IT-SiG 2.0 umsetzen – Best Practices im Finanzsektor
Autor: Andre Tenbuss | 7. Juli 2021
Das IT-SiG 2.0 fordert die Umsetzung erweiterter Sicherheitsmaßnahmen in allen KRITIS-Unternehmen bis spätestens zum 01.05.2023. Vor welchen Hürden der Finanzsektor dabei steht und wie die Umsetzung dennoch gemeistert werden kann, erfahren Sie in diesem Beitrag.
Das IT-SiG 2.0
Das IT-Sicherheitsgesetz (kurz: IT-SiG) soll die Sicherheitsanforderungen an informationstechnische Systeme und kritische Infrastrukturen fördern und rechtlich festlegen. Es richtet sich insbesondere an systemrelevante Unternehmen, die als KRITIS-Betreiber bezeichnet werden. Für ihre IT-Sicherheit verabschiedete der Deutsche Bundestag das Gesetz 2015 erstmalig. Dieses Jahr wurde es mit dem IT-SiG 2.0 erweitert, das nun neue Ansprüche an die Sicherheitsstandards in Unternehmen stellt.
Aktuell gehören zehn Sektoren in Deutschland der KRITIS an. Einer davon bildet das Finanz- und Versicherungswesen ab. Dieses wurde für das öffentliche Leben als besonders relevant anerkannt und zugleich als stark anfällig für IT-Angriffe beschrieben. Die neuen Pflichten des IT-SiG 2.0 müssen deshalb auch im Finanzsektor bis spätestens zum 01.05.2023 umgesetzt werden. Für viele Unternehmen ergibt sich dadurch eine Herausforderung. Mit den richtigen Best Practices ist die erfolgreiche Umsetzung des erweiterten Sicherheitsgesetzes aber möglich.
Besonderheiten bei der Umsetzung des IT-SiG 2.0
Die Einhaltung der KRITIS-Pflichten geht über die Zufriedenstellung eines Wirtschaftsprüfers hinaus. Der Fokus liegt hier weniger auf Betriebskennzahlen als vielmehr auf der Sicherstellung von Versorgungsketten. Die hohe Priorität dieses Anliegens ist gerade in den letzten zwei Jahren sehr deutlich geworden und soll mit dem IT-SiG 2.0 verschärft sichergestellt werden. Daraus ergibt sich aus mindestens vier Gründen neuer Handlungsbedarf für Unternehmen:
- Es gibt nun 800 neue Planstellen beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das heißt, die Kapazitäten zur Kontrolle der Einhaltung des IT-SiG 2.0 steigen deutlich an
- Wird bei einer Kontrolle ein Verstoß festgestellt, drohen nun höhere Bußgelder von bis zu 2 Mio. Euro. Bei vorsätzlichen Verstößen kann die Summe sogar auf bis zu 20 Mio. Euro steigen
- Eine Angriffserkennung wird für KRITIS-Unternehmen verpflichtend. Die Deadline für den Einsatz liegt beim 01.05.2023
- Auch Zulieferer von KRITIS-Betreibern müssen die Vorgaben direkt nach der KRITIS-Feststellung erfüllen. Die Umsetzung des erweiterten IT-Sicherheitsgesetzes sollte deswegen schnell erfolgen.
IT-SiG 2.0 umsetzen im Finanzsektor
Für den Finanzsektor ergeben sich neben diesen neuen äußeren Faktoren auch branchenspezifische Herausforderungen. So kommt es in diesem Bereich häufig dazu, dass für die Verhinderung von Einbrüchen sehr komplexe SAP Landschaften gebaut werden. Diese sind in der Regel sehr unübersichtlich und in verschiedene SAP Systeme unterteilt, für die es unterschiedliche Experten gibt. Meistens fehlt außerdem eine gemeinsame Dokumentationsform, sodass ein gesamtes Systemverständnis fast unmöglich wird. Auch in einem unserer Projekte hatte ein Finanzunternehmen dieses Problem.
Kommt es unerwartet zu einem IT-Angriff, führen solche Strukturen zu einer äußerst niedrigen Reaktionsgeschwindigkeit. Die SAP Landschaft kann durch ihre Komplexität und Abhängigkeit von vielen Experten nicht mehr übersichtlich erfasst und entsprechend geschützt werden. Ein Konzept für Desaster Recovery liegt in den meisten Fällen aber ebenfalls nicht vor. So stehen sich viele Finanzunternehmen mit ihren komplexen SAP Landschaften häufig selbst im Weg und riskieren große Sicherheitsschäden. Spätestens mit dem IT-SiG 2.0 können solche Strukturen nicht länger bestehen bleiben.
Best Practices und konkrete Vorgehensempfehlungen
Für die Optimierung solcher SAP Landschaften muss in erster Linie ein zentraler Recovery Plan für den Fall eines IT-Angriffs erstellt werden. Dabei sollten alle Experten mit eingebunden werden. Es werden abgesprochene Dokumentationsformen und gemeinsame Arbeitsweisen benötigt, um Prozesse übersichtlich und einheitlich zu gestalten. Außerdem wird sehr empfohlen, in regelmäßigen Abständen Tests durchzuführen. Auf diese Weise können aktuelle Sicherheitslücken rechtzeitig erkannt und gepatcht werden.
Um einen Recovery Plan zu erstellen und mehr Ordnung in die Systeme zu bringen, sind formal zunächst alle Verantwortlichkeiten zu klären. Es sollte klare Regeln für den Umgang mit Desaster Situationen geben, die jedem Mitarbeiter seine Aufgaben deutlich zuteilen. Beispielsweise sollte es Kennwortrichtlinien geben und auch bekannt sein, wo die Passwörter hinterlegt sind. Alle Teilprozesse müssen dabei einheitlich vorliegen und im besten Fall auch in den Wiederherstellungsdokumenten zu finden sein.
Außerdem beweist sich als Best Practice die Festlegung einer Person, die den Recovery Prozess koordiniert. So wird zusätzlich zu der neuen Ablaufstruktur sichergestellt, dass alle Teilprozesse funktionieren. Die verantwortliche Person steht dann beispielsweise für Fragen zur Verfügung und kann nachhaken, wenn Aufgaben nicht rechtzeitig erledigt wurden.
Ergebnis
Das Ergebnis einer Anpassung hinsichtlich des IT-SiG 2.0 war die Etablierung eines strukturierten Prozesses für das Business Continuity Management. Dieses beinhaltet sowohl ein Desaster Recovery Konzept als auch einen Qualitätssicherungsprozess. Testdurchläufe werden in dem Finanzunternehmen nun in regelmäßigen Abständen durchgeführt, um die Dokumentation immer auf dem aktuellen Stand zu halten.
Nicht zuletzt hatte die Optimierung aber auch einen Einfluss auf das allgemeine Bewusstsein zum Thema IT-Sicherheit. Auch in zukünftigen Projekten bewiesen die Mitarbeiter eine größere Sensibilität für alle relevanten Prozesse im Falle eines Notstands und zeigten entsprechend strukturiertere Arbeitsweisen.
Weitere Informationen und Praxisbeispiele zum Thema „IT-SiG 2.0 umsetzen in SAP“ finden Sie in unserem kostenlosen Webinar. Sollten Sie Fragen oder Beratungsbedarf haben, dann schreiben Sie uns auch gerne eine Mail an info@rz10.de.