sollten pragmatisch und schrittweise vorgehen. Wichtig ist aber, nicht in Silodenken zu verfallen und immer das gesamte Unternehmen im Blick zu haben.“

Aussitzen lässt sich das Security-Thema nicht, im Gegenteil: Die rasante Digitalisierung (Cloud, Künstliche Intelligenz, Automatisierung …) macht IT-Landschaften immer komplexer und interessanter für Angreifer. Nadine Müller: „Jetzt ist die perfekte Gelegenheit, zu handeln. Nicht primär, um dem Sicherheitsgesetz 2.0 zu genügen. Sondern um die geschäftliche Zukunft des Unternehmens zu sichern.“

Mehr Infos zum Thema gibt‘s in zwei Webinaren mit EY und SAP. Jetzt anmelden: