Cyberangriffe verhindern: EU-weite Standards für die Sicherheit

Laut einer Studie des Digitalverbands Bitkom schätzen 70% der Deutschen die Gefahr durch Cyberangriffe als hoch ein und halten das Land für schlecht vorbereitet. 61% befürchten einen Cyberkrieg, während 64% Deutschland dafür als unzureichend gewappnet ansehen. Von den 30 geplanten Cybersicherheitsmaßnahmen der Nationalen Sicherheitsstrategie wurden bisher nur zwei umgesetzt. Bitkom-Präsident Dr. Ralf Wintergerst warnt vor einer wachsenden Bedrohung, bei der die Grenzen zwischen Cyberkriminalität und hybrider Kriegsführung verschwimmen. Er fordert eine Stärkung der digitalen Sicherheit, insbesondere in Behörden, kritischer Infrastruktur und Unternehmen. Die Ergebnisse wurden auf der Munich Cyber Security Conference (MCSC) im Februar 2025 vorgestellt.

Was ist die NIS2 Richtlinie?

Die EU NIS2-Richtlinie legt einheitliche Cyber-Security-Mindeststandards für Betreiber kritischer Infrastrukturen in Europa fest. Die Umsetzung in deutsches Recht sollte eigentlich bis Oktober 2024 abgeschlossen sein. Wegen der vorgeschobenen Bundestagswahl wird sich dies laut Insidern wahrscheinlich bis mindestens Herbst 2025 verzögern.

Über 30.000 Unternehmen in Deutschland sind betroffen, darunter Betreiber kritischer Anlagen, größere Einrichtungen, Bundeseinrichtungen und einige Sonderfälle. Neben den bestehenden KRITIS- Sektoren werden nun auch große Teile der Wirtschaft in die Regulierung einbezogen. Die Richtlinie verpflichtet Unternehmen zu umfassenden Sicherheitsmaßnahmen, einschließlich Risikomanagement, Vorfallsmeldungen, technischer Schutzmaßnahmen und einer übergeordneten Governance der Cybersicherheit. Betreiber kritischer Anlagen müssen alle drei Jahre Nachweise über die Einhaltung der Sicherheitsvorgaben erbringen, während andere Einrichtungen einer Dokumentationspflicht unterliegen und stichprobenartig von Behörden kontrolliert werden. Die staatliche Aufsicht wird durch erweiterte Registrierungs-, Nachweis- und Meldepflichten gestärkt, wobei verschiedene Behörden wie das BSI, BBK und die BNetzA eine Rolle spielen.

Darüber hinaus werden sektorenspezifische Gesetze wie das Telekommunikationsgesetz (TKG) und das Energiewirtschaftsgesetz (EnWG) angepasst, um die Anforderungen der NIS2-Richtlinie zu berücksichtigen. Für Finanzunternehmen gelten spezielle Regelungen nach dem Digital Operational Resilience Act (DORA). Die Sanktionsvorschriften werden ebenfalls verschärft, mit Bußgeldern zwischen 100.000 und 20 Millionen Euro, die teilweise an den weltweiten Umsatz eines Unternehmens gekoppelt sind.

Lieferketten in der Pflicht

Zusätzlich erhöht das Lieferkettensorgfaltspflichtengesetz den Druck, auch die Informationssicherheit in der gesamten Lieferkette zu gewährleisten. Unternehmen müssen nicht nur interne Risiken minimieren, sondern auch vertragliche Regelungen mit Zulieferern anpassen, um die Einhaltung der neuen Sicherheitsstandards sicherzustellen. Verstöße können zu erheblichen Bußgeldern und Reputationsschäden führen.

Umsetzung der Informationssicherheit benötigt Zeit

Das Ziel, Informationssicherheit effizient im Unternehmen aufzubauen, erfordert Zeit und sorgfältige Planung. Gesetze und Normen müssen nicht nur eingehalten, sondern auch an die spezifischen Anforderungen des Unternehmens angepasst werden. Damit die Sicherheitsmaßnahmen nachhaltig wirksam sind, müssen sie Teil der Unternehmenskultur werden. Der vollständige Aufbau eines Informationssicherheitsmanagementsystems (ISMS) kann dabei über ein Jahr in Anspruch nehmen, je nach Unternehmensgröße und Komplexität der IT-Infrastruktur.

Der effektivste Weg, die Anforderungen der NIS2-Richtlinie umzusetzen, ist die Einführung eines ISMS nach ISO 27001. Dieser international anerkannte Standard bietet ein strukturiertes Rahmenwerk für die systematische Sicherung von Informationen. Ergänzend dazu sollten Unternehmen Bausteine eines Business-Continuity-Management-Systems (BCMS) integrieren, um die Geschäftskontinuität im Falle von Sicherheitsvorfällen zu gewährleisten.

Besondere Aufmerksamkeit gilt auch den Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffene Unternehmen müssen sich dort registrieren und sind verpflichtet, relevante Vorfälle innerhalb eines festgelegten Zeitrahmens zu melden. Die Kombination aus einem zertifizierten ISMS, einem funktionierenden BCMS und der Erfüllung der gesetzlichen Meldepflichten ermöglicht es Unternehmen, die Anforderungen der NIS2-Richtlinie effizient und rechtssicher zu erfüllen.

