{"id":444,"date":"2023-07-09T23:22:03","date_gmt":"2023-07-09T20:22:03","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=444"},"modified":"2023-07-10T00:00:41","modified_gmt":"2023-07-09T21:00:41","slug":"sap-security-kritis-bsi","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-kritis-bsi\/2023\/07\/","title":{"rendered":"SAP Security und KRITIS ab Mai 2023"},"content":{"rendered":"\n
\n
\n

Liebe Leserinnen und Leser,<\/p>\n

die Sicherheitslandschaft f\u00fcr Betreiber von SAP-Systemen hat sich im Laufe der Jahre drastisch ver\u00e4ndert. Neue Gesetzgebungen, insbesondere im Hinblick auf KRITIS (Kritische Infrastrukturen), haben das Niveau an verpflichtenden Sicherheitsvorkehrungen erh\u00f6ht, die Unternehmen treffen m\u00fcssen. Diese \u00c4nderungen sind sowohl eine Herausforderung als auch eine Chance, die Sicherheit und Resilienz von IT-Systemen zu verbessern. Gleichzeitig sorgen sie daf\u00fcr, dass Unternehmen, die KRITIS-Sektoren bedienen, besser vor m\u00f6glichen Cyberangriffen gesch\u00fctzt sind. Angesichts des sich st\u00e4ndig weiterentwickelnden Bedrohungsumfelds ist es f\u00fcr SAP-Betreiber von entscheidender Bedeutung, sich \u00fcber die neuesten Gesetzes\u00e4nderungen zu informieren und geeignete Ma\u00dfnahmen zur Anpassung ihrer IT-Infrastrukturen zu ergreifen. Die F\u00e4higkeit, effektive und rechtskonforme SAP-Sicherheitsstrategien zu entwickeln und umzusetzen, ist dabei ein zentraler Faktor. Dieser Artikel bietet einen Einblick in die neuesten Gesetzes\u00e4nderungen, die sich auf KRITIS und SAP auswirken, und erl\u00e4utert, wie SAP-Betreiber ihre Systeme an die neuen Sicherheitsanforderungen anpassen k\u00f6nnen.<\/p>\n<\/div>\n\n\n\n

\n
\"SAP<\/a><\/figure>\n<\/div>\n<\/div>\n\n\n

Die SAP ist ein zentraler Akteur in der Welt der Unternehmenssoftware, mit Systemen, die einen Gro\u00dfteil des betrieblichen Datenverkehrs in Unternehmen auf der ganzen Welt steuern. Deshalb stellt die Frage explizit: Welche Anforderungen stellt das BSI an KRITIS-Betreiber mit SAP Systemen?<\/strong><\/p>\n

    \n
  1. Betreiber der SAP Systeme sind verpflichtet, eine Kontaktstelle zu benennen, die f\u00fcr die Kommunikation mit dem BSI zust\u00e4ndig ist. Damit wird eine direkte Kommunikationslinie zwischen den Unternehmen und der Bundesbeh\u00f6rde sichergestellt.<\/li>\n
  2. \n

    Meldung erheblicher St\u00f6rungen Jede St\u00f6rung, die die Verf\u00fcgbarkeit kritischer Dienstleistungen negativ beeinflusst, muss dem BSI gemeldet werden. Dies erm\u00f6glicht eine schnelle Reaktion auf potenzielle Cyberangriffe und eine systematische Behebung von Sicherheitsl\u00fccken.<\/p>\n<\/li>\n

  3. \n

    Regelm\u00e4\u00dfige Sicherheitsaudits, Pr\u00fcfungen und Zertifizierungen KRITIS-Betreiber sind dazu verpflichtet, ihre IT-Systeme auf dem neuesten Stand der Technik zu halten. Dieser wird vom BSI definiert und durch regelm\u00e4\u00dfige Sicherheitsaudits, Pr\u00fcfungen und Zertifizierungen nachgewiesen. Dabei spielt die ISO27001-Zertifizierung eine entscheidende Rolle.<\/p>\n<\/li>\n

  4. \n

    Implementierung von Intrusion Detection Systems (IDS) und SIEM-Tools zur Erkennung von Cyber-Angriffen m\u00fcssen KRITIS-Betreiber Systeme implementieren, die auf Algorithmen basieren und Angriffe in Echtzeit identifizieren k\u00f6nnen. IDS und SIEM-Tools stellen hierf\u00fcr geeignete L\u00f6sungen dar, wie SAP Enterprise Threat Detection (ETD)<\/p>\n<\/li>\n

  5. \n

    Erstellung von Desaster-Recovery-Pl\u00e4nen Um die Arbeitsf\u00e4higkeit nach einem Angriff auf die IT-Systeme schnellstm\u00f6glich wiederherzustellen, m\u00fcssen KRITIS-Betreiber Desaster-Recovery-Szenarien entwerfen. Diese beinhalten Reaktionspl\u00e4ne und Pr\u00e4ventionsma\u00dfnahmen, die im Falle einer massiven Versorgungsst\u00f6rung zum Einsatz kommen.<\/p>\n<\/li>\n<\/ol>\n

