{"id":113158,"date":"2022-05-04T10:00:00","date_gmt":"2022-05-04T08:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=113158"},"modified":"2024-01-19T11:40:25","modified_gmt":"2024-01-19T10:40:25","slug":"sicherheit-neu-begreifen","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sicherheit-neu-begreifen\/","title":{"rendered":"Sicherheit neu begreifen"},"content":{"rendered":"\n

Laut einem Spiegel-Bericht vom 7. M\u00e4rz dieses Jahres warnt ein Sonderlagebericht des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) die Bundesregierung, Deutschland k\u00f6nne im Zusammenhang mit der russischen Invasion in die Ukraine schon in K\u00fcrze eine Attacke gegen \u201eHochwertziele\u201c bevorstehen: Seit Beginn der Krise sehe man \u201eCyberangriffe etwa gegen Energieversorger oder milit\u00e4rische Einrichtungen in Sicherheitskreisen als die aktuell gr\u00f6\u00dfte Bedrohung f\u00fcr Deutschland.\u201c<\/em><\/p>\n\n\n\n

Das Bundesamt f\u00fcr Verfassungsschutz warnt, russische Geheimdienste verf\u00fcgten \u00fcber F\u00e4higkeiten, kritische Infrastruktur \u201eerheblich und nachhaltig zu sabotieren\u201c. Dabei ist diese Entwicklung nicht neu: Der AXA Future Risks Report 2021 bezeichnet die Risiken durch Cyberattacken bereits als zweitwichtigste globale Bedrohung nach dem Klimawandel und noch vor Pandemien.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n\n\n\n

Kritis-Architekturen<\/h3>\n\n\n\n

Niemand will sich die Folgen eines erfolgreichen Hacks f\u00fcr ein Atomkraftwerk oder Wasserwerk vorstellen. Oder auch nur, wenn es Angreifern gel\u00e4nge, fl\u00e4chendeckend den Strom abzuschalten. Die kritischen Infrastrukturen betreffen viele Bereiche des t\u00e4glichen Lebens. Neben Staat und Verwaltung, Energie und Wasser z\u00e4hlen dazu auch Gesundheit, Ern\u00e4hrung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur. Ihrer Bedrohungslage begegnet das neue IT-Sicherheitsgesetz SiG 2.0, das zu Jahresbeginn in Kraft trat. <\/p>\n\n\n\n

Das Sicherheitsgesetz fordert prozessuale, direktive und reaktive Ma\u00dfnahmen, unter anderem Sicherheits\u00fcberwachung in den Systemen, Monitoring-Ma\u00dfnahmen, um im Vorfeld die H\u00e4rtung der Systeme nach Marktstandard durchzuf\u00fchren. Und es gibt konkrete Auflagen, wie man Kritis-Architekturen baut. Es ist verpflichtend, die Infrastruktur und Prozesse so zu definieren, dass sie sp\u00e4ter hinsichtlich des SiG 2.0 pr\u00fcff\u00e4hig sind und abgenommen werden k\u00f6nnen. Diese Qualit\u00e4t der Architektur und der Prozesse muss alle zwei Jahre nachgewiesen werden und setzt ein Umdenken voraus: Man kann nicht einfach weiterverfolgen, was man immer gemacht hat, sondern muss konkrete Vorgaben erf\u00fcllen.<\/p>\n\n\n\n

\"\"
Komplex, aber nicht kompliziert: Security Information and Event Management (SIEM)<\/figcaption><\/figure>\n\n\n\n

Ein wichtiger Punkt des Sicherheitsgesetzes ist: Verantwortung wurde neu definiert und \u00dcberwachungs- und Kontrollmechanismen m\u00fcssen integriert und nun in Echtzeit auswertbar sein. Das entspricht unserer Erfahrung der letzten Jahre: Die meisten wurden rein funktional betrieben und hatten keine Sensorik, mit der wir etwa bei beauftragten Penetration Tests in irgendeiner Form entdeckt worden w\u00e4ren. Und wenn uns dies beim vereinbarten Penetration Test gelingt, wird das auch ein realer Angreifer schaffen. <\/p>\n\n\n\n