SAP S/4HANA im Fokus der Informationssicherheit

Beim Aufbau neuer SAP S/4HANA-Systeme spielt Informationssicherheit eine zentrale Rolle, da diese Systeme oft geschäftskritische Prozesse und sensible Daten verwalten. Schon vor der ersten Testmigration sollten technische Sicherheitsmaßnahmen etabliert werden. Ein wichtiger Schritt dabei sind Penetrationstests, die Schwachstellen frühzeitig identifizieren. Diese Tests sollten nicht nur vor der Inbetriebnahme, sondern auch regelmäßig während des gesamten Lebenszyklus des Systems durchgeführt werden, um neue Bedrohungen frühzeitig zu erkennen und zu beheben.

Empfohlene Maßnahmen:

• Schutzmechanismen des SAP Message Servers
• Überprüfung sicherheitsrelevanter Systemparameter
• Absicherung des SAP Internet Communication Managers (ICM)
• Sicherheit des SAP Web Dispatchers
• Verschlüsselung von Daten und Kommunikation
• Schutz und Integrität des Transportsystems
• Sicherheit des SAP Gateways
• Absicherung von Schnittstellen (z.B. RFC, Web Services)
• Sicherheit der Authentifizierung und Anmeldeverfahren
• Benutzer- und Berechtigungskonzept
• Protokollierung und Monitoring (Logging)

Die SAP-Systemlandschaft muss vollständig in das Informationssicherheitsmanagementsystem eingebunden werden, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Dies beinhaltet eine umfassende Risikobetrachtung, die Bedrohungen und Schwachstellen der gesamten Systemumgebung analysiert und Gegenmaßnahmen definiert.

Zudem ist es entscheidend, die Sicherheit auf Applikationsebene zu gewährleisten. Dies
erfolgt durch die gezielte Konfiguration von Log-Einstellungen in SAP S/4HANA, die eine lückenlose Protokollierung sicherheitsrelevanter Ereignisse ermöglichen. Eine kontinuierliche Auswertung der Logdaten hilft, ungewöhnliche Aktivitäten frühzeitig zu erkennen und Sicherheitsvorfälle schnell zu beheben. So wird ein ganzheitlicher Schutz der SAP-Systeme sichergestellt, der sowohl gesetzlichen Anforderungen als auch unternehmerischen Sicherheitszielen entspricht.

Informationssicherheit als fester Bestandteil der Unternehmenskultur

Unternehmen müssen Informationssicherheit nicht nur als technisches Thema, sondern als integralen Bestandteil ihrer Unternehmenskultur betrachten. Der Aufbau eines robusten Informationssicherheitsmanagementsystems (ISMS) ist essenziell, um steigenden Bedrohungen und den gesetzlichen Anforderungen, wie der NIS2-Richtlinie, gerecht zu werden. Dies erfordert Zeit und kontinuierliche Anpassungen, da Sicherheitsmaßnahmen in den gesamten Unternehmensbetrieb eingebaut werden müssen.

Regelmäßige Pentests durchführen

Ein effektiver Weg, dies zu erreichen, ist die Etablierung eines ISMS nach ISO 27001, ergänzt durch Bausteine eines Business-Continuity-Management-Systems (BCMS) und die regelmäßige Durchführung von Pentests. Unternehmen sollten ihre SAP-Systemlandschaft in das ISMS einbinden und eine umfassende Risikobetrachtung durchführen, um Sicherheitslücken frühzeitig zu identifizieren. Zudem ist es entscheidend, die Sicherheit auf Applikationsebene zu stärken, etwa durch die richtige Konfiguration von Log-Daten und deren regelmäßiger Auswertung.

Das sind die SAP Pentesting-Pakete

Indem Unternehmen Informationssicherheit als langfristige Priorität verankern und systematisch Sicherheitsstandards implementieren, können sie nicht nur die Anforderungen gesetzlicher Vorgaben erfüllen, sondern sich auch gegen die wachsenden Bedrohungen im digitalen Raum schützen.

1. Initiales Pentest-Paket

• Projektlaufzeit: 4PT
• Testebene: SAP-Anwendungsebene
• Vorteile:
  • Basis-Sicherheitscheck ("Health Check)
  • Unkomplizierter Einstieg
  • Reporting und Hilfestellung zum Schließen der Schwachstellen

Geeignet für: Unternehmen, die eine erste Sicherheitsbewertung ihrer SAP-Anwendungen möchten.

2. Standard-Pentest-Paket

• Projektlaufzeit: 6PT
• Testebene: SAP-Anwendungsebene, Datenbank
• Vorteile:

• • Detaillierte Überprüfung kritischer, SAP-Komponenten

  • Identifikation von Schwachstellen auf Anwendungs- und Datenbankebene

• • Schutz von sensiblen und kritischen Daten

Geeignet für: Unternehmen mit komplexeren SAP-Umgebungen, die über die Anwendungsebene hinausgehende Tests benötigen.

3. Vollständiges Pentest-Paket

• Projektlaufzeit: 10PT
• Testebene: SAP-Anwendungsebene, Datenbank, Betriebssystem, Netzwerk
• Vorteile:

• • Ganzheitliche Sicherheitsbewertung des SAP-Systems

  • Analyse von Schwachstellen auf allen relevanten Ebenen

• • Umfassender Schutz durch eine tiefgehende Prüfung von Infrastruktur und Anwendungen

Geeignet für: Unternehmen mit hohen Sicherheitsanforderungen, die eine vollständige Absicherung ihrer SAP-Umgebung erreichen möchten.

Aufwandsschätzung: SAP Pentesting