    BSI und SAP: Sicherheitsma\u00dfnahmen f\u00fcr kritische Infrastrukturen Bei der Erf\u00fcllung der BSI-Vorgaben spielen SAP-Systeme eine wichtige Rolle, da sie h\u00e4ufig Teil von kritischen Infrastrukturen sind. Mit SAP Enterprise Threat Detection (ETD)<\/strong><\/a> erhalten Unternehmen Echtzeit-Einblicke in kritische Handlungen und auff\u00e4llige Vorg\u00e4nge innerhalb ihrer SAP-Systemlandschaft. Damit k\u00f6nnen Cyberangriffe auf SAP-Anwendungen fr\u00fchzeitig erkannt, analysiert und neutralisiert werden.<\/p>\n

    Dar\u00fcber hinaus m\u00fcssen Betreiber pr\u00e4ventive Ma\u00dfnahmen wie automatisierte Identit\u00e4tsverwaltung, ma\u00dfgeschneidertes Berechtigungsmanagement, klares Rollenkonzept, Authentifizierung und Verschl\u00fcsselung ergreifen. Mit der Multi-Faktor-Authentifizierung (MFA) l\u00e4sst sich ein deutlich h\u00f6heres Schutzniveau erreichen.<\/p>\n

    Sanktionen und Ausnahmen beim IT-Sicherheitsgesetz 2.0 Bei Verst\u00f6\u00dfen gegen das IT-Sicherheitsgesetz 2.0 drohen Unternehmen empfindliche Sanktionen in Form von Bu\u00dfgeldern. Die zu zahlenden Summen bewegen sich zwischen 100.000 Euro und 2 Millionen Euro, je nach Versto\u00df. In einigen F\u00e4llen k\u00f6nnen die Strafen sogar auf bis zu 20 Millionen Euro bzw. 4 % des weltweiten Unternehmensumsatzes steigen.<\/p>\n

    Neben den Betreibern kritischer Infrastrukturen betrifft das IT-Sicherheitsgesetz 2.0 auch die Kategorie „Unternehmen im besonderen \u00f6ffentlichen Interesse“. Sie umfasst Unternehmen aus bestimmten Branchen bzw. von bestimmter Gr\u00f6\u00dfe, die zwar nicht zur kritischen Infrastruktur z\u00e4hlen, aber dennoch eine besondere Relevanz haben.<\/p>\n

    Wie kann der Stand der Technik f\u00fcr SAP Systeme nachgewiesen werden?<\/strong><\/p>\n

    Der Stand der Technik f\u00fcr SAP-Systeme kann auf verschiedenen Wegen nachgewiesen werden, wobei der konkrete Prozess je nach Unternehmen und den spezifischen Anforderungen variieren kann. Im Allgemeinen sind jedoch die folgenden Schritte und \u00dcberlegungen hilfreich:<\/p>\n

    1. SAP-Sicherheitsrichtlinien und Best Practices:<\/strong> SAP stellt verschiedene Richtlinien und Best Practices f\u00fcr die Sicherheit zur Verf\u00fcgung. Einhaltung dieser Vorgaben kann dazu beitragen, den aktuellen Stand der Technik zu demonstrieren. Solche Richtlinien beinhalten beispielsweise die Implementierung von Rollen- und Berechtigungskonzepten, die konsequente Anwendung von Sicherheitspatches und die Sicherstellung der Datenintegrit\u00e4t.<\/p>\n

    2. SAP Security Optimierung Services (SOS):<\/strong> SAP bietet einen Service namens Security Optimization Services an, der eine umfassende Pr\u00fcfung des Sicherheitsstatus eines SAP-Systems durchf\u00fchrt. Dieser Service beinhaltet eine systematische \u00dcberpr\u00fcfung des Systems, um Sicherheitsl\u00fccken zu identifizieren und Verbesserungsvorschl\u00e4ge zu unterbreiten.<\/p>\n

    3. Zertifizierungen:<\/strong> Verschiedene Zertifizierungen k\u00f6nnen dazu dienen, den Stand der Technik zu best\u00e4tigen. Das beinhaltet zum Beispiel die ISO 27001-Zertifizierung, die das Management der Informationssicherheit betrifft, oder spezifische SAP-Zertifizierungen wie die SAP Certified Technology Associate – System Security Architect.<\/p>\n

    4. SAP System Audits:<\/strong> Durch regelm\u00e4\u00dfige interne und externe Audits kann \u00fcberpr\u00fcft werden, ob das SAP-System den aktuellen Anforderungen entspricht und ob alle relevanten Sicherheitsma\u00dfnahmen umgesetzt sind.<\/p>\n

    5. Aktualit\u00e4t der Software:<\/strong> Es ist wichtig, dass das SAP-System stets auf dem neuesten Stand ist. Das bedeutet, dass alle Softwarekomponenten, einschlie\u00dflich des Betriebssystems, der Datenbank und der SAP-Anwendungen selbst, regelm\u00e4\u00dfig aktualisiert und gepatched werden.<\/p>\n

