New call-to-action

Sollten wir die Ausnahmeregelung für NIS2-Patches auf SAP-Altsysteme anwenden?

29-10-2024 | 4 Minute gelesen | Außerbetriebnahme von Legacy-Systemen, Cybersecurity

Autor : Thierry Julien, CEO & Gründer, TJC Group

Am 17. Oktober hat die Europäische Kommission einen zusätzlichen Abschnitt, den sogenannten „Anhang“, zu ihrer Durchführungsverordnung zur Umsetzung der Richtlinie (EU) 2022/2555 veröffentlicht. NIS2 ist ein Gesetz der Europäischen Union (EU), das die Cybersicherheit in der Region verbessern soll. Die Abkürzung steht für Network and Information Systems Directive 2. Vereinfacht ausgedrückt, müssen sich Unternehmen wie Cloud-Service-Anbieter an die aktualisierten Anforderungen der überarbeiteten NIS2-Richtlinie halten.

Die NIS2 gilt für öffentliche und private Einrichtungen, die bestimmte kritische Dienstleistungen oder kritische Infrastrukturen bereitstellen, die als mittlere oder große Unternehmen gelten und die ihre Dienstleistungen innerhalb der EU erbringen oder ihre Tätigkeiten innerhalb der EU ausüben.

In Absatz 6.6 des oben erwähnten Anhangs geht es um die Verwaltung von Sicherheitspatches. Es überrascht nicht, dass in Absatz 6.6.1 erwähnt wird, dass diese Patches, wenn sie verfügbar sind, angemessen schnell, aus vertrauenswürdigen Quellen und mit vorherigen Tests angewendet werden sollten. Wenn sie nicht verfügbar sind, sollten Umgehungslösungen angewendet werden. Interessant ist der zweite Absatz (6.6.2), den ich wortwörtlich zitiere:

Abweichend von Punkt 6.6.1. (a) können die betreffenden Einrichtungen beschließen, nicht

Sicherheits-Patches anwenden, wenn die Nachteile der Anwendung der Sicherheits-Patches

den Nutzen für die Cybersicherheit überwiegen. Die betreffenden Stellen dokumentieren ordnungsgemäß und

die Gründe für eine solche Entscheidung zu begründen..“

Wann kann diese Ausnahmeregelung gelten?

Einige argumentieren, dass die Kontinuität des Dienstes im Rahmen des NIS2-Risikomanagements ein Argument sein könnte. In Absatz 6.6.1 wird jedoch kein sofortiger Patch gefordert, sondern ein einigermaßen schnelles Vorgehen mit Tests. Daher sollte die Kontinuität des Dienstes keine Ausnahmeregelung erfordern.

Andere gehen von kritischen Systemabhängigkeiten aus, bei denen ein Patch in einem System größere Auswirkungen haben kann (denken Sie an die Energie-, Gesundheits- und Transportbranche). Ein gutes Beispiel ist die Meltdown-Schwachstelle von 2018 (CVE-2017-5754), die CPUs betrifft. Der Grund für das Nicht-Patching war ein erheblicher Leistungsabfall (5 bis 30 %) in einigen Anwendungen (z. B. in der Forschung oder im Finanzwesen). Wir könnten auch an das Windows 10 Update (KB4524244) im Jahr 2020 denken.

Ein weiteres Beispiel, von dem die meisten von uns gehört haben, ist die Unfähigkeit von Windows XP, unzählige medizinische Geräte zu patchen. Obwohl Microsoft den Support für Windows XP im Jahr 2014 offiziell eingestellt hat, blieben viele dieser Geräte aufgrund ihrer hohen Kosten und der langen Austauschzyklen in Betrieb. Nicht nur, dass das Patchen dieser Systeme dazu führen kann, dass sie nicht mehr funktionieren (was ein potenzielles Lebensrisiko für die Patienten darstellt), sondern das Patchen könnte auch die behördlichen Zertifizierungen ungültig machen.

Ist dies eine offene Bar für Schwachstellen?

Es ist nicht schwer, eine Liste von Datenschutzverletzungen zu erstellen, die auf fehlende Patches zurückzuführen sind oder zumindest teilweise darauf zurückzuführen sind. Ein berühmter Fall ist die Datenpanne bei Equifax, die am 12. Mai 2017 begann, als Equifax seine Website für Kreditstreitigkeiten noch nicht mit der neuen Version von Struts aktualisiert hatte.

Die Möglichkeit einer Ausnahmeregelung ist kein Freifahrtschein, sondern ein strukturierter Ansatz, bei dem Unternehmen ihre Entscheidungen, bestimmte Patches nicht anzuwenden, bewerten, dokumentieren und begründen müssen.

Außerdem ist NIS2 nicht die einzige Vorschrift, die es zu beachten gilt. Nehmen wir ein einzelnes Beispiel: DSGVO schreibt zwar nicht vor, dass Unternehmen jeden Patch anwenden müssen, setzt aber einen hohen Standard für den Schutz personenbezogener Daten durch. Unter DSGVO kann das Versäumnis, einen Patch aufzuspielen, zu einem Datenschutzverstoß führen, der für das Unternehmen rechtliche Konsequenzen hat. Die Aufsichtsbehörden könnten das Versäumnis, kritische Schwachstellen zu patchen – insbesondere wenn sie bekannt waren und nicht behoben wurden – als Verstoß gegen die Pflicht zum Schutz personenbezogener Daten (Artikel 32 – Sicherheit der Verarbeitung) interpretieren.

Gilt dies auch für SAP-Altsysteme?

