Skip to content
Linkedin Twitter Xing
< Back to Overview

IT-SiG 2.0 – Angriffserkennung für SAP ab 1. Mai 2023 ein muss 

Angriffserkennung für SAP

Viele unserer Leserinnen und Leser erinnern sich noch an den 25. Mai 2018, Stichtag der bindenden Einführung der Datenschutzgrundverordnung, kurz DSGVO. Verstöße gegen die neue Regelung können seitdem zu drakonischen Strafen führen. Nun steht, zumindest für diejenigen Unternehmen, die zur kritischen Infrastruktur (KRITIS) von Deutschland zählen, ein ähnlicher Termin ins Haus. Am 1. Mai 2023 müssen betroffene Unternehmen ein System zur Angriffserkennung eingeführt haben.  

Was ist das IT-SiG 2.0?

Die Abkürzung IT-SiG 2.0 steht für das IT-Sicherheitsgesetz in Version 2.0, welche am 24.04.2021 vom Bundeskabinett beschlossen wurde. In ihm enthalten sind Vorgaben für die Betreiber kritischer Infrastrukturen. Das Bundesamt für Sicherheit in der Informationssicherheit, kurz BSI, spielt eine wichtige Rolle bei der Definition der Inhalte. Gemäß § 8a müssen zum 1. Mai 2023 IT-Systeme, die im Zusammenhang mit der Bereitstellung kritischer Dienstleistungen stehen, ein Angriffserkennungssystem enthalten, das dem Stand der Technik entspricht.  

Der entsprechende Absatz findet sich in Absatz (1a) und lautet:  

(1a) Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Absatz 1 Satz 2 und 3 gilt entsprechend. 

Was bedeutet IT-SiG 2.0 § 8a, Abs. 1a genau?

Unsere Interpretation des relativen kurzen, jedoch inhaltsschweren Gesetzestextes werden wir im Folgenden erläutern. Zuvor jedoch (Disclaimer): Dies ist keine Rechtsberatung! 

Hier eine detaillierte Betrachtung des Textbausteins:

  •  Textstelle: „ab dem 1. Mai 2023“: 
    Bedeutet, dass diese Vorgabe zu diesem Stichtag in Kraft tritt. Alle Unternehmen, welche die Anforderung bis zu diesem Tag nicht umgesetzt haben, begehen einen Verstoß, der unter Strafe gestellt ist.  

  • Textstelle: „Einsatz von Systemen zur Angriffserkennung“: 
    Es muss ein System (also eine Software/Hardware-basierte Lösung) eingeführt werden, das es erlaubt, Angriffe zu erkennen. Wir interpretieren hier ferner, dass Angriffe zeitnah zu erkennen sind, auch wenn dies nicht explizit gefordert wird. Dies wird aber aus der nächsten Passage deutlich.

  • Textstelle: „…müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“: 
    Als MUSS-Anforderung für das Angriffserkennungssystem gilt, dass 
    Merkmale und Parameter (Metadaten und Logs) kontinuierlich, d.h. zeitnah und automatisch erfasst und ausgewertet werden.  
    Nach unserer Auffassung reicht es nicht aus, wenn Logs erhoben und in einem zentralen Logmanagement gespeichert werden. Auch die manuelle Auswertung ist nicht ausreichend. Explizit gefordert wird vielmehr eine automatisierte Erfassung und Auswertung. Mit anderen Worten: Die Angriffserkennung muss die notwendigen Daten erfassen und prüfen.

  • Textstelle: „…sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen 
    Optional, jedoch empfehlenswert ist die Identifizierung von Bedrohungen, die aber doch das eigentliche Kernziel des Gesetzes ist! Nach unserem Verständnis hat der Gesetzgeber davon abgesehen, dies als Pflichtvorgabe zu definieren, da es technisch nicht immer möglich ist, alle Bedrohungen verlässlich zu identifizieren.  
    Zusätzlich empfiehlt sich die automatische Vermeidung und Beseitigung von eingetretenen Störungen ( = Vorkommnissen ). Dies wiederum bedeutet, dass die eingesetzte Lösung automatische Reaktion unterstützen und/oder einen Vorschlag zur Behebung unterbreiten sollte.  

Kurzübersicht

MUSS umgesetzt werden

Einsatz einer Lösung zur Angriffserkennung für IT-Systeme, die der Bereitstellung kritischer Dienste dienen.  

Kontinuierliche und automatische Erfassung von Metadaten (Logs, Parameter, Änderungsprotokolle) 

SOLL umgesetzt werden

Identifizierung von Bedrohungen 

Vermeiden von Störungen 

Ausführen oder Aufzeigen geeigneter Maßnahmen für die Beseitigung von Störungen 

Was sollten Sie jetzt tun?

Der bekannte Stichtag sollte unbedingt berücksichtigt werden. Auch wenn KRITIS-Unternehmen in der Regel nur im zweijährlichen Turnus geprüft werden, gilt es, die Vorgabe mit Wirkung zum 1. Mai 2023 umgesetzt zu haben. Daher empfehlen wir Ihnen, dies auch zu dokumentieren.  

Unternehmen, die sich bisher noch nicht mit dem Thema befasst haben, sollten unbedingt Maßnahmen ergreifen.  

