KRITIS-Absicherung braucht mehr als Compliance-VorgabenIntrusion Detection-Systeme für SAP-Umgebungen nötig
2. Mai 2023Mit Startschuss zum 1. Mai 2023 sollen laut dem IT-Sicherheitsgesetz 2.0 Systeme zur Angriffserkennung wie ein SIEM (Security Information and Event Management ) und SOAR / ISMS (Security Orchestration Automation and Responses / Information Security Management System) bei allen Betreibern von kritischer Infrastruktur (KRITIS) implementiert sein.
Die Forderung entstand vor dem Hintergrund, dass die immer häufigeren und komplexeren Cyber-Angriffe und der fortschreitenden Digitalisierung des Alltags die Cyber- und Informationssicherheit zu erhöhen. Dies bedeutet, dass sie nun auch Intrusion Detection-Systeme für ihre IT-Umgebungen, darunter auch SAP-Systeme verfügen müssen.
Betroffen sind alle Bereiche der KRITIS. Das IT-Sicherheitsgesetz 2.0 hat die Anzahl der Betreiber kritischer Infrastrukturen in den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanzen sowie Versicherungen nun auch um die Abfallwirtschaft erweitert. Das IT-Sicherheitsgesetz 2.0 erlegt den Betreibern kritischer Infrastrukturen mehrere Pflichten auf. Unter anderem müssen die Betreiber Mindestsicherheitsstandards für kritische Infrastrukturen vorhalten (z.B. den Einsatz von Intrusion Detection Systemen nach § 8a IT-Sicherheitsgesetz 2.0).
Sie sollen die Sicherheitsanforderungen für kritische Komponenten einhalten und Informations- und Meldepflichten gegenüber dem BSI erfüllen. Dies umfasst z.B. eine Auflistung aller IT-Produkte, die für die Funktionsfähigkeit kritischer Infrastrukturen wichtig sind und die Meldung bei Fehlfunktionen. Über die reine Einhaltung von Compliance-Anforderungen hinaus ist es wichtig, dass neben der Implementierung eines SIEMs auch das Anschließen der für das umfangreiche Monitoring nötigen Quellen erfolgt.
Neben SAP- und ERP-Systemen werden vor allem OT-Umgebungen vernachlässigt. Um die Robustheit dieser Systeme zu gewährleisten, ist SCADA (Supervisory Control and Data Acquisition) — eine Kontrollsystemarchitektur – so konzipiert, dass die Infrastruktur vor Angriffen geschützt ist. Diese Netze sind jedoch anfällig für die Unterbrechung von Diensten, die Umleitung und Manipulation von Betriebsdaten.
Mit einer einheitlichen Sicherheits- und Beobachtungslösung bieten SIEM und SOAR/ISMS-Systeme eine ganzheitliche Echtzeitüberwachung der gesamten IT-Infrastruktur. Sie alarmieren, wenn ein verdächtiges Muster auftritt, und behalten den Überblick über alle Vorfälle in einer Ansicht mit intuitiven Dashboards. SIEM & SOAR-Plattformansätze wie Logpoint sind für die Untersuchung von Bedrohungen, für proaktive Cybersecurity-Reaktionen und als Plattform für die Einhaltung von Branchenstandards konzipiert worden.
Unternehmen sollten sich nicht nur auf die defacto Erfüllung der Anforderungen via eines ISMS ausruhen. Compliance and technische sowie organisatorische Maßnahmen gehen Hand in Hand. Eine Angriffserkennung auf dem Papier hilft im Ernstfall nicht vor einer Kompromittierung. Besonders SAP- und ERP- sowie OT-Systeme werden zumeist aus verschiedenen Gründen außer Acht gelassen und sollten deshalb mitberücksichtigt werden.
Sven Bagemihl ist Regional Director bei Logpoint.