{"id":36126,"date":"2024-10-29T22:43:36","date_gmt":"2024-10-29T17:13:36","guid":{"rendered":"https:\/\/www.tjc-group.com\/?post_type=blog&p=36126"},"modified":"2024-11-14T18:11:28","modified_gmt":"2024-11-14T12:41:28","slug":"sollten-wir-die-ausnahmeregelung-fuer-nis2-patches-auf-sap-altsysteme-anwenden","status":"publish","type":"blog","link":"https:\/\/www.tjc-group.com\/de\/blogs\/sollten-wir-die-ausnahmeregelung-fuer-nis2-patches-auf-sap-altsysteme-anwenden\/","title":{"rendered":"Sollten wir die Ausnahmeregelung f\u00fcr NIS2-Patches auf SAP-Altsysteme anwenden?"},"content":{"rendered":"\n

Autor : Thierry Julien, CEO & Gr\u00fcnder, TJC Group<\/em><\/a><\/p>\n\n

<\/p>\n\n

<\/p>\n\n

Am 17. Oktober hat die Europ\u00e4ische Kommission einen zus\u00e4tzlichen Abschnitt, den sogenannten “Anhang”, zu ihrer Durchf\u00fchrungsverordnung zur Umsetzung der Richtlinie (EU) 2022\/2555<\/a> ver\u00f6ffentlicht. NIS2 ist ein Gesetz der Europ\u00e4ischen Union (EU), das die Cybersicherheit in der Region verbessern soll. Die Abk\u00fcrzung steht f\u00fcr Network and Information Systems Directive 2. Vereinfacht ausgedr\u00fcckt, m\u00fcssen sich Unternehmen wie Cloud-Service-Anbieter an die aktualisierten Anforderungen der \u00fcberarbeiteten NIS2-Richtlinie<\/a> halten. <\/p>\n\n

Die NIS2 gilt f\u00fcr \u00f6ffentliche und private Einrichtungen, die bestimmte kritische Dienstleistungen oder kritische Infrastrukturen bereitstellen, die als mittlere oder gro\u00dfe Unternehmen gelten und die ihre Dienstleistungen innerhalb der EU erbringen oder ihre T\u00e4tigkeiten innerhalb der EU aus\u00fcben. <\/p>\n\n

In Absatz 6.6 des oben erw\u00e4hnten Anhangs geht es um die Verwaltung von Sicherheitspatches. Es \u00fcberrascht nicht, dass in Absatz 6.6.1 erw\u00e4hnt wird, dass diese Patches, wenn sie verf\u00fcgbar sind, angemessen schnell, aus vertrauensw\u00fcrdigen Quellen und mit vorherigen Tests angewendet werden sollten. Wenn sie nicht verf\u00fcgbar sind, sollten Umgehungsl\u00f6sungen angewendet werden. Interessant ist der zweite Absatz (6.6.2), den ich wortw\u00f6rtlich zitiere: <\/p>\n\n

\u201e<\/em>Abweichend von Punkt 6.6.1. (a) k\u00f6nnen die betreffenden Einrichtungen beschlie\u00dfen, nicht <\/em> <\/p>\n\n

Sicherheits-Patches anwenden, wenn die Nachteile der Anwendung der Sicherheits-Patches<\/em> <\/p>\n\n

den Nutzen f\u00fcr die Cybersicherheit \u00fcberwiegen. Die betreffenden Stellen dokumentieren ordnungsgem\u00e4\u00df und <\/em> <\/p>\n\n

die Gr\u00fcnde f\u00fcr eine solche Entscheidung zu begr\u00fcnden.<\/em>.”<\/em> <\/p>\n\n

Wann kann diese Ausnahmeregelung gelten? <\/h3>\n\n

Einige argumentieren, dass die Kontinuit\u00e4t des Dienstes im Rahmen des NIS2-Risikomanagements ein Argument sein k\u00f6nnte. In Absatz 6.6.1 wird jedoch kein sofortiger Patch gefordert, sondern ein einigerma\u00dfen schnelles Vorgehen mit Tests. Daher sollte die Kontinuit\u00e4t des Dienstes keine Ausnahmeregelung erfordern. <\/p>\n\n

