Sebastian Duda - stock.adobe.com
Die NIS2-Richtlinie und die ERP-Sicherheit
In Sachen IT-Sicherheit führen ERP-Anwendungen häufig ein Silodasein. Dies, obwohl sie sensible Daten und kritische Prozesse verwalten. Mit NIS2 muss sich die ERP-Sicherheit ändern.
Die NIS2-Richtlinie (Network and Information Security) stellt eine Weiterentwicklung der ursprünglichen NIS-Richtlinie dar, die 2016 in Kraft trat. Sie zielt darauf ab, die Cyberresilienz in der EU zu stärken, indem sie eine einheitliche Sicherheitsgrundlage für Netz- und Informationssysteme in allen Mitgliedstaaten schafft.
Zu den wesentlichen Neuerungen der NIS2-Richtlinie zählen:
Erweiterter Anwendungsbereich: Die NIS2-Richtlinie umfasst mehr Sektoren und Arten von Unternehmen, einschließlich mittelgroßer und großer Organisationen mit mehr als 50 Mitarbeitende und mehr als 10 Mio. Jahresumsatz, die als Betreiber kritischer und wichtiger Infrastrukturen eingestuft werden.
Strengere Sicherheitsanforderungen: Unternehmen müssen umfassendere Sicherheitsmaßnahmen umsetzen, um Cyberbedrohungen effektiv zu begegnen, darunter die Umsetzung von Risikoanalyse- und Sicherheitskonzepten, Incident Management sowie die Gewährleistung der Supply-Chain-Sicherheit, um Risiken frühzeitig zu erkennen, angemessene Sicherheitsvorkehrungen zu treffen und effektiv auf Sicherheitsvorfälle zu reagieren.
Erhöhte Meldepflichten: Vorfälle müssen innerhalb von 24 Stunden nach ihrer Entdeckung gemeldet werden, um eine schnelle Reaktion zu ermöglichen (siehe auch NIS2: Welche Vorfälle von wem gemeldet werden müssen).
Strafrechtliche Konsequenzen: Bei Verstößen gegen die NIS2-Richtlinie drohen nicht nur administrative Sanktionen, sondern auch strafrechtliche Konsequenzen sowie eine private Haftung. Dies bedeutet, dass Entscheidungsträger auf höchster Ebene persönlich für die Einhaltung der Sicherheitsanforderungen verantwortlich und haftbar gemacht werden können. Diese Bestimmung soll sicherstellen, dass Cybersicherheit eine strategische Priorität auf der Führungsebene hat.
Sicherheitsrisiko ERP
Dass die Vernachlässigung der ERP-Sicherheit ein potenziell gefährliches Spiel ist, liegt auf der Hand: Diese kritischen Geschäftsanwendungen geraten verstärkt ins Visier der Angreifer, weil sie wertvolle Daten enthalten. So ergaben beispielsweise Untersuchungen von Flashpoint und Onapsis seit 2021 einen 400-prozentigen Anstieg der Ransomware-Vorfälle, bei denen SAP-Systeme und -Daten kompromittiert wurden.
Downtime des ERP bedeutet nicht selten den Stillstand des gesamten Betriebs – von der Produktion über die Logistik bis hin zur Buchhaltung. Das kann Unternehmen in wirtschaftliche Bedrängnis bringen und insbesondere bei kritischen Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen zum Beispiel zu anhaltenden Versorgungsengpässen sowie erheblichen Störungen der öffentlichen Sicherheit führen.
Tatsächlich ist die Sicherheit von ERP-Systemen in vielen Unternehmen jedoch noch immer ein vernachlässigtes Thema. Trotz der zentralen Rolle, die ERP-Systeme beim Management kritischer Geschäftsprozesse und -daten spielen, fehlt es oft an ausreichender Expertise und Ressourcen, um diese Systeme angemessen zu schützen. CISOs und Sicherheitsverantwortliche sind Security-Experten, verfügen jedoch häufig nicht über das nötige ERP-Wissen, um diese hochkomplexen und häufig über Jahre hinweg gewachsenen Umgebungen adäquat zu schützen. Erschwerend hinzu kommen schmale IT-Budgets und knappe personelle Ressourcen. Die Kombination aus all diesen Faktoren führt dann zu der stiefmütterlichen Behandlung der ERP-Sicherheit.
