Sicherheitsthemen sind traditionell nicht sonderlich beliebt. Viele Unternehmen verbinden hiermit vermeintlich lästige Tätigkeiten, großen Zeitaufwand und hohe Kosten. In Zeiten einer Pandemie allerdings rückt die Security zwangsläufig ins Rampenlicht und zeigt in vielerlei Hinsicht ihre Dringlichkeit auf. Ohne Schutzmaßnahmen lassen sich Corona-Ausbrüche nicht eindämmen, Dienstleistungen nicht mehr anbieten und insbesondere der Betrieb von kritischen Infrastrukturen wie Krankenhäusern muss gesichert werden. Die SAP Security ist ein elementarer Bestandteil dessen, wird jedoch durch Corona ebenfalls vor neue Herausforderungen gestellt. In diesem Artikel geben wir einen Blick auf die Triade KRITIS, SAP Security und Corona.
KRITIS
Kritische Infrastrukturen werden auch als KRITIS bezeichnet und stellen alle Einrichtungen dar, die für das Funktionieren und Fortbestehen unseres Gemeinwesens unentbehrlich sind. Aktuell wird KRITIS häufig in Zusammenhang mit Hospitälern genannt, aber auch bspw. Gesundheitsämter, (Corona-)Impfzentren, Labore und Arzneimittelhersteller gehören dazu sowie alle nötigen zugrundeliegenden Teilbereiche (Vertrieb, Transport, Analytik, Abgabe etc.). Ohne diese funktioniert das Gesundheits-Gesamtsystem nicht, ebenso wenig wie bspw. die Lebensmittelversorgung der Bevölkerung ohne Kassierer.
Der Sektor Ernährung gehört selbstverständlich ebenfalls zu KRITIS, laut BSI-Gesetz (BSIG) außerdem die Kategorien Wasser, Energie, IT & Telekommunikation, Finanz- & Versicherungswesen, Transport & Verkehr sowie Siedlungsabfallentsorgung (jeweils mit entsprechenden Subbereichen wie etwa Produktion, Verarbeitung, Handel, Steuerung, Hosting etc.). Die Bund-Länder-AG definiert KRITIS geringfügig anders: Während die Siedlungsabfallentsorgung noch nicht abgestimmt wurde, werden Staat & Verwaltung als kritische Infrastruktur kategorisiert sowie zusätzlich Medien & Kultur, da hierüber u. a. Informationsverbreitung und die Vermittlung kultureller Identität stattfindet.
Alle KRITIS-Segmente zeichnet „Systemrelevanz“ aus – eine Bezeichnung, die durch die Coronakrise mittlerweile allseits bekannt ist.
- a. Website des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe zum Thema KRITIS: https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html
KRITIS und SAP Security
Seit 2015 gilt das IT-Sicherheitsgesetz, welches darauf abzielt, insbesondere im Bereich von KRITIS digitale Strukturen und IT-Systeme abzusichern und vor Hackern, Ausfällen etc. zu schützen. 2021 trat mit dem IT-Sicherheitsgesetz 2.0 eine Ergänzung und Verschärfung der Ursprungsversion in Kraft.
Die Maßnahmen sind jedoch nicht für jede Arztpraxis oder jeden kleinen „Tante-Emma-Laden“ obligatorisch, sondern für Einrichtungen, welche die Versorgung eines Personenkreises bestimmter Größe sichern. Betreiber müssen daher anhand der Rechtsverordnung BSI-KRITIS prüfen, ob sie der KRITIS-Definition unterliegen.
Falls ja, bedeutet dies Pflichten wie etwa:
- Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und Angabe einer Kontaktstelle
- Umsetzung der IT-Sicherheit nach dem Stand der Technik
- Überprüfungen (z. B. durch Audits) mindestens alle 2 Jahre
- Meldung von IT-Sicherheitsvorfällen
- Auskunftsgaben
- Bußgelder bis zu 2 Mio. Euro
Falls nein, könnten sie immer noch „Unternehmen im besonderen öffentlichen Interesse“ darstellen, die als weniger bedeutsam im Vergleich zu KRITIS gelten, jedoch ebenfalls strenge Regelungen einzuhalten haben.
