Skip to content

IT-SiG 2.0 – Angriffserkennung für SAP ab 1. Mai 2023 ein muss 

Angriffserkennung für SAP

Viele unserer Leserinnen und Leser erinnern sich noch an den 25. Mai 2018, Stichtag der bindenden Einführung der Datenschutzgrundverordnung, kurz DSGVO. Verstöße gegen die neue Regelung können seitdem zu drakonischen Strafen führen. Nun steht, zumindest für diejenigen Unternehmen, die zur kritischen Infrastruktur (KRITIS) von Deutschland zählen, ein ähnlicher Termin ins Haus. Am 1. Mai 2023 müssen betroffene Unternehmen ein System zur Angriffserkennung eingeführt haben.  

Was ist das IT-SiG 2.0?

Die Abkürzung IT-SiG 2.0 steht für das IT-Sicherheitsgesetz in Version 2.0, welche am 24.04.2021 vom Bundeskabinett beschlossen wurde. In ihm enthalten sind Vorgaben für die Betreiber kritischer Infrastrukturen. Das Bundesamt für Sicherheit in der Informationssicherheit, kurz BSI, spielt eine wichtige Rolle bei der Definition der Inhalte. Gemäß § 8a müssen zum 1. Mai 2023 IT-Systeme, die im Zusammenhang mit der Bereitstellung kritischer Dienstleistungen stehen, ein Angriffserkennungssystem enthalten, das dem Stand der Technik entspricht.  

Der entsprechende Absatz findet sich in Absatz (1a) und lautet:  

(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Absatz 1 Satz 2 und 3 gilt entsprechend. 

Was bedeutet IT-SiG 2.0 § 8a, Abs. 1a genau?

Unsere Interpretation des relativen kurzen, jedoch inhaltsschweren Gesetzestextes werden wir im Folgenden erläutern. Zuvor jedoch (Disclaimer): Dies ist keine Rechtsberatung! 

Hier eine detaillierte Betrachtung des Textbausteins:

  •  Textstelle: „ab dem 1. Mai 2023“: 
    Bedeutet, dass diese Vorgabe zu diesem Stichtag in Kraft tritt. Alle Unternehmen, welche die Anforderung bis zu diesem Tag nicht umgesetzt haben, begehen einen Verstoß, der unter Strafe gestellt ist.  

  • Textstelle: „Einsatz von Systemen zur Angriffserkennung“: 
    Es muss ein System (also eine Software/Hardware-basierte Lösung) eingeführt werden, das es erlaubt, Angriffe zu erkennen. Wir interpretieren hier ferner, dass Angriffe zeitnah zu erkennen sind, auch wenn dies nicht explizit gefordert wird. Dies wird aber aus der nächsten Passage deutlich.

  • Textstelle: „…müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“: 
    Als MUSS-Anforderung für das Angriffserkennungssystem gilt, dass 
    Merkmale und Parameter (Metadaten und Logs) kontinuierlich, d.h. zeitnah und automatisch erfasst und ausgewertet werden.  
    Nach unserer Auffassung reicht es nicht aus, wenn Logs erhoben und in einem zentralen Logmanagement gespeichert werden. Auch die manuelle Auswertung ist nicht ausreichend. Explizit gefordert wird vielmehr eine automatisierte Erfassung und Auswertung. Mit anderen Worten: Die Angriffserkennung muss die notwendigen Daten erfassen und prüfen.

  • Textstelle: „…sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen 
    Optional, jedoch empfehlenswert ist die Identifizierung von Bedrohungen, die aber doch das eigentliche Kernziel des Gesetzes ist! Nach unserem Verständnis hat der Gesetzgeber davon abgesehen, dies als Pflichtvorgabe zu definieren, da es technisch nicht immer möglich ist, alle Bedrohungen verlässlich zu identifizieren.  
    Zusätzlich empfiehlt sich die automatische Vermeidung und Beseitigung von eingetretenen Störungen ( = Vorkommnissen ). Dies wiederum bedeutet, dass die eingesetzte Lösung automatische Reaktion unterstützen und/oder einen Vorschlag zur Behebung unterbreiten sollte.  

