Auszug aus dem Fachbeitrag in der aktuellen März-Ausgabe der IT Security, Beileger des IT Management
Der renommierte AXA Future Risks Report 2021 nennt als zweitwichtigste globale Bedrohung nach dem Klimawandel und noch vor Pandemien und Infektionskrankheiten die wachsenden Risiken durch Cyber-Attacken. Tatsächlich haben diese laut aktuellem BKA-Lagebericht erheblich zugenommen, sind professioneller geworden und konzentrieren sich oft auf kritische Infrastrukturen (KRITIS). Nicht zuletzt dieser Bedrohungslage begegnet das neue IT-Sicherheitsgesetz. Ralf Kempf, CTO des SAP-Security-Spezialisten SAST SOLUTIONS, erläutert die Herausforderungen für ein erfolgreiches S/4HANA-Projekt unter den Gesichtspunkten des SiG 2.0.
Für SAP S/4HANA haben sich gerade hinsichtlich SiG 2.0 die Sicherheitsanforderungen an KRITIS-Betreiber verändert, Datenbank, User Interface, Gateway, Applikationen und Berechtigungen sind enger zusammengewachsen, der Zugriff auf wichtige Daten ist komplexer geworden – und somit auch schwieriger zu überwachen. Das Sicherheitsgesetz fordert von allen KRITIS-Unternehmen ein detailliertes Business Continuity Planning und Desaster-Recovery-Szenarien, prozessuale, direktive und reaktive Maßnahmen, um schon im Vorfeld die Härtung der Systeme so durchzuführen, wie sie Marktstandard ist. Dabei gilt es, konkrete Vorgaben einzuhalten, wie man KRITIS- Architekturen baut, denn es ist stets zu beachten, dass man Infrastruktur und Prozesse so definiert, dass sie später im Rahmen einer SiG-Abnahme auch prüffähig sind und abgenommen werden. Diese Qualität der Architektur und Prozesse muss zyklisch nachgewiesen werden und setzt ein Umdenken voraus: Man kann nicht einfach weiterverfolgen, was man schon immer auf seine Weise getan hat, sondern muss konkrete Vorgaben erfüllen.
......
Folgende Herausforderungen werden im Artikel näher beleuchtet:
- SiG-2.0-Aspekte bereits in Frühphase bedenken
- S/4HANA und SiG 2.0 als Chance nutzen
- Das Beispiel Standardisierung
- Problemfelder Komplexität und Fokussierung
und am Ende erhalten die Leser acht hilfreiche Learnings aus den letzten Projekten.
[Lesen Sie den vollständigen Fachbeitrag kostenlos online auf it-daily.net in der Ausgabe IT Security März 2022, Seite 12+13.]