Cyberrisiken werden meist eher als diffuse Bedrohung wahrgenommen – „Das wird uns schon nicht passieren“. NIS2 schärft das Bewusstsein für die Gefahren und liefert durch die Androhung von Sanktionen und persönlicher Haftung konkrete Anreize für Geschäftsführungen, adäquate Sicherheitsmaßnahmen zu ergreifen. Die Richtlinie ist die Aufforderung an Unternehmen, ihre aktuelle Sicherheitssituation und -strategie zu evaluieren und mögliche Schwachpunkte zu beseitigen. Und dazu gehört auch das ERP.
Vorgaben der NIS2-Richtlinie, die ERP-Systeme betreffen
Um die Anforderungen der NIS2-Richtlinie zu erfüllen, müssen Unternehmen spezifische Maßnahmen ergreifen, die besonders für ihre ERP-Systeme von Bedeutung sind. Diese Maßnahmen lassen sich in verschiedene Kategorien einteilen:
Die Maßnahmen lassen sich in verschiedene Kategorien einteilen:
Risikomanagement und Sicherheitsstrategien
Unternehmen müssen eine umfassende Risikobewertung durchführen, die auch ihre ERP-Systeme umfasst. Dies beinhaltet die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Bewertung der potenziellen Auswirkungen von Cyberangriffen auf kritische Geschäftsprozesse.
Risikobewertung: Audits und Penetrationstests sollten in regelmäßigen Abständen durchgeführt werden, um Sicherheitslücken in ERP-Systemen zu identifizieren und zu beheben. Tipp: Häufig fehlen in Unternehmen die Transparenz und der Überblick, welche ERP-Anwendungen tatsächlich im Einsatz sind. Daher empfiehlt es sich, zunächst eine Inventur aller produktiven und nachgelagerten Systeme durchzuführen. Nur so kann sichergestellt werden, dass alle Anwendungen in Audits einbezogen und Schwachstellen geschlossen werden können.
Sicherheitsstrategie: Die Entwicklung und Implementierung einer ganzheitlichen Sicherheitsstrategie, die spezifische Maßnahmen für den Schutz von ERP-Systemen umfasst, ist essenziell. Weil sich die Angreiferseite kontinuierlich weiterentwickelt, ist es wichtig, mit den neuesten Entwicklungen in der Bedrohungslandschaft Schritt zu halten – von neuen Angriffsvektoren bis hin zu SAP-Schwachstellen. Die meisten Unternehmen können keine eigene Threat-Intelligence-Abteilung unterhalten, weshalb es sinnvoll sein kann, auf externe Expertise zu setzen.
Technische und organisatorische Maßnahmen
Die NIS2-Richtlinie fordert die Implementierung geeigneter technischer und organisatorischer Maßnahmen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten.
Zugriffskontrollen: Strikte Zugriffskontrollen (Multifaktor-Authentifizierung) sind unerlässlich, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu sensiblen Daten und Funktionen im ERP-System haben.
Verschlüsselung: Daten, die in ERP-Systemen gespeichert oder übertragen werden, sollten durch geeignete Verschlüsselungstechnologien geschützt werden.
Überwachung und Erkennung: Die Implementierung von Sicherheitslösungen zur kontinuierlichen Überwachung und Erkennung von Anomalien und verdächtigem Verhalten in ERP-Systemen ist notwendig. Dieses 24/7-Monitoring sollte zusätzlich zu den regelmäßigen „Point-in-Time“-Audits erfolgen. Spezialisierte ERP-Sicherheitslösungen können durch intelligente Automatisierung dabei helfen.
