{"id":33851,"date":"2023-07-24T02:12:00","date_gmt":"2023-07-24T09:12:00","guid":{"rendered":"https:\/\/pathlock.com\/?p=33851"},"modified":"2026-03-05T17:04:46","modified_gmt":"2026-03-05T22:04:46","slug":"kind-reminder-angriffserkennung-nach-it-sig-2-0-auch-fuer-sap-systeme-pflicht","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/kind-reminder-angriffserkennung-nach-it-sig-2-0-auch-fuer-sap-systeme-pflicht\/","title":{"rendered":"Kind Reminder: Angriffserkennung nach IT-SiG 2.0 auch f\u00fcr SAP-Systeme Pflicht!"},"content":{"rendered":"\n
Unternehmen sehen sich zunehmend mit der Herausforderung von Cyber-Angriffen konfrontiert. Diese Angriffe k\u00f6nnen verheerende Auswirkungen haben und die Integrit\u00e4t, Verf\u00fcgbarkeit und Vertraulichkeit sensibler Daten gef\u00e4hrden. Zum Schutz von Unternehmen der Kritischen Infrastrukturen (KRITIS) hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erarbeitet, das am 24.04.2021 vom Bundeskabinett beschlossen wurde. Was viele Unternehmen nicht wissen: Bereits ab dem 1. Mai 2023 m\u00fcssen betroffene Unternehmen ein System zur Erkennung von Angriffen eingef\u00fchrt haben.<\/p>\n\n\n\n
Seit wann gelten die gesetzlichen Anforderungen des IT-SiG 2.0?<\/strong><\/h2>\n\n\n\n
Die erste Fassung des IT-Sicherheitsgesetzes ist schon im Jahr 2015 in Kraft getreten. Es verpflichtet Unternehmen mit kritischen Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Gew\u00e4hrleistung der IT-Sicherheit zu treffen. Die genauen Anforderungen wurden in der sogenannten „KRITIS-Verordnung“ festgelegt.<\/p>\n\n\n\n
Aufgrund der ver\u00e4nderten Bedrohungslage und des zunehmenden Einsatzes fortschrittlicher Angriffsmethoden wurde 2018 das IT-SiG 2.0 verabschiedet. Es stellt eine Weiterentwicklung und Versch\u00e4rfung der bestehenden Rechtslage dar. Das IT-SiG 2.0 legt fest, dass Unternehmen mit kritischer Infrastruktur geeignete Angriffserkennungs- und Abwehrma\u00dfnahmen implementieren m\u00fcssen, um den Schutz ihrer IT-Systeme und sensiblen Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n
Welche gesetzlichen Anforderungen werden durch das IT-SiG 2.0 gestellt?<\/strong><\/h2>\n\n\n\n
Gem\u00e4\u00df IT-SiG 2.0 m\u00fcssen Unternehmen mit Kritischen Infrastrukturen Ma\u00dfnahmen zur Angriffserkennung in ihre IT-Systeme integrieren. Die genauen Anforderungen k\u00f6nnen je nach Branche und spezifischer Infrastruktur variieren:<\/p>\n\n\n\n
\n
Kontinuierliche und automatische Erfassung geeigneter Parameter und Merkmale aus dem laufenden Betrieb.<\/strong> Der Gesetzgeber fordert einen Mechanismus, der systemkritische Parameter und andere Merkmale (oft in Logs gesammelt) nicht nur erfasst, sondern auch auswertet. Eine rein manuelle Auswertung ist hier nicht ausreichend.<\/li>\n\n\n\n