Ja, das mag eine seltsame Frage sein, denn SAP ERP-Systeme waren und sind immer noch das Herzstück der integrierten IT-Systeme für die meisten der größten Unternehmen weltweit.

Erstens müssen die SAP-Altsysteme aus Gründen der Steuerprüfung beibehalten werden, selbst wenn der Übergang zu S/4HANA durch eine „Lift-and-Shift“-Migration (Brownfield) erfolgt. Darüber hinaus kann die Bewahrung detaillierter historischer Geschäftsdaten wertvoll sein, da sie wichtiges Material für KI-Modelle liefern. Dennoch sind viele SAP-Systeme ungepatchte Altsysteme. Wieso den? Ich habe alle möglichen Begründungen gehört, wie zum Beispiel…

  • Ja, aber es ist eine alte Version.
  • Ja, aber es läuft auf einer virtuellen Maschine, also kein Problem.
  • Ja, Legacies sind ungepatched, aber unser aktuelles System ist gepatcht.
  • Ja, aber es ist von unserem externen Netzwerk getrennt (als ob die Mitarbeiter nie ihre eigene Firma gehackt hätten).

Zum Zeitpunkt der Ausmusterung enthält ein altes ERP-System in der Regel eine Fülle sensibler Daten: detaillierte Informationen über Kunden und Lieferanten, Mitarbeiterdaten, Vermögenswerte, Projektdetails, Produktnamen, Verkaufsdetails und sogar geschützte Informationen wie Stücklisten, Arbeitspläne, Produktkosten und Gewinnmargen. Diese Daten stellen ein hohes Sicherheitsrisiko dar, selbst wenn sie zwei bis fünf Jahre alt sind. Wenn Sie die Anwendung der Ausnahmeregelung 6.6.1 in Erwägung ziehen, finden Sie hier einige Gründe, die als „ordnungsgemäß dokumentierte“ Begründung für den Verzicht auf Patches dienen könnten:

  • Ich habe das System nicht gepatcht, bevor ich es außer Betrieb gesetzt habe.
  • Wartungsgebühren werden nicht mehr gezahlt, so dass Patches nicht mehr möglich waren. Auch die Datenbankwartung wurde eingestellt, die ein mittelgroßes Unternehmen jährlich bis zu einer Viertelmillion Dollar kosten kann.

… Sie können der Liste gerne weitere hinzufügen.

Ja, es ist billiger, die Systeme ungepatcht und ungesichert zu lassen und die Datenschutzbestimmungen nicht anzuwenden, als sich an die gesetzlichen Vorschriften zu halten. Aber Artikel 6.6.1 schlägt vor, dass Sie keine Patches aufspielen, wenn „die Nachteile der Anwendung der Sicherheitspatches

die Vorteile der Cybersicherheit überwiegen“ … Es heißt nicht ‚überwiegen die Kosten‘.

Ich vermute also, dass es für Unternehmen schwierig sein wird, die Nicht-Patchbarkeit von SAP-Legacy-Systemen zu dokumentieren, insbesondere jetzt, da es Lösungen für die Stilllegung gibt. Schauen Sie sich zum Beispiel Enterprise Legacy System Application an.

Fazit

Zusammenfassend lässt sich sagen, dass Abschnitt 6 Absatz 6.6.2 anerkennt, dass ein einheitlicher Ansatz für das Patchen in bestimmten Kontexten unpraktisch oder kontraproduktiv sein kann, aber kein Ausweg aus der verantwortungsvollen Cyber-Hygiene ist. Er steht im Einklang mit dem Ziel von NIS2, die allgemeine Widerstandsfähigkeit zu verbessern, ohne starre Anforderungen zu stellen, die unbeabsichtigt kritische Dienste gefährden könnten. Es ist definitiv kein Freifahrtschein aus dem Gefängnis.

Mehr Informationen

DER STRATEGISCHE IMPERATIV: STILLLEGUNG VON ALTSYSTEMEN FÜR MEHR CYBERSICHERHEIT

ALTDATEN UND STILLLEGUNG VON ALTSYSTEMEN ZUR VERRINGERUNG VON BEDROHUNGEN DER CYBERSICHERHEIT

SAP-SCHWACHSTELLEN – IST ES SICHER, LEGACY-DATEN IN EINEM ALTEN SAP-SYSTEM AUFZUBEWAHREN?

VIRTUELLE MASCHINEN FÜR ALTSYSTEME: GUT ODER SCHLECHT?

Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration Einhaltung der DSGVO Enterprise Legacy System-Applikation (ELSA) Fichier des Écritures Comptables (FEC) Globale E-Rechnung und E-Reporting IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

New Zealand - Data Privacy - Header
Datenschutzgesetz: Was verbirgt sich hinter dem New Zealand Privacy Act 2020?

04/11/2024 |  

5 Minute gelesen
E-invoicing and e-reporting Header (1)
Elektronische Rechnungsstellung und elektronisches Berichtswesen: Treiber, Einführung, Formate, die man kennen sollte

29/10/2024 |  

6 Minute gelesen

Mehr wie das

ISO27001 and Legacy Systems Header (1) (1)

ISO27001 und Altsysteme | Alles, was Sie darüber wissen müssen!

28/10/2024 |  

9 Minute gelesen
SAP S/4HANA in the content of legacy systems decommissioning

Alles über die Stilllegung von Altsystemen bei der S/4HANA-Migration

24/07/2024 |  

9 Minute gelesen
Legacy system decommissioning and cybersecurity

Ein strategischer Imperativ: Stilllegung von Altsystemen für mehr Cybersicherheit

02/07/2024 |  

6 Minute gelesen