Skip to content

IT-SiG 2.0 – Angriffserkennung für SAP ab 1. Mai 2023 ein muss 

Angriffserkennung für SAP

Viele unserer Leserinnen und Leser erinnern sich noch an den 25. Mai 2018, Stichtag der bindenden Einführung der Datenschutzgrundverordnung, kurz DSGVO. Verstöße gegen die neue Regelung können seitdem zu drakonischen Strafen führen. Nun steht, zumindest für diejenigen Unternehmen, die zur kritischen Infrastruktur (KRITIS) von Deutschland zählen, ein ähnlicher Termin ins Haus. Am 1. Mai 2023 müssen betroffene Unternehmen ein System zur Angriffserkennung eingeführt haben.  

Was ist das IT-SiG 2.0?

Die Abkürzung IT-SiG 2.0 steht für das IT-Sicherheitsgesetz in Version 2.0, welche am 24.04.2021 vom Bundeskabinett beschlossen wurde. In ihm enthalten sind Vorgaben für die Betreiber kritischer Infrastrukturen. Das Bundesamt für Sicherheit in der Informationssicherheit, kurz BSI, spielt eine wichtige Rolle bei der Definition der Inhalte. Gemäß § 8a müssen zum 1. Mai 2023 IT-Systeme, die im Zusammenhang mit der Bereitstellung kritischer Dienstleistungen stehen, ein Angriffserkennungssystem enthalten, das dem Stand der Technik entspricht.  

Der entsprechende Absatz findet sich in Absatz (1a) und lautet:  

(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Absatz 1 Satz 2 und 3 gilt entsprechend. 

Was bedeutet IT-SiG 2.0 § 8a, Abs. 1a genau?

Unsere Interpretation des relativen kurzen, jedoch inhaltsschweren Gesetzestextes werden wir im Folgenden erläutern. Zuvor jedoch (Disclaimer): Dies ist keine Rechtsberatung! 

Hier eine detaillierte Betrachtung des Textbausteins:

  •  Textstelle: „ab dem 1. Mai 2023“: 
    Bedeutet, dass diese Vorgabe zu diesem Stichtag in Kraft tritt. Alle Unternehmen, welche die Anforderung bis zu diesem Tag nicht umgesetzt haben, begehen einen Verstoß, der unter Strafe gestellt ist.  

  • Textstelle: „Einsatz von Systemen zur Angriffserkennung“: 
    Es muss ein System (also eine Software/Hardware-basierte Lösung) eingeführt werden, das es erlaubt, Angriffe zu erkennen. Wir interpretieren hier ferner, dass Angriffe zeitnah zu erkennen sind, auch wenn dies nicht explizit gefordert wird. Dies wird aber aus der nächsten Passage deutlich.

  • Textstelle: „…müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“: 
    Als MUSS-Anforderung für das Angriffserkennungssystem gilt, dass 
    Merkmale und Parameter (Metadaten und Logs) kontinuierlich, d.h. zeitnah und automatisch erfasst und ausgewertet werden.  
    Nach unserer Auffassung reicht es nicht aus, wenn Logs erhoben und in einem zentralen Logmanagement gespeichert werden. Auch die manuelle Auswertung ist nicht ausreichend. Explizit gefordert wird vielmehr eine automatisierte Erfassung und Auswertung. Mit anderen Worten: Die Angriffserkennung muss die notwendigen Daten erfassen und prüfen.

  • Textstelle: „…sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen 
    Optional, jedoch empfehlenswert ist die Identifizierung von Bedrohungen, die aber doch das eigentliche Kernziel des Gesetzes ist! Nach unserem Verständnis hat der Gesetzgeber davon abgesehen, dies als Pflichtvorgabe zu definieren, da es technisch nicht immer möglich ist, alle Bedrohungen verlässlich zu identifizieren.  
    Zusätzlich empfiehlt sich die automatische Vermeidung und Beseitigung von eingetretenen Störungen ( = Vorkommnissen ). Dies wiederum bedeutet, dass die eingesetzte Lösung automatische Reaktion unterstützen und/oder einen Vorschlag zur Behebung unterbreiten sollte.  

Kurzübersicht

MUSS umgesetzt werden

Einsatz einer Lösung zur Angriffserkennung für IT-Systeme, die der Bereitstellung kritischer Dienste dienen.  

Kontinuierliche und automatische Erfassung von Metadaten (Logs, Parameter, Änderungsprotokolle) 

SOLL umgesetzt werden

Identifizierung von Bedrohungen 

Vermeiden von Störungen 

Ausführen oder Aufzeigen geeigneter Maßnahmen für die Beseitigung von Störungen 

Was sollten Sie jetzt tun?

Der bekannte Stichtag sollte unbedingt berücksichtigt werden. Auch wenn KRITIS-Unternehmen in der Regel nur im zweijährlichen Turnus geprüft werden, gilt es, die Vorgabe mit Wirkung zum 1. Mai 2023 umgesetzt zu haben. Daher empfehlen wir Ihnen, dies auch zu dokumentieren.  