Das hei\u00dft, Unternehmen konnten ihre Defizite bislang meist erst feststellen, wenn es bereits zum ernsten Sicherheitsvorfall gekommen war \u2013 und unklar blieb, wie lange diese Schwachstelle schon ausgenutzt wurde. Neben der allgemeinen Meldestelle f\u00fcr die IT-Sicherheit auf nationaler Ebene soll das BSI daher folgerichtig nun auch Sicherheitsrisiken detektieren d\u00fcrfen. Der sogenannte Hackerparagraf erlaubt dem BSI das \u201eAngreifen\u201c von Unternehmen und Infrastrukturen, um anschlie\u00dfend die Umsetzung technischer und organisatorischer Ma\u00dfnahmen zu fordern. Die Absicht ist klar: Schadprogramme, Sicherheitsl\u00fccken und -risiken sollen proaktiv gefunden und eliminiert werden.<\/p>\n\n\n\n

Beispiel SAP<\/h3>\n\n\n\n

Gerade am Beispiel SAP-Systemlandschaften l\u00e4sst sich verdeutlichen, dass die Vorgaben des SiG 2.0 auch f\u00fcr Non-Kritis- Unternehmen in die richtige Richtung gehen, aber naturgem\u00e4\u00df nicht alle Schwachstellen abdecken k\u00f6nnen. F\u00fcr S\/4 etwa haben sich die Anforderungen nochmals ver\u00e4ndert, Datenbank, User Interface, Gateway, Applikationen und Berechtigungen sind enger zusammengewachsen, der Zugriff auf wichtige Daten ist komplexer geworden \u2013 und somit auch schwieriger zu \u00fcberwachen. SiG 2.0 fordert ein detailliertes Business Continuity Planning und Disaster-Recovery-Szenarien mit dem Einsatz von Intrusion-Detection-Systemen (IDS) nach dem \u201eneuesten Stand der Technik\u201c (\u00a78a). <\/p>\n\n\n\n

IDS erkennen und konkretisieren Angriffe mithilfe von Log-Dateien, die nun nicht nur aufgezeichnet, sondern auch ausgewertet werden m\u00fcssen. Damit sind SIEM-Systeme f\u00fcr das schnelle Identifizieren von Cyberattacken k\u00fcnftig unverzichtbar, wenn auch f\u00fcr SAP oft nicht ausreichend. Denn sie betrachten vor allem Infrastrukturen und hier f\u00e4llt SAP als weitgehend eigenst\u00e4ndiges System durch das Erkennungsraster, wenn nicht die Expertise von SAP-Sicherheitsprofis und spezielle Software zum Einsatz kommen.<\/p>\n\n\n\n

Durch ihre Integration mit dem SIEM-Tool k\u00f6nnen alle sicherheitsrelevanten Vorf\u00e4lle von SAP-Landschaften mit anderen relevanten IT-Systemen konsolidiert werden und das integrierte Dashboard schafft zus\u00e4tzlich Transparenz \u00fcber alle Systeme. Kritis-Unternehmen und alle mit realistischem Sicherheitsbed\u00fcrfnis erhalten so auf Knopfdruck eine bewertete Dashboard-basierte Darstellung und Dokumentation ihres gesamten Sicherheitsstatus. Essenziell f\u00fcr die sofortige Umsetzung von SiG 2.0 ist also beim Beispiel SAP die Einbindung eines professionellen Security-Partners. <\/p>\n\n\n\n

So hat der SAP-Bestandskunde rku-it als IT-Service-Provider f\u00fcr Energieversorger nicht nur die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam erf\u00fcllt, sondern gleichzeitig die Revisionssicherheit der SAP-Systemlandschaft erh\u00f6ht. Durch den Einsatz der Sast Suite konnten Ableitungen der Template-Rollen je nach Organisation der Kunden realisiert werden. Im Betrieb dient sie zur Validierung der Rollen und Berechtigungen auf Sicherheit und SoD, zur Nutzungsanalyse, weiteren Optimierung von Rollen und Berechtigungen und zum Einsatz der Notfall-User-Funktionalit\u00e4t f\u00fcr Support-Aufgaben der rku-it-Mitarbeiter.<\/p>\n\n\n\n

Problemfelder und Chancen<\/h3>\n\n\n\n

Ein gravierendes Problem f\u00fcr eine ganzheitliche an SiG 2.0 orientierte Sicherheitsstrategie ist nach wie vor die mangelnde Fokussierung. Man muss sich dem seitens der Gesch\u00e4ftsf\u00fchrung mit der nun gebotenen Eile und Priorisierung widmen, folglich auch Ressourcen fokussieren und bereitstellen. Das erfordert Aufmerksamkeit, Personal und nat\u00fcrlich Geld. Doch noch immer ist in vielen Firmen zu beobachten, dass die Bildung von Stellen, Abteilungen, Stabsstellen selbst bei einer Organisation, die sich mit Verf\u00fcgbarkeit und Sicherheit besch\u00e4ftigt, oft noch so stiefm\u00fctterlich ist, als ob dies fakultativ sei. Diese Aufstellung und Verf\u00fcgbarkeit ist jedoch aufgrund der aktuellen Entwicklungen nicht nur f\u00fcr Kritis-Betreiber schlicht als Vorgabe zu betrachten und kostet erst einmal Top-down- Investment.<\/p>\n\n\n\n

