Taking the Taboo out of S_TABU Authorization Objects
SAP Authorization Objects for SAP NetWeaver AS ABAP technologies are not just blockers. They are the ENABLER of access.
Viele unserer Leserinnen und Leser erinnern sich noch an den 25. Mai 2018, Stichtag der bindenden Einführung der Datenschutzgrundverordnung, kurz DSGVO. Verstöße gegen die neue Regelung können seitdem zu drakonischen Strafen führen. Nun steht, zumindest für diejenigen Unternehmen, die zur kritischen Infrastruktur (KRITIS) von Deutschland zählen, ein ähnlicher Termin ins Haus. Am 1. Mai 2023 müssen betroffene Unternehmen ein System zur Angriffserkennung eingeführt haben.
Die Abkürzung IT-SiG 2.0 steht für das IT-Sicherheitsgesetz in Version 2.0, welche am 24.04.2021 vom Bundeskabinett beschlossen wurde. In ihm enthalten sind Vorgaben für die Betreiber kritischer Infrastrukturen. Das Bundesamt für Sicherheit in der Informationssicherheit, kurz BSI, spielt eine wichtige Rolle bei der Definition der Inhalte. Gemäß § 8a müssen zum 1. Mai 2023 IT-Systeme, die im Zusammenhang mit der Bereitstellung kritischer Dienstleistungen stehen, ein Angriffserkennungssystem enthalten, das dem Stand der Technik entspricht.
Der entsprechende Absatz findet sich in Absatz (1a) und lautet:
„(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Absatz 1 Satz 2 und 3 gilt entsprechend.“
Unsere Interpretation des relativen kurzen, jedoch inhaltsschweren Gesetzestextes werden wir im Folgenden erläutern. Zuvor jedoch (Disclaimer): Dies ist keine Rechtsberatung!
Hier eine detaillierte Betrachtung des Textbausteins:
Einsatz einer Lösung zur Angriffserkennung für IT-Systeme, die der Bereitstellung kritischer Dienste dienen.
Kontinuierliche und automatische Erfassung von Metadaten (Logs, Parameter, Änderungsprotokolle)
Identifizierung von Bedrohungen
Vermeiden von Störungen
Ausführen oder Aufzeigen geeigneter Maßnahmen für die Beseitigung von Störungen
Der bekannte Stichtag sollte unbedingt berücksichtigt werden. Auch wenn KRITIS-Unternehmen in der Regel nur im zweijährlichen Turnus geprüft werden, gilt es, die Vorgabe mit Wirkung zum 1. Mai 2023 umgesetzt zu haben. Daher empfehlen wir Ihnen, dies auch zu dokumentieren.
Unternehmen, die sich bisher noch nicht mit dem Thema befasst haben, sollten unbedingt Maßnahmen ergreifen.
Eine einfache Internetrecherche zeigt: Es gibt einige unabhängige Lösungsanbieter, aber auch SAP-Partnerlösungen und selbst eine Lösung von SAP selbst. Bei der Auswahl einer passenden Lösung sollten Sie auf folgende Aspekte achten:
Zur kritischen Infrastruktur (KRITIS) gehören Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unternehmen, die dazu gehören, sind bereits informiert worden bzw. können sich beim BSI registrieren lassen. Hierzu wurden neue Kriterien und Schwellwerte definiert, welche in der KRITIS–Verordnung für jeden Industriezweig beschrieben sind: https://www.gesetze-im-internet.de/bsi-kritisv/
Sektoren Kritischer Infrastrukturen
Posted by
Find recent Security Advisories for SAP©
Looking into securing your SAP landscape? This white-paper tells you the “Top Mistakes to Avoid in SAP Security“. Download it now.
SAP Authorization Objects for SAP NetWeaver AS ABAP technologies are not just blockers. They are the ENABLER of access.
SAP Security teams can kick-start a comprehensive security platform and gain significant improvements already within a day. What they need is a holistic platform and a guided approach to SAP Security.