- a. BSI-Gesetz, das das IT-Sicherheitsgesetz 2.0 umsetzt:
https://www.gesetze-im-internet.de/bsig_2009/index.html
Herauszustellen ist, dass ab Mai 2023 im Bereich KRITIS gemäß § 8 Abs. 1a BSIG „Systeme zur Angriffserkennung“ eingesetzt werden müssen, was der SAP-Welt im Grunde die Implementierung von IDS bzw. SIEM vorschreibt. IDS steht für Intrusion-Detection-System (engl. intrusion „Einbruch“), es überwacht fortlaufend die Vorgänge in SAP, kann Unregelmäßigkeiten erkennen und notfalls Alarm schlagen.
Auch mit dem sogenannten Security Incident and Event Management (engl. incident „Vorfall“), kurz SIEM, ist eine Angriffserkennung möglich. Verschiedenste Arten von Servern, Applikationen und Services können an dieses Big-Data-Tool angeschlossen werden und ihm sehr große Datenmengen zum Auswerten übermitteln. Nach einer Anlernphase ist das SIEM dann dazu in der Lage, mittels statistischer Analysen einzuschätzen, wann es sich wohl um „normale“ und wann um verdächtige Betriebsamkeit des SAP-Systems handelt. Ferner können SIEM – anders als reine IDS – Störfälle nicht nur melden, sondern auch adäquat auf sie reagieren, um drohende Schäden proaktiv zu vermeiden.
Bekannte SIEM-Systeme sind bspw. Splunk und das SAP ETD (Enterprise Thread Detection).
KRITIS und SAP Security in Coronazeiten
Vielleicht scheint es erst einmal so, als könne das Coronavirus einem technischen SAP-System nichts anhaben. Allerdings ist auch eine ERP-Landschaft gefährdet, wenn atypisch viel Personal erkrankt oder überlastet ist und etwa auf IDS-Alarmmeldungen nicht zeitnah reagiert, ein Security Audit Log nicht mehr ausgewertet oder kein Vier-Augen-Prinzip in Systemnotfällen gewährleistet werden kann. Projekte wie dringende Berechtigungs-Redesigns könnten auf Eis gelegt, Updating und Patching vernachlässigt werden. Liegt das SAP-Administrations-Know-how bei wenigen Personen, die plötzlich nicht arbeitsfähig sind, führt dies möglicherweise zur Handlungsunfähigkeit.
Auch der virtuelle Bruder des Coronavirus, der Computervirus, stellt gerade in Pandemiezeiten eine neue alte Gefahr dar. Es ist bekannt, dass E-Mails und Webseiten, die bspw. romantische Inhalte oder Bezug zu Geld haben, häufig eine Falle für gefährliche Downloads oder Phishing darstellen. Aktuell nutzen Betrüger jedoch erfolgreich das emotionale Thema Corona, um z. B. mit gefälschten Onlineshops für Schutzmasken oder „News“ zu drastischen neuen Corona-Maßnahmen Linkklicks zu forcieren.
Selbst wenn nicht das SAP-System selbst die primäre Zielscheibe einer Cyber-Attacke ist, so kann es doch stets bspw. beim Lahmlegen des Netzwerks oder bei einer Ransomware-Attacke als Kollateralschaden in Mitleidenschaft gezogen werden (auch wenn bereits einige Kriminelle verkündet haben, aufgrund der momentanen Lage Krankenhäuser von ihren Attacken auszunehmen).
Insbesondere in Coronazeiten ist es also wichtig, nicht nur technisch, sondern auch organisatorisch alle Register zu ziehen, Reaktionspläne auszuarbeiten, Informationsverfügbarkeit sicherzustellen, Kopfmonopole durch Wissenstransfer aufzulösen und Awareness-Schulungen zu geben.
Mit dem Befolgen der Corona-Maßnahmen kann darüber hinaus jeder Einzelne dazu beitragen, die Pandemie einzudämmen und dadurch Notfallsituationen im Bereich KRITIS entgegenzuwirken.