SiG 2.0 und Conversion<\/h3>\n\n\n\n

Um auf das Beispiel SAP zur\u00fcckzukommen: Gerade eine anstehende S\/4-Migration kann unter der Perspektive des SiG 2.0 auch als Chance genutzt werden, um die eigene IT-Sicherheit auf ein neues Level zu heben. Sie gibt etwa Gelegenheit, die alten Schnittstellen zu bereinigen und vor allem zu standardisieren. Hier w\u00e4ren Kritis-Betreiber wie Versorger ein klassischer Fall. Dort gibt es sehr lange Prozessketten, Messstellen, Messstellenbetreiber, Abrechnungen, die Trennung von Vertrieb und Netz. Sehr komplexe Systeme, wo man auch hinschaut, das Business ist ja hochgradig standardisiert durch regulatorische Vorgaben, Software, Abl\u00e4ufe \u2013 und das sind Dinge, die man sehr gut skalieren, wo man bei Energie, Gas und Wasser gute Templates bilden, die Schnittstellen harmonisieren und dann die Templates bei den Berechtigungen, Benutzern und Prozessen einf\u00fchren kann. Es ist ein enormer Sicherheitsgewinn, wenn man Dinge standardisiert, damit sie gleich funktionieren und Prozesse gleich laufen.<\/p>\n\n\n\n

\n\n\n\n

Security Competence<\/h3>\n\n\n\n

Ralf Kempf arbeitet mit seinem Team f\u00fcr etwa 200 Kunden im Umfeld SAP Cyber Security und Access Governance, darunter viele Kritis-Betreiber: Wir kennen die Herausforderungen, vor denen Kritis-Betreiber nun stehen, und unterst\u00fctzen sie dabei, die Anforderungen des SiG 2.0 wirksam zu erf\u00fcllen und gleichzeitig die Absicherung ihrer SAP-Systemlandschaft zu erh\u00f6hen. Die Zeiten, in denen Unternehmen es sich leisten konnten, ihre IT-Sicherheit stiefm\u00fctterlich zu behandeln, sind also endg\u00fcltig vorbei \u2013 und das gilt nicht nur f\u00fcr Kritis-Betreiber. Entscheidend ist daher eine ganzheitliche Security-Betrachtung und -Strategie, die alle Themen vereint und den aktuellen Bedrohungsszenarien gerecht wird.<\/em><\/p>\n\n\n\n

\"https:\/\/e3mag.com\/partners\/sast-solutions-ag\/\"<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"

Eine Erkenntnis dieser Tage ist, dass Sicherheit ein verletzliches Gut ist. Kritische Infrastrukturen wie Atomkraftwerke und Krankenh\u00e4user werden zum Ziel kriegerischer Aggression und zeitgleich nehmen Cyberattacken in ungekanntem Ausma\u00df zu.<\/p>\n","protected":false},"author":2551,"featured_media":115110,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,40563],"tags":[15055,40583,143,39537,117],"coauthors":[40607],"class_list":["post-113158","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-22-04","tag-cyberattacken","tag-mag-22-04","tag-management","tag-sast-solutions","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2022\/05\/shutterstock_1347368240-ozrimoz-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Eine Erkenntnis dieser Tage ist, dass Sicherheit ein verletzliches Gut ist. Kritische Infrastrukturen wie Atomkraftwerke und Krankenh\u00e4user werden zum Ziel kriegerischer Aggression und zeitgleich nehmen Cyberattacken in ungekanntem Ausma\u00df zu.<\/p>\n","category_list_v2":"Business-Management<\/a>, Mag 22-04<\/a>","author_info_v2":{"name":"Ralf Kempf, Pathlock","url":"https:\/\/e3mag.com\/de\/author\/ralf-kempf\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/113158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/2551"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=113158"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/113158\/revisions"}],"predecessor-version":[{"id":137537,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/113158\/revisions\/137537"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/115110"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=113158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=113158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=113158"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=113158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}