In Zeiten zunehmender Cyber-Kriminalität stellt sich zwingend die Frage, wie sich Unternehmen gegen Angriffe auf ihre IT-Landschaft schützen können. Denn gerade Ransomware-Attacken auf die SAP-Systeme und Betriebstechnologie (Operational Technology, OT) können verheerende Folgen haben.
Legt ein Hacker das SAP-System lahm, dann steht mitunter die komplette Produktion still. Doch Fertigungslinien sind zumeist unverzichtbare Bestandteile komplexer Lieferketten. Sind diese gestört, kann das die Existenz der betroffenen Firmen gefährden.
Bei Attacken auf kritische Infrastrukturen (KRITIS) – wie etwa Wasserleitungen von Energieversorgern – sind die Auswirkungen noch gravierender, da sie auch die Gesundheit von Menschen betreffen können. Die nachfolgenden Tipps sollen Unternehmen dabei helfen, ihre SAP- und OT-Systeme besser vor Hackerangriffen zu schützen.
SAP- und OT-Sicherheit als Geschäftsprozess verstehen
Die meisten Unternehmen sind sich zwar der permanenten Gefahr von Angriffen bewusst und setzen auf die Expertise von Compliance Managern, Security-Experten und Hacker Nerds, um sich zu schützen. Das Problem ist jedoch: Die Experten beschäftigen sich auf einer eher theoretischen Ebene mit dem Thema und sie agieren losgelöst von anderen, relevanten Prozessen und Teams im Unternehmen.
Doch um das eigene Geschäft wirkungsvoll abzusichern, müssen Unternehmen SAP- und OT-Sicherheit als Geschäftsprozess verstehen, der alle relevanten Personengruppen im Unternehmen einbezieht. Nur so lassen sich Strategien entwickeln und daraus geeignete praktische Maßnahmen ableiten – wie etwa die passende Security-Technologie einzusetzen. Wird Cyber Security als kritischer Geschäftsprozess verstanden, dann ist dieser Ablauf mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren.
Dialog zwischen Management, IT und Produktion initiieren
OT- und SAP-Sicherheit prozessorientiert zu verstehen bedeutet auch, dass alle relevanten Teams in einen Dialog treten. Das gilt vor allem für Management, IT und Produktion. Denn manchmal fehlt dem Management die genaue Vorstellung davon, wie wichtig SAP- und OT-Sicherheit für einen reibungslosen Geschäftsbetrieb sind.
Die IT-Abteilung kann dabei helfen, dieses Verständnis zu vermitteln. In den Dialog einbezogen sein sollten unbedingt auch die Blue Collar Worker, die Mitarbeitenden in der Produktion. Denn diese wissen ganz genau, wie sich ein möglicher Stillstand von Maschine A auf Fertigungslinie B auswirkt.
Systemübergreifende Detection anstatt gestrige Netzwerkanalyse
Neben einem prozessualen Verständnis des Themas OT- und SAP-Sicherheit sowie einem fachbereichsübergreifenden Dialog braucht es leistungsstarke Security-Lösungen. Dazu zählt auch die zeitgemäße, systemübergreifende Detection, die sich aus der älteren Netzwerkanalyse weiterentwickelt hat. Um sensorische Daten aus unterschiedlichen Quellen zu verarbeiten, haben sich mit Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) zwei neue Methoden etabliert.
Mit einem EDR-Tool lassen sich Ereignisse, wie etwa eine Nutzeranmeldung, das Öffnen einer Datei und aufgebaute Netzwerkverbindungen, auf Endgeräten wie PCs, Notebooks, Tablets und Smartphones aufzeichnen. Darüber hinaus erlaubt XDR, Daten über mehrere Angriffsvektoren hinweg, wie etwa E-Mails, Identitäten, Geräte, Server, Cloud-Workloads und Netzwerke, automatisch zu erfassen und zu verknüpfen.
Auf Plattform-Lösungen von Hyperscalern setzen
Eine weitere Säule zeitgemäßer Security-Lösungen ist die Plattform-Sicherheit. Als Plattformen haben sich die Lösungen der etablierten Hyperscaler bewährt. Insbesondere Microsoft bietet eine vollumfängliche Security-Produktpalette mit einer Vielzahl an vorgefertigten Komponenten, die sich einfach in Betrieb nehmen und für individuelle Unternehmenszwecke bedarfsgerecht konfigurieren lassen:
Das geht vom Schutz der Anwender (PCs, Identitäten und E-Mails) über die Absicherung verschiedener Betriebsszenarien (eigene Server, On-Premises im Rechenzentrum sowie Azure-, Google oder AWS-Cloud) bis hin zu speziellen Anwendungsfällen wie OT- und SAP-Sicherheit. Hinzu kommt: Solche Plattformen sind sehr viel effizienter zu integrieren als Einzellösungen.
Daten in zentralem System bereitstellen
Unternehmen haben also keine andere Wahl, als die Sensorik systemübergreifend zu verknüpfen und Alerts rund um die Uhr zu überwachen. Alternativ können sie die Managed Detection & Response Services eines spezialisierten Cyber Security Defense Centers (CSDC) beziehen. Im Zentrum steht das Microsoft Threat Monitoring for SAP. Über einen Sensor lassen sich Daten aus komplexen SAP-Landschaften konsolidieren, sodass sie im Cloud-nativen SIEM-System Microsoft Sentinel für die weitere Verarbeitung bereitstehen. Nachdem der Sensor mit verschiedenen SAP-Log-Quellen verbunden ist, erfasst er alle Daten, die über eine API zwecks Korrelation und Auswertung in Sentinel fließen.
Erkennt das Tool eine Bedrohung, generiert es entsprechende Alerts. Dabei bilden standardisierte Regeln die Grundlage für (teil-)automatisierte SOAR-Prozesse (Security Orchestration, Automation and Response): Geht ein Alarm ein, erfolgt eine KI-basierte Analyse der erfassten Ereignisdaten. Je nach Art des Angriffs setzen sich dann vorab definierte Response-Maßnahmen in Gang.
Cyber Crime ist ein lukratives Business, das nicht nur Auswirkungen auf die wirtschaftliche Situation von Unternehmen haben kann, sondern auch eine Gefährdung für kritische Infrastrukturen des öffentlichen Lebens darstellt. Um Hackern keine Chance zu geben, müssen Unternehmen besser gewappnet sein.
Das kann nur gelingen, wenn sie IT-Sicherheit als Geschäftsprozess verstehen und nicht als ein vom Business losgelöstes Thema. Vielmehr gilt es, den praktischen Bezug ihrer IT sowie OT zu verinnerlichen, daraus konkrete Schutzziele abzuleiten und Maßnahmen zu ergreifen wie etwa eine zeitgemäße, leistungsfähige Security-Lösung zu implementieren.
Andreas Nolte ist Head of Cyber Security bei Arvato Systems.