Andere gehen von kritischen Systemabh\u00e4ngigkeiten aus, bei denen ein Patch in einem System gr\u00f6\u00dfere Auswirkungen haben kann (denken Sie an die Energie-, Gesundheits- und Transportbranche). Ein gutes Beispiel ist die Meltdown-Schwachstelle von 2018 (CVE-2017-5754), die CPUs betrifft. Der Grund f\u00fcr das Nicht-Patching war ein erheblicher Leistungsabfall (5 bis 30 %) in einigen Anwendungen (z. B. in der Forschung oder im Finanzwesen). Wir k\u00f6nnten auch an das Windows 10 Update (KB4524244) im Jahr 2020 denken. <\/p>\n\n

Ein weiteres Beispiel, von dem die meisten von uns geh\u00f6rt haben, ist die Unf\u00e4higkeit von Windows XP, unz\u00e4hlige medizinische Ger\u00e4te zu patchen. Obwohl Microsoft den Support f\u00fcr Windows XP im Jahr 2014 offiziell eingestellt hat, blieben viele dieser Ger\u00e4te aufgrund ihrer hohen Kosten und der langen Austauschzyklen in Betrieb. Nicht nur, dass das Patchen dieser Systeme dazu f\u00fchren kann, dass sie nicht mehr funktionieren (was ein potenzielles Lebensrisiko f\u00fcr die Patienten darstellt), sondern das Patchen k\u00f6nnte auch die beh\u00f6rdlichen Zertifizierungen ung\u00fcltig machen. <\/p>\n\n

Ist dies eine offene Bar f\u00fcr Schwachstellen? <\/h3>\n\n

Es ist nicht schwer, eine Liste von Datenschutzverletzungen zu erstellen, die auf fehlende Patches zur\u00fcckzuf\u00fchren sind oder zumindest teilweise darauf zur\u00fcckzuf\u00fchren sind. Ein ber\u00fchmter Fall ist die Datenpanne bei Equifax<\/a>, die am 12. Mai 2017 begann, als Equifax seine Website f\u00fcr Kreditstreitigkeiten noch nicht mit der neuen Version von Struts aktualisiert hatte. <\/p>\n\n

Die M\u00f6glichkeit einer Ausnahmeregelung ist kein Freifahrtschein, sondern ein strukturierter Ansatz, bei dem Unternehmen ihre Entscheidungen, bestimmte Patches nicht anzuwenden, bewerten, dokumentieren und begr\u00fcnden m\u00fcssen. <\/p>\n\n

Au\u00dferdem ist NIS2 nicht die einzige Vorschrift, die es zu beachten gilt. Nehmen wir ein einzelnes Beispiel: DSGVO schreibt zwar nicht vor, dass Unternehmen jeden Patch anwenden m\u00fcssen, setzt aber einen hohen Standard f\u00fcr den Schutz personenbezogener Daten durch. Unter DSGVO kann das Vers\u00e4umnis, einen Patch aufzuspielen, zu einem Datenschutzversto\u00df f\u00fchren, der f\u00fcr das Unternehmen rechtliche Konsequenzen hat. Die Aufsichtsbeh\u00f6rden k\u00f6nnten das Vers\u00e4umnis, kritische Schwachstellen zu patchen – insbesondere wenn sie bekannt waren und nicht behoben wurden – als Versto\u00df gegen die Pflicht zum Schutz personenbezogener Daten (Artikel 32 – Sicherheit der Verarbeitung) interpretieren. <\/p>\n\n

Gilt dies auch f\u00fcr SAP-Altsysteme? <\/h3>\n\n

Ja, das mag eine seltsame Frage sein, denn SAP ERP-Systeme waren und sind immer noch das Herzst\u00fcck der integrierten IT-Systeme f\u00fcr die meisten der gr\u00f6\u00dften Unternehmen weltweit. <\/p>\n\n

Erstens m\u00fcssen die SAP-Altsysteme aus Gr\u00fcnden der Steuerpr\u00fcfung beibehalten werden, selbst wenn der \u00dcbergang zu S\/4HANA durch eine “Lift-and-Shift”-Migration (Brownfield) erfolgt. Dar\u00fcber hinaus kann die Bewahrung detaillierter historischer Gesch\u00e4ftsdaten wertvoll sein, da sie wichtiges Material f\u00fcr KI-Modelle liefern. Dennoch sind viele SAP-Systeme ungepatchte Altsysteme. Wieso den? Ich habe alle m\u00f6glichen Begr\u00fcndungen geh\u00f6rt, wie zum Beispiel… <\/p>\n\n