IT-SiG 2.0 umsetzen – Best Practices im Energiesektor
Autor: Andre Tenbuss | 22. Juni 2021
Bis spätestens zum 01.05.2023 setzt das IT-SiG 2.0 erweiterte Sicherheitsmaßnahmen in allen KRITIS-Unternehmen voraus. Wie die Umsetzung im Energiesektor ablaufen kann und welche Best Practices wir empfehlen, erfahren Sie in diesem Beitrag.
KRITIS und das IT-SiG 2.0
Um die Sicherheit der IT-Infrastruktur insbesondere in systemrelevanten Bereichen zu gewährleisten, zählen bestimmte Sektoren zu den so genannten kritischen Infrastrukturen, kurz: KRITIS. Unternehmen innerhalb dieser KRITIS-Sektoren müssen erhöhten Anforderungen im Bereich der IT-Sicherheit nachkommen und Störungen ihrer IT-Systeme direkt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Rechtlicht festgelegt wurden diese Anforderungen vom Deutschen Bundestag im Rahmen des IT-Sicherheitsgesetz (IT-SiG) erstmals im Jahr 2015. Im Frühjahr 2021 folgte nun eine Erweiterung der bisherigen Regelungen. Das IT-SiG 2.0 verschärft sowohl die Security-Ansprüche an Unternehmen als auch die Maßnahmen bei entsprechenden Verstößen. Davon betroffen sind nun außerdem nicht nur die KRITIS-Betreiber selbst, sondern auch alle Zulieferer von KRITIS-relevanten Unternehmen.
Einer dieser KRITIS-Bereiche bildet den Sektor Energie ab. Aufgrund seiner hohen Systemrelevanz gehört dieser Sektor zu den besonders schützenswerten Infrastrukturen und muss daher die Auflagen des IT-SiG 2.0 erfüllen. Welche Herausforderungen es hier für Unternehmen des Energiesektors geben kann und welche Best Practices sich anbieten, soll an einem unserer Praxisfälle verdeutlicht werden.
IT-SiG 2.0 umsetzen im Energiesektor
In einem unserer Umsetzungsprojekte im Sektor Energie lag in einem Unternehmen das Problem vor, dass die Zugänge über Benutzernamen und Kennwörter nicht synchron waren. Auch das Verfahren für eine Kennwortzurücksetzung erwies sich als äußerst unsicher, da Initialkennwörter per Mail zugeteilt wurden. Ein solches Vorgehen darf es in KRITIS-Unternehmen allerdings nicht geben, denn sie bieten eine große Angriffsfläche für externe IT-Attacken und auch interne Probleme.
KRITIS-Betreiber brauchen sicherere Infrastrukturen, zu denen unter anderem gepflegte Benutzernamen und ein ordentlicher Umgang mit Kennwörtern zählen. Risiken für Angriffe und Fehler von außen sowie von innen müssen dabei immer weitestgehend minimiert werden. Um sich an die Anforderungen des IT-SiG 2.0 zu halten, musste das Unternehmen in diesem Praxisfall zeitnah für sicherere Zugänge in das System sorgen. Das Ziel des KRITIS-Betreibers war eine Synchronisation der Kennwörter über alle SAP Systeme hinweg. Gemeinsam entwickelten wir aber eine noch bessere Lösung.
Best Practices und konkrete Empfehlungen
Unsere Empfehlung war die Nutzung der Gebäudezugangskarten der Mitarbeiter mit den zugehörigen Pinnnummern für die Authentisierung der SAP-Anwender. Die Zugangskarten sollten dazu zunächst mit PKI-Zertifikaten ausgestattet werden. Die Zertifikatsnamen wurden außerdem in den Benutzerstämmen in SAP automatisiert hinterlegt. Dazu kam schließlich eine Änderung des gesamten Passwort-Prozesses.
Nachdem der technische Bereich für die Umsetzung des IT-SiG 2.0 abgeschlossen wurde, prüften wir die Komptabilität der Systeme. Nach Abschluss eines Proof-of-Concept sammelten wir deshalb Fehlerfälle und entsprechende Lösungen. Diese müssen stets dokumentiert und an den Help-Desk kommuniziert werden, um Probleme schneller lösen zu können.
Auch die Änderung von Profilparametern nimmt oftmals viel Projektzeit ein, weil dafür die SAP Systeme meist neugestartet werden müssen. Der fließende Übergang in neue Prozesse hat allerdings den Vorteil, dass übergangsweise etwa möglich war, sich wie gewohnt oder über die PKI Karte anzumelden. Dadurch entsteht für die Mitarbeiter genug Zeit für die Umgewöhnung.
Ergebnis: sicher und kostensparend
Das Ergebnis ist, dass die ehemalige Kennwortanmeldung spätestens mit einem neuen Go-Live deaktiviert worden sein muss. Stattdessen ist nun in neuen SAP Systemen eine Anmeldung mit PKI Karte verpflichtend. Dadurch konnte der KRITIS-Betreiber die Zugänge in das SAP System deutlich sicherer gestalten und seine Infrastruktur nach den Anforderungen des IT-SiG 2.0 optimieren. Das Unternehmen stellte anschließend außerdem eine Kostensenkung durch die Verschlankung des Prozesses zur Kennwortrücksetzung fest.
Weitere Praxisbeispiele zum Thema „IT-SiG 2.0 umsetzen in SAP“ finden Sie in unserem Webinar „IT-SiG 2.0 umsetzen im SAP“. Sollten Sie weitere Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de