{"id":156130,"date":"2021-06-21T08:00:39","date_gmt":"2021-06-21T06:00:39","guid":{"rendered":"https:\/\/news.sap.com\/germany\/?p=156130"},"modified":"2021-06-21T09:08:41","modified_gmt":"2021-06-21T07:08:41","slug":"it-sicherheitsgesetz20-anwender","status":"publish","type":"post","link":"https:\/\/news.sap.com\/germany\/2021\/06\/it-sicherheitsgesetz20-anwender\/","title":{"rendered":"IT-Sicherheitsgesetz 2.0 verabschiedet: Was SAP-Anwenderunternehmen jetzt tun m\u00fcssen"},"content":{"rendered":"
\n

2015 wurde das erste IT-Sicherheitsgesetz verabschiedet. Es sollte deutsche Unternehmen in kritischen Infrastrukturen (KRITIS), etwa der Strom- und Wasserversorgung, besser vor Hackern sch\u00fctzen. <\/span><\/p>\n

Die zweite Auflage des Gesetzes vom April 2021 bringt nun erhebliche Neuerungen: Zu den KRITIS-Einrichtungen kommen die \u201eUnternehmen im besonderen \u00f6ffentlichen Interesse\u201c hinzu, beispielsweise R\u00fcstungshersteller oder bestimmte IT-Anbieter, aber auch die Abfallwirtschaft. Wer nicht mitzieht, riskiert drastische Geldbu\u00dfen. Bisher lag die Strafe bei 100.000 Euro, k\u00fcnftig werden bis zu 2 Millionen Euro f\u00e4llig.<\/span><\/p>\n<\/div>\n

\n

\u201eDie Unternehmen m\u00fcssen sich tief in die Karten schauen lassen, denn das BSI verlangt viel detailliertere Informationen als zuvor\u201c, sagt Nadine M\u00fcller, Partnerin im Bereich SAP Security Consulting bei EY. \u201eSie m\u00fcssen sich beim BSI registrieren, gr\u00f6\u00dfere St\u00f6rungen melden und die IT-Sicherheit nachweisen. Die Nachweise m\u00fcssen auf Anfrage schnell in der korrekten Form bereitstehen.\u201c Allein das erfordert ein Umdenken in der IT-Security. Noch kritischer ist eine weitere Anforderung: Die Unternehmen sind k\u00fcnftig verpflichtet, Angriffe proaktiv aufzusp\u00fcren sowie kontinuierlich sicherheitsrelevante Protokolldaten zu erfassen und auszuwerten. \u00a0<\/span><\/p>\n<\/div>\n

\n

SAP-Security fit machen f\u00fcr das IT-Sicherheitsgesetz<\/span><\/b><\/h2>\n<\/div>\n
\n

Die meisten Unternehmen haben f\u00fcr die Angriffserkennung bereits eine L\u00f6sung f\u00fcr Security Information and Event Management (SIEM) im Einsatz. \u201eDas ist eine Monitoring-Software, die Netzwerke, Betriebssysteme und Datenbanken permanent nach Angriffen absucht und sehr gute Ergebnisse liefert\u201c, sagt Steffen Trumpp, Solution Advisor Expert im Bereich Governance, Risk, Compliance & Security bei SAP. \u201eAber, und das ist der Knackpunkt, die meisten SIEM-L\u00f6sungen decken die SAP-Applikationsschicht nur bruchst\u00fcckhaft ab. Dabei liegen gerade hier die wertvollsten und sensibelsten Informationen \u2013 eben das Wissen, das Unternehmen einzigartig macht. Es geht beispielsweise um Baupl\u00e4ne zu innovativen Produkten oder um wertvolle Kundendaten. Ein Verlust dieser Daten kann nicht nur L\u00f6segeldforderungen nach sich ziehen, sondern den USP und damit die Marktstellung gef\u00e4hrden.\u201c<\/span><\/p>\n<\/div>\n

