Information und Bildungsarbeit von und für die SAP®-Community

Sicherheit neu begreifen

Eine Erkenntnis dieser Tage ist, dass Sicherheit ein verletzliches Gut ist. Kritische Infrastrukturen wie Atomkraftwerke und Krankenhäuser werden zum Ziel kriegerischer Aggression und zeitgleich nehmen Cyberattacken in ungekanntem Ausmaß zu.

Laut einem Spiegel-Bericht vom 7. März dieses Jahres warnt ein Sonderlagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Bundesregierung, Deutschland könne im Zusammenhang mit der russischen Invasion in die Ukraine schon in Kürze eine Attacke gegen „Hochwertziele“ bevorstehen: Seit Beginn der Krise sehe man „Cyberangriffe etwa gegen Energieversorger oder militärische Einrichtungen in Sicherheitskreisen als die aktuell größte Bedrohung für Deutschland.“

Das Bundesamt für Verfassungsschutz warnt, russische Geheimdienste verfügten über Fähigkeiten, kritische Infrastruktur „erheblich und nachhaltig zu sabotieren“. Dabei ist diese Entwicklung nicht neu: Der AXA Future Risks Report 2021 bezeichnet die Risiken durch Cyberattacken bereits als zweitwichtigste globale Bedrohung nach dem Klimawandel und noch vor Pandemien.

Kritis-Architekturen

Niemand will sich die Folgen eines erfolgreichen Hacks für ein Atomkraftwerk oder Wasserwerk vorstellen. Oder auch nur, wenn es Angreifern gelänge, flächendeckend den Strom abzuschalten. Die kritischen Infrastrukturen betreffen viele Bereiche des täglichen Lebens. Neben Staat und Verwaltung, Energie und Wasser zählen dazu auch Gesundheit, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur. Ihrer Bedrohungslage begegnet das neue IT-Sicherheitsgesetz SiG 2.0, das zu Jahresbeginn in Kraft trat.

Das Sicherheitsgesetz fordert prozessuale, direktive und reaktive Maßnahmen, unter anderem Sicherheitsüberwachung in den Systemen, Monitoring-Maßnahmen, um im Vorfeld die Härtung der Systeme nach Marktstandard durchzuführen. Und es gibt konkrete Auflagen, wie man Kritis-Architekturen baut. Es ist verpflichtend, die Infrastruktur und Prozesse so zu definieren, dass sie später hinsichtlich des SiG 2.0 prüffähig sind und abgenommen werden können. Diese Qualität der Architektur und der Prozesse muss alle zwei Jahre nachgewiesen werden und setzt ein Umdenken voraus: Man kann nicht einfach weiterverfolgen, was man immer gemacht hat, sondern muss konkrete Vorgaben erfüllen.

Komplex, aber nicht kompliziert: Security Information and Event Management (SIEM)

Ein wichtiger Punkt des Sicherheitsgesetzes ist: Verantwortung wurde neu definiert und Überwachungs- und Kontrollmechanismen müssen integriert und nun in Echtzeit auswertbar sein. Das entspricht unserer Erfahrung der letzten Jahre: Die meisten wurden rein funktional betrieben und hatten keine Sensorik, mit der wir etwa bei beauftragten Penetration Tests in irgendeiner Form entdeckt worden wären. Und wenn uns dies beim vereinbarten Penetration Test gelingt, wird das auch ein realer Angreifer schaffen.

Das heißt, Unternehmen konnten ihre Defizite bislang meist erst feststellen, wenn es bereits zum ernsten Sicherheitsvorfall gekommen war – und unklar blieb, wie lange diese Schwachstelle schon ausgenutzt wurde. Neben der allgemeinen Meldestelle für die IT-Sicherheit auf nationaler Ebene soll das BSI daher folgerichtig nun auch Sicherheitsrisiken detektieren dürfen. Der sogenannte Hackerparagraf erlaubt dem BSI das „Angreifen“ von Unternehmen und Infrastrukturen, um anschließend die Umsetzung technischer und organisatorischer Maßnahmen zu fordern. Die Absicht ist klar: Schadprogramme, Sicherheitslücken und -risiken sollen proaktiv gefunden und eliminiert werden.

Beispiel SAP

Gerade am Beispiel SAP-Systemlandschaften lässt sich verdeutlichen, dass die Vorgaben des SiG 2.0 auch für Non-Kritis- Unternehmen in die richtige Richtung gehen, aber naturgemäß nicht alle Schwachstellen abdecken können. Für S/4 etwa haben sich die Anforderungen nochmals verändert, Datenbank, User Interface, Gateway, Applikationen und Berechtigungen sind enger zusammengewachsen, der Zugriff auf wichtige Daten ist komplexer geworden – und somit auch schwieriger zu überwachen. SiG 2.0 fordert ein detailliertes Business Continuity Planning und Disaster-Recovery-Szenarien mit dem Einsatz von Intrusion-Detection-Systemen (IDS) nach dem „neuesten Stand der Technik“ (§8a).