    6. Dokumentation:<\/strong> Schlie\u00dflich ist eine umfassende Dokumentation aller Prozesse, Richtlinien und Ma\u00dfnahmen in Bezug auf die IT-Sicherheit unerl\u00e4sslich, um den Stand der Technik nachweisen zu k\u00f6nnen.<\/p>\n

    Es ist wichtig zu beachten, dass der Stand der Technik in der IT-Sicherheit ein dynamischer Begriff ist, der sich st\u00e4ndig weiterentwickelt. Daher sollte die Sicherheit von SAP-Systemen kontinuierlich \u00fcberwacht und angepasst werden.<\/p>\n

    \u00a0<\/p>\n

    Fazit: Verantwortungsbewusstsein f\u00fcr eine digitale Welt<\/strong><\/p>\n

    In einer Welt, die zunehmend vernetzt und digitalisiert ist, sind die erh\u00f6hten Anforderungen an IT-Sicherheit und die Zuverl\u00e4ssigkeit kritischer Infrastrukturen (KRITIS) nicht nur notwendig, sondern unerl\u00e4sslich. Durch die Versch\u00e4rfung des IT-Sicherheitsgesetzes 2.0 sind KRITIS-Betreiber nun st\u00e4rker in der Pflicht, ihre IT-Systeme widerstandsf\u00e4higer gegen St\u00f6rungen zu gestalten und auf dem neuesten Stand der Technik zu halten. Dies sichert die Aufrechterhaltung essenzieller Versorgungsleistungen f\u00fcr die Gesellschaft und dient dem Schutz sensibler Daten.\u00a0Dennoch stellt die Einhaltung dieser erweiterten Bestimmungen eine Herausforderung dar und erfordert sowohl sorgf\u00e4ltige Planung als auch zeitnahe Umsetzung. Betreiber m\u00fcssen ihre IT-Infrastruktur kontinuierlich bewerten und verbessern, relevante St\u00f6rungen dem BSI melden und dabei stets die neuesten technischen Standards befolgen.\u00a0Die Anforderungen des BSI, obwohl umfangreich und fordernd, bieten letztlich die Chance f\u00fcr Unternehmen, ihre Systeme gegen Cyberbedrohungen zu st\u00e4rken und gleichzeitig den bestm\u00f6glichen Schutz f\u00fcr ihre Kunden zu gew\u00e4hrleisten. Dies unterstreicht die Bedeutung einer verantwortungsbewussten digitalen Pr\u00e4senz und eines nachhaltigen Managements von IT-Ressourcen.\u00a0Insgesamt ist das erweiterte IT-Sicherheitsgesetz 2.0 ein wichtiger Schritt, um die Kontinuit\u00e4t kritischer Infrastrukturen in Deutschland zu sichern und die digitale Landschaft zu st\u00e4rken. Es ist nun an den KRITIS-Betreibern, ihre Rolle verantwortungsvoll zu erf\u00fcllen und zur Sicherheit des digitalen Raums beizutragen. Im besten Sinne dient dies nicht nur dem Schutz der eigenen IT-Systeme, sondern auch der Gesellschaft als Ganzes.<\/p>","protected":false},"excerpt":{"rendered":"

    SAP Security im Fokus der neuen Gesetzgebungen, insbesondere im Hinblick auf KRITIS (Kritische Infrastrukturen), haben das Niveau an verpflichtenden Sicherheitsvorkehrungen erh\u00f6ht, die Unternehmen treffen m\u00fcssen. Diese \u00c4nderungen sind sowohl eine Herausforderung als auch eine Chance, die Sicherheit und Resilienz von IT-Systemen zu verbessern. Gleichzeitig sorgen sie daf\u00fcr, dass Unternehmen, die KRITIS-Sektoren bedienen, besser vor m\u00f6glichen Cyberangriffen gesch\u00fctzt sind. Angesichts des sich st\u00e4ndig weiterentwickelnden Bedrohungsumfelds ist es f\u00fcr SAP-Betreiber von entscheidender Bedeutung, sich \u00fcber die neuesten Gesetzes\u00e4nderungen zu informieren und geeignete Ma\u00dfnahmen zur Anpassung ihrer IT-Infrastrukturen zu ergreifen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5],"tags":[46,45,7],"class_list":["post-444","post","type-post","status-publish","format-standard","hentry","category-sap","tag-bsi","tag-kritis","tag-sap"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"SAP Security im Fokus der neuen Gesetzgebungen, insbesondere im Hinblick auf KRITIS (Kritische Infrastrukturen), haben das Niveau an verpflichtenden Sicherheitsvorkehrungen erh\u00f6ht, die Unternehmen treffen m\u00fcssen. Diese \u00c4nderungen sind sowohl eine Herausforderung als auch eine Chance, die Sicherheit und Resilienz von IT-Systemen zu verbessern. Gleichzeitig sorgen sie daf\u00fcr, dass Unternehmen, die KRITIS-Sektoren bedienen, besser vor m\u00f6glichen…","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=444"}],"version-history":[{"count":14,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/444\/revisions"}],"predecessor-version":[{"id":468,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/444\/revisions\/468"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}