Notfallmanagement und Wiederherstellungspläne
Unternehmen müssen robuste Incident-Response- und Wiederherstellungsstrategien entwickeln, um im Falle eines erfolgreichen Cybervorfalls schnell und effektiv reagieren zu können.
Notfallpläne: Unternehmen müssen Notfallpläne erarbeiten, welche konkreten Schritte und Gegenmaßnahmen im Fall eines Angriffs zu unternehmen sind und wer in diesen Fällen verantwortlich und entscheidungsbefugt ist. Diese Pläne sollten spezifische Verfahren für die Reaktion auf Sicherheitsvorfälle in ERP-Systemen beinhalten. So können Angriffe frühzeitig abgewehrt und Schäden minimiert werden.
Wiederherstellung: Regelmäßige Backups und die Sicherstellung der Integrität dieser Backups sind essentiell zur schnellen Wiederaufnahme des Geschäftsbetriebes nach einem Vorfall.
Schulung und Sensibilisierung
Um die Sicherheitsanforderungen der NIS2-Richtlinie zu erfüllen, müssen Unternehmen sicherstellen, dass ihre Mitarbeiterinnen und Mitarbeiter regelmäßig geschult und für Cyberrisiken sensibilisiert werden. Im Rahmen dieser Schulungen sollte auf die besonders hohe Kritikalität von ERP-Anwendungen und Cyberhygiene in Bezug auf Zugangsdaten und Admin-Rechte hingewiesen werden.
„Um die Anforderungen der NIS2-Richtlinie zu erfüllen, müssen Unternehmen spezifische Maßnahmen ergreifen, die besonders für ihre ERP-Systeme von Bedeutung sind.“
Volker Eschenbächer, Onapsis
Allgemeine ERP-Sicherheitsempfehlungen für NIS2
Die Anforderungen der NIS2-Richtlinie auf das ERP auszuweiten, verlangt nach spezifischer Expertise und speziellen Sicherheitsmaßnahmen, die über allgemeine IT-Sicherheitspraktiken hinausgehen. Daher empfehlen sich nicht nur zur Erfüllung der neuen Richtlinie, sondern auch zum langfristigen, optimalen Schutz von Geschäftsanwendungen folgende Schritte:
ERP-Expertise aufbauen: Unternehmen sollten in die Schulung und Weiterbildung ihrer IT- und Cybersicherheitsteams investieren, um spezifisches Wissen im Bereich ERP-Sicherheit aufzubauen.
Ressourcenallokation: Das ERP ist das Herzstück der Unternehmens-IT und braucht daher auch besonderen Schutz. Es ist sinnvoll, schon jetzt ausreichende finanzielle und personelle Ressourcen für die Umsetzung der nach NIS2 nötigen Sicherheitsmaßnahmen einzuplanen.
Externe Unterstützung: Die Zusammenarbeit mit spezialisierten Dienstleistern und Lösungsanbietern, die die nötige Sicherheits- und ERP-Expertise mitbringen, kann hilfreich sein, um die komplexen Anforderungen der NIS2-Richtlinie zu erfüllen und die Sicherheit der ERP-Systeme zu gewährleisten.
Fazit
Das übergeordnete Ziel der NIS2-Richtlinie ist die Verbesserung der allgemeinen Cybersicherheitslage – und dazu gehören ERP-Anwendungen, die bisher in Sicherheitsstrategien häufig vernachlässigt wurden. Ein holistischer Sicherheitsansatz schließt alle Geschäftsanwendungen ein, stärkt den Schutz durch spezialisierte Lösungen und trägt so nicht nur zur Einhaltung der NIS2-Vorgaben bei, sondern stärkt auch die Kontinuität und Resilienz kritischer Geschäfts- und Gesellschaftsprozesse.
Über den Autor:
Volker Eschenbächer ist VP Sales International (EMEA & APAC) bei Onapsis.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.