IDS erkennen und konkretisieren Angriffe mithilfe von Log-Dateien, die nun nicht nur aufgezeichnet, sondern auch ausgewertet werden müssen. Damit sind SIEM-Systeme für das schnelle Identifizieren von Cyberattacken künftig unverzichtbar, wenn auch für SAP oft nicht ausreichend. Denn sie betrachten vor allem Infrastrukturen und hier fällt SAP als weitgehend eigenständiges System durch das Erkennungsraster, wenn nicht die Expertise von SAP-Sicherheitsprofis und spezielle Software zum Einsatz kommen.

Durch ihre Integration mit dem SIEM-Tool können alle sicherheitsrelevanten Vorfälle von SAP-Landschaften mit anderen relevanten IT-Systemen konsolidiert werden und das integrierte Dashboard schafft zusätzlich Transparenz über alle Systeme. Kritis-Unternehmen und alle mit realistischem Sicherheitsbedürfnis erhalten so auf Knopfdruck eine bewertete Dashboard-basierte Darstellung und Dokumentation ihres gesamten Sicherheitsstatus. Essenziell für die sofortige Umsetzung von SiG 2.0 ist also beim Beispiel SAP die Einbindung eines professionellen Security-Partners.

So hat der SAP-Bestandskunde rku-it als IT-Service-Provider für Energieversorger nicht nur die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam erfüllt, sondern gleichzeitig die Revisionssicherheit der SAP-Systemlandschaft erhöht. Durch den Einsatz der Sast Suite konnten Ableitungen der Template-Rollen je nach Organisation der Kunden realisiert werden. Im Betrieb dient sie zur Validierung der Rollen und Berechtigungen auf Sicherheit und SoD, zur Nutzungsanalyse, weiteren Optimierung von Rollen und Berechtigungen und zum Einsatz der Notfall-User-Funktionalität für Support-Aufgaben der rku-it-Mitarbeiter.

Problemfelder und Chancen

Ein gravierendes Problem für eine ganzheitliche an SiG 2.0 orientierte Sicherheitsstrategie ist nach wie vor die mangelnde Fokussierung. Man muss sich dem seitens der Geschäftsführung mit der nun gebotenen Eile und Priorisierung widmen, folglich auch Ressourcen fokussieren und bereitstellen. Das erfordert Aufmerksamkeit, Personal und natürlich Geld. Doch noch immer ist in vielen Firmen zu beobachten, dass die Bildung von Stellen, Abteilungen, Stabsstellen selbst bei einer Organisation, die sich mit Verfügbarkeit und Sicherheit beschäftigt, oft noch so stiefmütterlich ist, als ob dies fakultativ sei. Diese Aufstellung und Verfügbarkeit ist jedoch aufgrund der aktuellen Entwicklungen nicht nur für Kritis-Betreiber schlicht als Vorgabe zu betrachten und kostet erst einmal Top-down- Investment.

SiG 2.0 und Conversion

Um auf das Beispiel SAP zurückzukommen: Gerade eine anstehende S/4-Migration kann unter der Perspektive des SiG 2.0 auch als Chance genutzt werden, um die eigene IT-Sicherheit auf ein neues Level zu heben. Sie gibt etwa Gelegenheit, die alten Schnittstellen zu bereinigen und vor allem zu standardisieren. Hier wären Kritis-Betreiber wie Versorger ein klassischer Fall. Dort gibt es sehr lange Prozessketten, Messstellen, Messstellenbetreiber, Abrechnungen, die Trennung von Vertrieb und Netz. Sehr komplexe Systeme, wo man auch hinschaut, das Business ist ja hochgradig standardisiert durch regulatorische Vorgaben, Software, Abläufe – und das sind Dinge, die man sehr gut skalieren, wo man bei Energie, Gas und Wasser gute Templates bilden, die Schnittstellen harmonisieren und dann die Templates bei den Berechtigungen, Benutzern und Prozessen einführen kann. Es ist ein enormer Sicherheitsgewinn, wenn man Dinge standardisiert, damit sie gleich funktionieren und Prozesse gleich laufen.


Security Competence

Ralf Kempf arbeitet mit seinem Team für etwa 200 Kunden im Umfeld SAP Cyber Security und Access Governance, darunter viele Kritis-Betreiber: Wir kennen die Herausforderungen, vor denen Kritis-Betreiber nun stehen, und unterstützen sie dabei, die Anforderungen des SiG 2.0 wirksam zu erfüllen und gleichzeitig die Absicherung ihrer SAP-Systemlandschaft zu erhöhen. Die Zeiten, in denen Unternehmen es sich leisten konnten, ihre IT-Sicherheit stiefmütterlich zu behandeln, sind also endgültig vorbei – und das gilt nicht nur für Kritis-Betreiber. Entscheidend ist daher eine ganzheitliche Security-Betrachtung und -Strategie, die alle Themen vereint und den aktuellen Bedrohungsszenarien gerecht wird.

https://e-3.de/partners/sast-solutions-ag/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

magnifiercrosschevron-down