Implementierung eines Fr\u00fchwarnsystems, das rechtzeitig auf m\u00f6gliche Angriffe hinweist.<\/strong> In diesem Zusammenhang wird explizit der Einsatz von Systemen zur Erkennung von Angriffen gefordert. Eine software- oder hardwarebasierte L\u00f6sung ist hier also nicht optional. Nur so k\u00f6nnen verd\u00e4chtige Aktivit\u00e4ten und Angriffsversuche zeitnah erkannt und analysiert werden.<\/li>\n\n\n\n
F\u00fcr aufgetretene St\u00f6rungen sind geeignete Abhilfema\u00dfnahmen vorzusehen.<\/strong> Damit sind Ma\u00dfnahmen zur Abwehr von Angriffen und zur Wiederherstellung der Systemsicherheit im Schadensfall gemeint.<\/li>\n<\/ul>\n\n\n\n
Die Nichteinhaltung der gesetzlichen Anforderungen kann schwerwiegende Folgen haben, darunter empfindliche Strafen und Bu\u00dfgelder sowie einen erheblichen Reputationsverlust f\u00fcr das betroffene Unternehmen.<\/p>\n\n\n\n
Ist SAP als IT-System im Zusammenhang mit dem IT-SiG 2.0 relevant?<\/strong><\/h2>\n\n\n\n
Aus unserer Sicht sind SAP-Systeme als gesch\u00e4ftskritische Anwendungen einzustufen, da sie durch die Steuerung von Gesch\u00e4ftsprozessen (z.B. Finanzbuchhaltung, Personalwesen, Einkauf, etc.) eine zentrale Rolle in Unternehmen einnehmen und Zugriff auf sensible Unternehmensdaten erm\u00f6glichen. Ein Ausfall der SAP-Systeme k\u00f6nnte daher zur Unterbrechung wichtiger Dienste f\u00fchren und die Sicherheit und Stabilit\u00e4t der Infrastruktur gef\u00e4hrden. Dar\u00fcber hinaus sind SAP-Systeme aufgrund ihrer weiten Verbreitung und ihrer wirtschaftlichen Bedeutung besonders attraktive Ziele f\u00fcr Cyber-Angriffe.<\/p>\n\n\n\n
F\u00fcr alle als KRITIS eingestuften Unternehmen z\u00e4hlt SAP damit automatisch zu den nach IT-SiG 2.0 zu \u00fcberwachenden und zu behandelnden Systemen. <\/p>\n\n\n\n
Verlieren Sie keine Zeit und handeln Sie jetzt!<\/strong><\/h2>\n\n\n\n
Da der Stichtag (1. Mai 2023) f\u00fcr die Einf\u00fchrung eines Systems zur Angriffserkennung bereits verstrichen ist, hoffen wir, dass Sie schon entsprechende Vorkehrungen getroffen haben. Unternehmen, die sich bislang noch nicht mit dem Thema auseinandergesetzt haben, sollten jetzt unverz\u00fcglich handeln:<\/p>\n\n\n\n
\n
Pr\u00fcfen Sie, ob Ihr Unternehmen im Wirkungsbereich des IT-SiG 2.0 liegt.<\/li>\n\n\n\n
Identifizieren Sie die in Ihrem Unternehmen vorhandenen IT-Systeme und vergleichen Sie diese auf Relevanz in Bezug auf das IT-SiG 2.0.<\/li>\n\n\n\n
Pr\u00fcfen Sie, ob Sie bereits eine geeignete L\u00f6sung zur Angriffserkennung im Einsatz haben und welche der relevanten IT-Systeme diese abdeckt.<\/li>\n\n\n\n
Haben Sie Abweichungen festgestellt? Falls ja, erstellen Sie einen Ma\u00dfnahmenplan.<\/li>\n<\/ul>\n\n\n\n
Dokumentieren Sie Ihr Vorgehen so, dass Sie bei einem eventuellen Audit jederzeit transparent \u00fcber Ihre Entscheidungen Auskunft geben k\u00f6nnen. Damit zeigen Sie, dass ein Bewusstsein f\u00fcr das Thema vorhanden ist und die notwendigen Ma\u00dfnahmen eingeleitet wurden.<\/p>\n\n\n\n
![\"Raphael](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/04\/RaphaelKelbert_900x900px-1.png\")
Raphael Kelbert, Product Management (Pathlock Deutschland)<\/strong><\/p>\n\n\n\n