  1. Prüfen Sie, welche IT-Systeme im Wirkungsbereich des IT-SiG 2.0 stehen. 
  2. Dokumentieren Sie die Liste der betroffenen IT-Systeme so, dass ein Auditor Ihre Entscheidung nachvollziehen kann.  
  3. Prüfen Sie, ob Sie bereits eine geeignete Lösung zur Angriffserkennung im Einsatz haben. 
  4. Falls nicht, sollten Sie einen Managementbericht erstellen und dies als Risiko an die Geschäftsführung oder die zuständige Management-Ebene melden. 
  5. Sofern Sie Management-Unterstützung haben und die Entscheider das Risiko nicht bewusst akzeptieren, sollten Sie sich eine geeignete Lösung für die betreffenden IT-Systeme suchen, testen und einführen.  

Wie finde ich ein Angriffserkennungssystem für SAP?

Eine einfache Internetrecherche zeigt: Es gibt einige unabhängige Lösungsanbieter, aber auch SAP-Partnerlösungen und selbst eine Lösung von SAP selbst. Bei der Auswahl einer passenden Lösung sollten Sie auf folgende Aspekte achten: 

  • Kann die betrachtete Lösung die Anforderungen abdecken (MUSS + SOLL)? 
  • Wie hoch ist der Einführungsaufwand?  
  • Kosten für Lizenz und ggf. zusätzliche Hardware 
  • Schulungsbedarf und Komplexität 
  • Betriebsaufwände (z.B. Aktualisierung) 

Sind Sie betroffen vom IT-SiG 2.0?

Zur kritischen Infrastruktur (KRITIS) gehören Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unternehmen, die dazu gehören, sind bereits informiert worden bzw. können sich beim BSI registrieren lassen. Hierzu wurden neue Kriterien und Schwellwerte definiert, welche in der KRITISVerordnung für jeden Industriezweig beschrieben sind: https://www.gesetze-im-internet.de/bsi-kritisv/  

Sektoren Kritischer Infrastrukturen 

  1. Energie 
  2. Informationstechnik und Telekommunikation 
  3. Transport und Verkehr 
  4. Gesundheit 
  5. Medien und Kultur 
  6. Wasser 
  7. Ernährung 
  8. Finanz- und Versicherungswesen 
  9. Siedlungsabfallentsorgung 
  10. Staat und Verwaltung 

Posted by

Christoph Nagy

Find recent Security Advisories for SAP©

View Advisory for Oct'22
Whitepaper - Top SAP security mistake to avoid

Looking into securing your SAP landscape? This white-paper tells you the “Top Mistakes to Avoid in SAP Security“. Download it now.

SAP Cyber risk
SAP Cybersecurity
Christoph Nagy

What is the SAP cyber risk appetite?

Businesses must be more cautious to protect themselves from cyber threats as digitalization and the use of SAP systems increase. SAP S/4HANA is critical for many enterprises as it provides the foundation for business operations. As digitalization and Industry 4.0 continue to increase, SAP S/4HANA lays the foundation for many modern business scenarios.

SAP systems are important for many industries and their security is a major concern, making them vulnerable to cyber attackers. This article will discuss cyber risks and how you can assess your individual and organizational SAP systems’ risks. What are cyber risks?

Read More »
January 25, 2023 No Comments
SAP Cyber risk

What is the SAP cyber risk appetite?

SAP Cybersecurity- Security News
Businesses must be more cautious to protect themselves from cyber threats as digitalization and the use of SAP systems increase. SAP S/4HANA is critical for many enterprises as it provides the foundation for business operations. As digitalization and Industry 4.0 continue to increase, SAP S/4HANA lays the foundation for many modern business scenarios. SAP systems are important for many industries and their security is a major concern, making them vulnerable to cyber attackers. This article will discuss cyber risks and how you can assess your individual and organizational SAP systems' risks. What are cyber risks?
Common SAP Patches

The three most common types of SAP Patches

SAP Cybersecurity- SAP Patch Management- SAP Security Patch Day- Security News
Installing SAP patches is crucial for maintaining a robust and secure enterprise resource planning (ERP) system. SAP, one of the leading ERP systems in the world, is constantly evolving to meet the changing needs of businesses. As a result, SAP releases various patches to address issues and enhance the functionality of its software. However, installing SAP patches can present challenges for IT teams, such as ensuring minimal disruption to business operations, managing risks, and testing the non-implemented patches. This article will discuss the three most common types of SAP patches- kernel patches, snote patches, and support packs - and the best practices for installing them.
SAP interfaces

5 Tips to ensure SAP Interfaces are secure

SAP Cybersecurity- SAP Interface- Security News
In this blog article, we will explore the importance of SAP interface security and discuss the various measures businesses can take to protect their systems and data. We will also examine some common threats to SAP interfaces and how to mitigate them. To safeguard your business, you need to understand the importance of SAP interface security and take steps to make your interfaces secure. 
SAP security Patch day

SAP Security Patch Day – January 2023

SAP Security Patch Day
10th January 2023 SAP response team sends some Happy New Year greeting to the SAP Security Teams, by releasing 10 SAP Security Notes.