Unternehmen, die sich bisher noch nicht mit dem Thema befasst haben, sollten unbedingt Maßnahmen ergreifen.  

  1. Prüfen Sie, welche IT-Systeme im Wirkungsbereich des IT-SiG 2.0 stehen. 
  2. Dokumentieren Sie die Liste der betroffenen IT-Systeme so, dass ein Auditor Ihre Entscheidung nachvollziehen kann.  
  3. Prüfen Sie, ob Sie bereits eine geeignete Lösung zur Angriffserkennung im Einsatz haben. 
  4. Falls nicht, sollten Sie einen Managementbericht erstellen und dies als Risiko an die Geschäftsführung oder die zuständige Management-Ebene melden. 
  5. Sofern Sie Management-Unterstützung haben und die Entscheider das Risiko nicht bewusst akzeptieren, sollten Sie sich eine geeignete Lösung für die betreffenden IT-Systeme suchen, testen und einführen.  

Wie finde ich ein Angriffserkennungssystem für SAP?

Eine einfache Internetrecherche zeigt: Es gibt einige unabhängige Lösungsanbieter, aber auch SAP-Partnerlösungen und selbst eine Lösung von SAP selbst. Bei der Auswahl einer passenden Lösung sollten Sie auf folgende Aspekte achten: 

  • Kann die betrachtete Lösung die Anforderungen abdecken (MUSS + SOLL)? 
  • Wie hoch ist der Einführungsaufwand?  
  • Kosten für Lizenz und ggf. zusätzliche Hardware 
  • Schulungsbedarf und Komplexität 
  • Betriebsaufwände (z.B. Aktualisierung) 

Sind Sie betroffen vom IT-SiG 2.0?

Zur kritischen Infrastruktur (KRITIS) gehören Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unternehmen, die dazu gehören, sind bereits informiert worden bzw. können sich beim BSI registrieren lassen. Hierzu wurden neue Kriterien und Schwellwerte definiert, welche in der KRITISVerordnung für jeden Industriezweig beschrieben sind: https://www.gesetze-im-internet.de/bsi-kritisv/  

Sektoren Kritischer Infrastrukturen 

  1. Energie 
  2. Informationstechnik und Telekommunikation 
  3. Transport und Verkehr 
  4. Gesundheit 
  5. Medien und Kultur 
  6. Wasser 
  7. Ernährung 
  8. Finanz- und Versicherungswesen 
  9. Siedlungsabfallentsorgung 
  10. Staat und Verwaltung 

Posted by

Christoph Nagy

Find recent Security Advisories for SAP©

Looking into securing your SAP landscape? This white-paper tells you the “Top Mistakes to Avoid in SAP Security“. Download it now.

SAP Security Services
SAP Cybersecurity
Ivan Mans

Game changer: Managed SAP Security Services

Many companies have recognized the need for SAP cybersecurity, but many have also realized that they cannot accomplish this alone. There are many reasons for this. It can be due to the internal teams’ workload or due to the employee’s level of knowledge.

However, there is a solution that neither burdens your internal staff nor demands additional knowledge. A specialized managed SAP Security Service allows you to harden mission-critical systems, detect and promptly counteract non-compliance, and implement monitoring with accurate anomaly detection.

Read More »
Patch Management
Press coverage
Patricia Franco

SecurityBridge Releases New One-Click SAP Patch Automation 

SAP security provider SecurityBridge—now
operating in the U.S.—today announced the full integration of its SAP Security Platform with
the Microsoft Sentinel cloud-native Security Information and Event Manager (SIEM) platform
and its membership to MISA. SecurityBridge was nominated to MISA because of the integration
of its SAP Controller to the Microsoft Sentinel dashboard. SecurityBridge is a Smart Data
Adapter that significantly simplifies security monitoring of critical and highly specific business
applications.

Read More »
SAP Security Services
SAP Cybersecurity- Security News
Many companies have recognized the need for SAP cybersecurity, but many have also realized that they cannot accomplish this alone. There are many reasons for this. It can be due to the internal teams' workload or due to the employee's level of knowledge. However, there is a solution that neither burdens your internal staff nor demands additional knowledge. A specialized managed SAP Security Service allows you to harden mission-critical systems, detect and promptly counteract non-compliance, and implement monitoring with accurate anomaly detection.
Patch Management
SAP security provider SecurityBridge—now operating in the U.S.—today announced the full integration of its SAP Security Platform with the Microsoft Sentinel cloud-native Security Information and Event Manager (SIEM) platform and its membership to MISA. SecurityBridge was nominated to MISA because of the integration of its SAP Controller to the Microsoft Sentinel dashboard. SecurityBridge is a Smart Data Adapter that significantly simplifies security monitoring of critical and highly specific business applications.
SAP Cybersecurity Risks
SAP Cybersecurity- SAP Security Framework- Security News
Recently, we gave an insight into the known SAP attackers in our blog. Of course, it can already be deduced from this that there are internal and external SAP attackers. That is why today, we want to look at this from an SAP cybersecurity risk perspective.