Kurzübersicht

MUSS umgesetzt werden

Einsatz einer Lösung zur Angriffserkennung für IT-Systeme, die der Bereitstellung kritischer Dienste dienen.  

Kontinuierliche und automatische Erfassung von Metadaten (Logs, Parameter, Änderungsprotokolle) 

SOLL umgesetzt werden

Identifizierung von Bedrohungen 

Vermeiden von Störungen 

Ausführen oder Aufzeigen geeigneter Maßnahmen für die Beseitigung von Störungen 

Was sollten Sie jetzt tun?

Der bekannte Stichtag sollte unbedingt berücksichtigt werden. Auch wenn KRITIS-Unternehmen in der Regel nur im zweijährlichen Turnus geprüft werden, gilt es, die Vorgabe mit Wirkung zum 1. Mai 2023 umgesetzt zu haben. Daher empfehlen wir Ihnen, dies auch zu dokumentieren.  

Unternehmen, die sich bisher noch nicht mit dem Thema befasst haben, sollten unbedingt Maßnahmen ergreifen.  

  1. Prüfen Sie, welche IT-Systeme im Wirkungsbereich des IT-SiG 2.0 stehen. 
  2. Dokumentieren Sie die Liste der betroffenen IT-Systeme so, dass ein Auditor Ihre Entscheidung nachvollziehen kann.  
  3. Prüfen Sie, ob Sie bereits eine geeignete Lösung zur Angriffserkennung im Einsatz haben. 
  4. Falls nicht, sollten Sie einen Managementbericht erstellen und dies als Risiko an die Geschäftsführung oder die zuständige Management-Ebene melden. 
  5. Sofern Sie Management-Unterstützung haben und die Entscheider das Risiko nicht bewusst akzeptieren, sollten Sie sich eine geeignete Lösung für die betreffenden IT-Systeme suchen, testen und einführen.  

Wie finde ich ein Angriffserkennungssystem für SAP?

Eine einfache Internetrecherche zeigt: Es gibt einige unabhängige Lösungsanbieter, aber auch SAP-Partnerlösungen und selbst eine Lösung von SAP selbst. Bei der Auswahl einer passenden Lösung sollten Sie auf folgende Aspekte achten: 

  • Kann die betrachtete Lösung die Anforderungen abdecken (MUSS + SOLL)? 
  • Wie hoch ist der Einführungsaufwand?  
  • Kosten für Lizenz und ggf. zusätzliche Hardware 
  • Schulungsbedarf und Komplexität 
  • Betriebsaufwände (z.B. Aktualisierung) 

Sind Sie betroffen vom IT-SiG 2.0?

Zur kritischen Infrastruktur (KRITIS) gehören Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unternehmen, die dazu gehören, sind bereits informiert worden bzw. können sich beim BSI registrieren lassen. Hierzu wurden neue Kriterien und Schwellwerte definiert, welche in der KRITISVerordnung für jeden Industriezweig beschrieben sind: https://www.gesetze-im-internet.de/bsi-kritisv/  

Sektoren Kritischer Infrastrukturen 

  1. Energie 
  2. Informationstechnik und Telekommunikation 
  3. Transport und Verkehr 
  4. Gesundheit 
  5. Medien und Kultur 
  6. Wasser 
  7. Ernährung 
  8. Finanz- und Versicherungswesen 
  9. Siedlungsabfallentsorgung 
  10. Staat und Verwaltung 

Posted by

Christoph Nagy

Find recent Security Advisories for SAP©

Looking into securing your SAP landscape? This white-paper tells you the “Top Mistakes to Avoid in SAP Security“. Download it now.

SAP system main
SAP Cybersecurity- SAP Vulnerability
This article highlights the importance of securing the 3 layers of an SAP system to prevent unauthorized access to critical business data.
NIST 2.0
Let’s be brutally honest: No one really cares about Vulnerability Management... Until they are impacted by a vulnerability exploit! We are always personally affected when an exploit negatively influences our finances, our privacy, our jobs, our careers, or even the size of our future paychecks.
SAP Security Patch Tuesday 2024
SAP Security Patch Day
For March 2024, 10 new Security Notes have been released and 2 have been updated. Let's look at some highlights, starting with the 'HotNews' notes.