Seit zwei Jahren ist das IT-Sicherheitsgesetz 2.0 in Kraft. Doch längst nicht alle Unternehmen erfüllen die Anforderungen – und seit Mai 2023 gelten noch einmal deutlich verschärfte Regeln. Warum Verantwortliche jetzt handeln müssen und wie sie dabei vorgehen sollten.
Gezielte Angriffe auf IT-Landschaften werden immer präziser und bleiben oft monatelang unentdeckt. Deshalb sind Organisationen der Kritischen Infrastruktur (KRITIS) in Deutschland verpflichtet, verschiedene Cyber-Sicherheitsmaßnahmen zu ergreifen. Dies betrifft auch SAP-Systeme. Denn hier liegen oft die Datenjuwelen, die besonders schützenswert sind. „Kritische Geschäftsprozesse werden sehr häufig mit SAP-Systemen abgebildet“, sagt Lutz Naake, Partner bei Ernst & Young (E&Y). „Der Schutz von SAP-Lösungen spielt daher für praktisch jedes KRITIS-Unternehmen eine wichtige Rolle – unabhängig von der Branche.“
BSI-Orientierungshilfe: Alles neu?
Das zweite IT-Sicherheitsgesetz brachte bereits einige Neuerungen: Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, größere Störungen melden und die IT-Sicherheit belegen. Die Nachweise müssen auf Anfrage schnell in der korrekten Form bereitstehen. Alle zwei Jahre führen externe KRITIS-Auditoren eine Prüfung durch und melden das Ergebnis an das BSI. Ist die IT-Landschaft nicht compliant, drohen empfindliche Bußgelder.
Ende 2022 hat das BSI eine Orientierungshilfe zum IT-Sicherheitsgesetz 2.0 veröffentlicht, die neue Anforderungen definiert – und die haben es in sich. „Diese Orientierungshilfe ist ein ganz schönes Brett“, sagt Naake. „Es kommen eine Vielzahl von Pflichtanforderungen hinzu. Und die Unternehmen müssen nachweisen, dass sie diese auch erfüllen. Wer bis vor Kurzem noch glaubte, alle Anforderungen des IT-Sicherheitsgesetzes zu erfüllen, sollte sich diese Liste im Detail anschauen.“
Angriffserkennung seit Mai 2023 verpflichtend
Die größte neue Anforderung: Ab sofort müssen KRITIS-Unternehmen eine Software zur Angriffserkennung einsetzen. „Bisher wurde dieser Punkt in den Audits weniger beleuchtet, doch das ändert sich ab Mai 2023“, sagt Naake. „Viele KRITIS-Betreiber sind darauf noch kaum vorbereitet. Dabei ist es wichtig, sich selbst damit auseinanderzusetzen und nicht zu warten, bis der Auditor kommt. Die Angriffserkennung ist eine Mammutaufgabe und umfasst unter anderem ein Protokollierungskonzept, Use Cases und ein Tool, das die auftretenden Ereignisse verarbeitet.“
SAP-Kunden könnten diese Herausforderung jedoch vergleichsweise schnell und einfach meistern, sagt Martin Müller, Security Expert bei SAP. Denn es gibt ein Tool, mit dem sich Angriffe auf die SAP-Anwendungslandschaft anhand der Logfiles erkennen lassen: SAP Enterprise Threat Detection. „Die Lösung gibt es schon seit etwa acht Jahren“, so Müller. Früher sei es aufwendig gewesen, sie zu implementieren. Doch das hat sich geändert: Seit zwei Jahren gibt es SAP Enterprise Threat Detection als Cloud-Variante, die sich in nur vier Wochen einrichten lässt.
Darüber hinaus bietet SAP einen Managed Service für die Anwendung an. SAP-Expertinnen und -Experten übernehmen die gesamte Arbeit. Die Kunden erhalten lediglich die Berichte der Auswertungen. „Wir bei SAP kennen die Angriffsmuster auf unsere Systeme natürlich am besten und können unsere Kunden optimal schützen“, sagt Müller. Auch False Positives kämen so nur selten vor.
EY rät zu schnellem Handeln
„KRITIS-Unternehmen mit Nachholbedarf in Sachen IT-Sicherheitsgesetz sollten jetzt dringend handeln“, sagt Lutz Naake von EY. „Eine der ersten Übungen als KRITIS-Betreiber besteht darin, den Scope, oder auf Deutsch: den Geltungsbereich, zu definieren. Also zu schauen: Welche Prozesse und Anwendungen unterstützen die kritischen Bereiche?“ Oft sei der Scope für Dritte nicht nachvollziehbar abgeleitet oder dokumentiert. Manchmal sei er auch zu groß gewählt – das führe eher zu Informationssicherheit nach dem Gießkannenprinzip statt einem gezielten Schutz der kritischen Systeme.
Darüber hinaus brauchen Unternehmen eine Technologie, die dem Branchenstandard entspricht. „Es führt jetzt kein Weg mehr daran vorbei, Systeme zur Angriffserkennung einzusetzen“, sagt Martin Müller. „SAP Enterprise Threat Detection ist hier für SAP-Landschaften die Lösung der Wahl.“