\n

Zwar gibt es bereits seit rund f\u00fcnf Jahren eine Monitoring-L\u00f6sung f\u00fcr die gesamte SAP-Applikationsebene, n\u00e4mlich SAP Enterprise Threat Detection. Aber l\u00e4ngst nicht jeder Kunde setzt sie ein. Warum? \u201eMan findet immer Gr\u00fcnde, nicht anzufangen\u201c, sagt Steffen Trumpp. \u201eKeine Zeit, kein Budget, keine Security-Fachkr\u00e4fte und rechtlich sowieso nicht erforderlich. Potenzielle Angreifer freuen sich nat\u00fcrlich \u00fcber das z\u00f6gerliche Vorgehen, denn so haben sie leichteres Spiel. Dabei haben viele Security-Entscheider schon ausgearbeitete Pl\u00e4ne in der Schublade, sie haben aber die Dringlichkeit untersch\u00e4tzt.\u201c<\/span><\/p>\n<\/div>\n

\n

Insofern ist das neue IT-Sicherheitsgesetz ein Weckruf zur rechten Zeit, findet Nadine M\u00fcller von EY. \u201eDie Unternehmen sollten das Gesetz nicht als G\u00e4ngelei, sondern als Chance betrachten. Jetzt ist die Aufmerksamkeit da, jetzt bekommen die Initiativen den n\u00f6tigen R\u00fcckhalt aus der Chefetage. Au\u00dferdem ist es ja nur eine Frage der Zeit, wann ein Angriff kommt. Die Lage wird t\u00e4glich ungem\u00fctlicher, jederzeit kann der Ernstfall eintreten.\u201c<\/span><\/p>\n<\/div>\n

\n

SAP-Security: Wie anfangen?<\/span><\/b><\/h2>\n<\/div>\n
\n

Die gute Nachricht: Kein Unternehmen beginnt bei null, in der Regel sind bereits tragf\u00e4hige Security-Konzepte und -Strukturen vorhanden. Es m\u00fcssen also nicht Dutzende Produktivsysteme schlagartig in eine neue Strategie gezw\u00e4ngt werden. Oft fehlen nur noch einzelne Elemente, etwa die Implementierung entsprechender Monitoring-L\u00f6sungen, um das gesamte Unternehmen, inklusive der SAP-Landschaft, zu sch\u00fctzen. <\/span><\/p>\n<\/div>\n

\n

\u201eZuerst sollten Unternehmen nat\u00fcrlich analysieren, wie ihre SAP-Sicherheit aktuell aufgestellt ist\u201c, sagt Nadine M\u00fcller. \u201eWer seine Governance und sein Security-Konzept nach einem f\u00fchrenden Standard aufgebaut hat, etwa ISO\/IEC 27001 oder NIST, verf\u00fcgt schon \u00fcber eine ideale Startbahn f\u00fcr die jetzt notwendigen Ma\u00dfnahmen. Ein Big Bang ist ohnehin nicht mehr zeitgem\u00e4\u00df, Unternehmen k\u00f6nnen und sollten pragmatisch und schrittweise vorgehen. Wichtig ist aber, nicht in Silodenken zu verfallen und immer das gesamte Unternehmen im Blick zu haben.\u201c <\/span><\/p>\n<\/div>\n

\n

Aussitzen l\u00e4sst sich das Security-Thema nicht, im Gegenteil: Die rasante Digitalisierung (Cloud, K\u00fcnstliche Intelligenz, Automatisierung \u2026) macht IT-Landschaften immer komplexer und interessanter f\u00fcr Angreifer. Nadine M\u00fcller: \u201eJetzt ist die perfekte Gelegenheit, zu handeln. Nicht prim\u00e4r, um dem Sicherheitsgesetz 2.0 zu gen\u00fcgen. Sondern um die gesch\u00e4ftliche Zukunft des Unternehmens zu sichern.\u201c<\/span><\/p>\n<\/div>\n

\n

Mehr Infos zum Thema gibt\u2018s in zwei Webinaren mit EY und SAP. Jetzt anmelden:<\/span><\/strong><\/p>\n<\/div>\n

\n