Kind Reminder: Angriffserkennung nach IT-SiG 2.0 auch für SAP-Systeme Pflicht!

Unternehmen sehen sich zunehmend mit der Herausforderung von Cyber-Angriffen konfrontiert. Diese Angriffe können verheerende Auswirkungen haben und die Integrität, Verfügbarkeit und Vertraulichkeit sensibler Daten gefährden. Zum Schutz von Unternehmen der Kritischen Infrastrukturen (KRITIS) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erarbeitet, das am 24.04.2021 vom Bundeskabinett beschlossen wurde. Was viele Unternehmen nicht wissen: Bereits ab dem 1. Mai 2023 müssen betroffene Unternehmen ein System zur Erkennung von Angriffen eingeführt haben.

Seit wann gelten die gesetzlichen Anforderungen des IT-SiG 2.0?

Die erste Fassung des IT-Sicherheitsgesetzes ist schon im Jahr 2015 in Kraft getreten. Es verpflichtet Unternehmen mit kritischen Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Gewährleistung der IT-Sicherheit zu treffen. Die genauen Anforderungen wurden in der sogenannten „KRITIS-Verordnung“ festgelegt.

Aufgrund der veränderten Bedrohungslage und des zunehmenden Einsatzes fortschrittlicher Angriffsmethoden wurde 2018 das IT-SiG 2.0 verabschiedet. Es stellt eine Weiterentwicklung und Verschärfung der bestehenden Rechtslage dar. Das IT-SiG 2.0 legt fest, dass Unternehmen mit kritischer Infrastruktur geeignete Angriffserkennungs- und Abwehrmaßnahmen implementieren müssen, um den Schutz ihrer IT-Systeme und sensiblen Daten zu gewährleisten.

Welche gesetzlichen Anforderungen werden durch das IT-SiG 2.0 gestellt?

Gemäß IT-SiG 2.0 müssen Unternehmen mit Kritischen Infrastrukturen Maßnahmen zur Angriffserkennung in ihre IT-Systeme integrieren. Die genauen Anforderungen können je nach Branche und spezifischer Infrastruktur variieren:

• Kontinuierliche und automatische Erfassung geeigneter Parameter und Merkmale aus dem laufenden Betrieb.
  Der Gesetzgeber fordert einen Mechanismus, der systemkritische Parameter und andere Merkmale (oft in Logs gesammelt) nicht nur erfasst, sondern auch auswertet. Eine rein manuelle Auswertung ist hier nicht ausreichend.
• Implementierung eines Frühwarnsystems, das rechtzeitig auf mögliche Angriffe hinweist.
  In diesem Zusammenhang wird explizit der Einsatz von Systemen zur Erkennung von Angriffen gefordert. Eine software- oder hardwarebasierte Lösung ist hier also nicht optional. Nur so können verdächtige Aktivitäten und Angriffsversuche zeitnah erkannt und analysiert werden.
• Für aufgetretene Störungen sind geeignete Abhilfemaßnahmen vorzusehen.
  Damit sind Maßnahmen zur Abwehr von Angriffen und zur Wiederherstellung der Systemsicherheit im Schadensfall gemeint.

Die Nichteinhaltung der gesetzlichen Anforderungen kann schwerwiegende Folgen haben, darunter empfindliche Strafen und Bußgelder sowie einen erheblichen Reputationsverlust für das betroffene Unternehmen.

Ist SAP als IT-System im Zusammenhang mit dem IT-SiG 2.0 relevant?

Aus unserer Sicht sind SAP-Systeme als geschäftskritische Anwendungen einzustufen, da sie durch die Steuerung von Geschäftsprozessen (z.B. Finanzbuchhaltung, Personalwesen, Einkauf, etc.) eine zentrale Rolle in Unternehmen einnehmen und Zugriff auf sensible Unternehmensdaten ermöglichen. Ein Ausfall der SAP-Systeme könnte daher zur Unterbrechung wichtiger Dienste führen und die Sicherheit und Stabilität der Infrastruktur gefährden. Darüber hinaus sind SAP-Systeme aufgrund ihrer weiten Verbreitung und ihrer wirtschaftlichen Bedeutung besonders attraktive Ziele für Cyber-Angriffe.

Für alle als KRITIS eingestuften Unternehmen zählt SAP damit automatisch zu den nach IT-SiG 2.0 zu überwachenden und zu behandelnden Systemen.

Verlieren Sie keine Zeit und handeln Sie jetzt!

Da der Stichtag (1. Mai 2023) für die Einführung eines Systems zur Angriffserkennung bereits verstrichen ist, hoffen wir, dass Sie schon entsprechende Vorkehrungen getroffen haben. Unternehmen, die sich bislang noch nicht mit dem Thema auseinandergesetzt haben, sollten jetzt unverzüglich handeln:

• Prüfen Sie, ob Ihr Unternehmen im Wirkungsbereich des IT-SiG 2.0 liegt.
• Identifizieren Sie die in Ihrem Unternehmen vorhandenen IT-Systeme und vergleichen Sie diese auf Relevanz in Bezug auf das IT-SiG 2.0.
• Prüfen Sie, ob Sie bereits eine geeignete Lösung zur Angriffserkennung im Einsatz haben und welche der relevanten IT-Systeme diese abdeckt.
• Haben Sie Abweichungen festgestellt? Falls ja, erstellen Sie einen Maßnahmenplan.

Dokumentieren Sie Ihr Vorgehen so, dass Sie bei einem eventuellen Audit jederzeit transparent über Ihre Entscheidungen Auskunft geben können. Damit zeigen Sie, dass ein Bewusstsein für das Thema vorhanden ist und die notwendigen Maßnahmen eingeleitet wurden.

Toolbasierte Lösungen bieten Unterstützung

Die Bedeutung der Angriffserkennung ist nicht zu unterschätzen. Angesichts der stetig wachsenden Bedrohung durch Cyber-Angriffe ist es unerlässlich, die Anforderungen des IT-SiG 2.0 zu erfüllen und effektive Maßnahmen zur Angriffserkennung zu implementieren. Die Cybersecurity-Lösungen von Pathlock unterstützen Sie bei der kontinuierlichen Risikoüberwachung und ermöglichen eine schnelle Reaktion auf Bedrohungen. So beinhaltet beispielsweise unser Threat Detection Tool ein ausgefeiltes Analyseverfahren mit Echtzeitüberwachung, das Anomalien und ungewöhnliche Aktivitäten identifiziert und bei Verdacht sofort Alarm schlägt. Kombiniert mit unserem Vulnerability Management erreichen Sie eine umfassende Absicherung Ihrer Systemlandschaft und eine deutliche Verbesserung Ihrer Systemsicherheit.

Die Gewährleistung von IT-Sicherheit ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine soziale Verantwortung gegenüber der Gesellschaft und den Kunden. Nur durch proaktive Überwachung und frühzeitige Erkennung von Angriffen können Betreiber kritischer Infrastrukturen ihre Systeme und Daten effektiv schützen und mögliche Schäden minimieren.

Für weitere Informationen kontaktieren Sie uns bitte oder vereinbaren Sie einen Demo-Termin.

Raphael Kelbert, Product Management (Pathlock Deutschland)

Lesen Sie diesen Fallbericht eines KRITIS-Unternehmens: