Die Xiting Security Plattform – KRITIS Anforderungen im SAP umsetzen
Table of Contents
Was bedeutet KRITIS?
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen, bei deren Unterbrechung oder Ausfall erhebliche Störungen der öffentlichen Sicherheit, Versorgungsengpässe oder andere dramatische Folgen eintreten würden.
Das Bewusstsein für kritische Infrastrukturen entstand bereits im Jahr 1996 in den USA, als dort politische Entscheidungen getroffen und Maßnahmen ergriffen wurden, die auf deren Schutz abzielten. Die damalige Kommission identifizierte zunächst kritische Infrastrukturen für sieben verschiedene Wirtschaftszweige, darunter u.a. Information und Kommunikation, Finanzwesen und Wasserversorgung. Aufgrund besonderer Katastrophen, zu denen u.a. die Terroranschläge am 11. September zählten, wurden die kritischen Infrastrukturen immer wieder erweitert und auch verstärkt.
KRITIS in Deutschland und wichtige Daten
In Deutschland ist im Mai 2016 der erste Teil der BSI-KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. Betroffen waren Betreiber kritischer Infrastrukturen, darunter die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung.
Mit der ersten Verordnung zur Änderung der BSI-KRITIS-Verordnung, die im Juni 2017 verabschiedet wurde, wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.
Seit dem 1. Januar 2022 existiert die 2. Änderungsverordnung der BSI-KritisV, welche für alle betreffenden Sektoren die Schwellenwerte stark gesenkt hat.
Das hat zur Folge, dass viel mehr Unternehmen und Organisationen von der KRITIS-Verordnung betroffen sind als zuvor. Alle betroffenen Einheiten, u.a. auch die Zulieferer von KRITIS-Unternehmen, werden als KRITIS-relevant eingestuft und müssen mit hohen Bußgeldern rechnen, wenn Vorgaben nicht eingehalten werden.
Die Vorgaben des Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) sind dabei ab dem ersten Tag der KRITIS Feststellung zu erfüllen und müssen alle zwei Jahre überprüft werden. Sollte ein Unternehmen einen Mängel aufdecken, so unterliegt dieser keiner Schonfrist.
Ab dem 01. Mai 2023 müssen KRITIS-Unternehmen Systeme zur Angriffserkennung verpflichtend einsetzen.
Bis spätestens 1. April 2024 muss ein Nachweis der Umsetzung durch eine KRITIS-Prüfung erfolgen.
Was ist eine KRITIS „Muss“-Anforderung?
Das BSI-Gesetz verpflichtet die Betreiber von kritischen Infrastrukturen angemessene technische und organisatorische Sicherheitsmaßnahmen nach dem „Stand der Technik“ umzusetzen. Als Grundlage für eine Beurteilung der KRITIS V- Fähigkeit dient die DIN EN 50600, die ISO 27001 (internationaler Standard) sowie der Branchenspezifische Sicherheitsstandard wie in der B3S beschrieben.
Für jede nachweispflichtige Infrastruktur müssen KRITIS-Betreiber Nachweisdokumente beim BSI einreichen. Wie schon erwähnt, muss der KRITIS-Nachweis alle zwei Jahre erbracht werden. Ob eine Anlage tatsächlich als kritische Infrastruktur gewertet wird, kann der BSI-KritisV entnommen werden. Demnach sollten Sie jedes Jahr bis Ende März prüfen, ob Ihre Anlagen im vergangenen Jahr diese Schwellenwerte überschritten haben. Falls die Schwellenwerte überschritten wurden, gelten sie ab 1. April als kritische Infrastruktur. Diese Änderungen sollten eigenständig und unverzüglich an das KRITIS-Büro gemeldet werden.
Wie kann Ihnen Xiting bei der KRITIS-Verordnung für Ihre SAP Systeme helfen?
Wir kennen aus allen Sektoren die entsprechenden Anlagekategorien, Bemessungskriterien und Schwellenwerte. Auf Basis dieser Werte sind sie in der Lage Ihre KRITIS relevanten Anlagen, Betreiber und Dienstleistungen zu identifizieren.
RFC-Analyse und -Bereinigung mit Xiting
Durch unsere Experten-Tools und Services der Xiting Security Plattform können sie Ihre kritischen RFC-Schnittstellen bereinigen und auch für weitere Prüfungen monitoren. Schnittstellen von IT-Systemen dienen der Kommunikation und dem Austausch von Daten. Eine unkontrollierte oder unbefugte Nutzung von Schnittstellen kann zum Einfall von Schadsoftware und zum unerwünschten Abfluss von Informationen führen. Auch eine unbedachte Nutzung – entgegen etwaiger interner Sicherheitsrichtlinien – kann ein Risiko für die gesamte IT-Infrastruktur darstellen. Deshalb hat das BSI den Mindeststandard für Schnittstellenkontrollen entwickelt. Dieser Mindeststandard legt Sicherheitsanforderungen an die Absicherung von Schnittstellen fest. Wird eine Softwarelösung zur Absicherung von Schnittstellen eingesetzt, so liefert dieser Mindeststandard Vorgaben zum Einsatz und zu den Funktionalitäten entsprechender Softwarelösungen. Die Xiting hat hierzu einen Best Practice entwickelt, der es Ihnen erlaubt, diese Schnittstellen zu analysieren und dann automatisiert zu bereinigen. Sie halten sich dabei automatisch an den vorgegebenen Mindeststandard des BSI für Schnittstellenkontrollen.
SAP Security Monitoring & IKS mit Xiting
In großen und inhomogenen SAP-Landschaften ist es nahezu unmöglich den Überblick zu behalten, kritische Vorgänge zeitnah zu erkennen und die Einhaltung von sicherheitsrelevanten Standards zu überwachen. Dabei reicht für Angreifer oft bereits nur ein schlecht gesichertes System aus, um sich Schritt für Schritt Zugang zur gesamten Landschaft zu verschaffen. Wir unterstützen sie dabei bestehende SAP-Sicherheitskonfigurationen auf Knopfdruck für ihre gesamte SAP-Systemlandschaft zu prüfen und zu dokumentieren. Dabei ist es uns durch unseren Xiting SIEM Connector möglich, Cyberangriffe auf SAP-Systeme in Echtzeit zu detektieren und protokollieren. Für mehr Sicherheit und Transparenz ist es zudem wichtig, SAP-Systeme an Ihr SIEM-System anzubinden, in welchem die Logs dann weitergehend verarbeitet und mit Daten aus Fremdsystemen korreliert werden. Wir übernehmen diesen wichtigen Schritt für Sie und leiten dabei diverse SAP-Logs an Ihr SIEM-System weiter.
Sichere Authentifizierung mit Xiting
Wir bieten zusätzlich sichere Zugänge mit Identitätsnachweis durch SAP Single Sign-On sowie eine maßgeschneiderte Zwei-Faktoren-Authentifizierung. Für diesen zentralen Bereich haben wir einen bewährten Service zur Analyse der bestmöglichen Methode auf Basis Ihrer Anforderungen entwickelt.
Hinsichtlich der KRITIS-Verordnung sind sowohl volle Transparenz über Ihre SAP-Systeme als auch die Überwachung der Einhaltung von Sicherheitsanforderungen relevanter als je zuvor. Xiting kann Sie dabei professionell unterstützen, die KRITIS-Anforderungen zeiteffizient und auf höchsten Standard in Ihren SAP-Systemen umzusetzen und somit auch langfristig zu halten.
Bestehende SAP-Sicherheitskonfiguration mit Xiting prüfen
In SAP-Systemen wird meist ein Großteil der Unternehmenswerte verwaltet. Hierbei geht es um Finanzdaten, Human Capital und/oder Know-how. Eine umfassende Systemprüfung deckt etwaige Schwächen im Schutz dieser Daten auf und ermöglicht Ihnen, die Systemsicherheit effizient zu erhöhen. Unsere Berater führen in Ihren SAP-Systemen eine Prüfung durch und ermitteln potenzielle Schwachstellen in Ihrem SAP-Berechtigungskonzept anhand von Best-Practice-Empfehlungen für Sicherheitseinstellungen. Die Analyse erfolgt unter Nutzung der Xiting Authorizations Management Suite (XAMS) und umfasst nachfolgende Themenschwerpunkte:
- Dokumente: Vergleich von Soll- und Istzustand der Einsatzkonzepte
- Rollen: technische und fachliche Compliance gemäß DSAG-Vorgaben
- Berechtigungen: Administration von Jobs, Benutzern, Transporten und Systemen
- Benutzer: Profilvergabe, Benutzertypen, kritische Berechtigungen, Login-Aktivitäten
Xiting Sonder-Webinar zu KRITIS mit Live-Demo
Am 25. August 2022 findet erstmalig ein Sonder-Webinar zum Schutz kritischer Infrastrukturen von Xiting statt. In dieser Session lernen Sie, wie Sie als Betreiber kritischer Infrastrukturen Anforderungen in Ihrem System fristgerecht umsetzen und so branchenspezifische Sicherheitsstandards einhalten können. Eine Live-Demo in unserem System zeigt Ihnen anschaulich, was Sie hierbei für Ihre Informationssicherheit berücksichtigen sollten. Durchgeführt wird das Webinar von unseren Security-Experten Patrick Spitzer und Brigitte Reitz. Nach Teilnahme erhalten Sie ein exklusives PDF von uns, das Ihnen je nach KRITIS-Sektor die neuen Schwellenwerte auflistet. So können Sie ganz einfach herausfinden, ob Sie von den neuen Anpassungen des IT-Sicherheitsgesetzes 2.0 (IT-Sig 2.0 / BSIG) betroffen sind.
Das exklusive Download-Paper mit allen Schwellenwerden je Sektor hier herunterladen:
Sie haben Fragen zu diesem Thema?
Xiting ist Ihr Experte für IT-Sicherheit, Cyber Security und vieles mehr!
Sprechen Sie uns an!
- Die Xiting Security Plattform – KRITIS Anforderungen im SAP umsetzen - 1. August 2022
- AUDI AG – Bereinigung von 500 RFC-Schnittstellen in nur drei Monaten - 9. Mai 2018
- Neues Produkt von Xiting: XAMS Quick Start - 8. Mai 2018