Logo von itesys in blau.

itesys implementiert NIST-Framework

Deine proaktiven und massgeschneiderten Lösungen für die SAP Cybersecurity ergänzt die itesys AG seit einiger Zeit durch das bewährte NIST-Framework – eine Partnerschaft, durch die SAP-Anwenderunternehmen noch besser in der Lage sind, ihre digitalen Assets zu schützen und gleichzeitig ihre Geschäftsziele effektiv zu verfolgen.

Autor: itesys AG |
 Lesezeit: 4 min.

Was bedeutet NIST?

Das Cybersecurity Framework des US-amerikanischen National Institute of Standards and Technology (NIST) ist ein ganzheitlicher Ansatz, mit dem Unternehmen weltweit das Risikomanagement für ihre Informations- und Cybersicherheit verbessern können. NIST CSF, so die Kurzform, besteht aus einer Reihe von Leitlinien, Best Practices und Standards, die sich in fünf übergeordnete Funktionsbereiche eingruppieren lassen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Nicht zu verwechseln ist NIST mit der NIS-2-Richtlinie (Network and Information Systems Directive) der EU. Diese zielt darauf ab, ein hohes Mass an Netz- und Informationssicherheit in der gesamten EU zu gewährleisten und kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Bis Oktober 2024 soll sie in nationales Recht umgesetzt werden. Zweck beider Initiativen ist es also, die Sicherheit im digitalen Raum zu fördern; sie sind aber unabhängig voneinander und haben unterschiedliche Ursprünge, Ziele und Anwendungsbereiche.


Weltweiter Standard

NIST CSF gilt über die USA hinaus als weltweiter Standard für Cybersicherheitsleitlinien und wurde in mehrere Sprachen übersetzt. Wie bereits zahlreiche private und öffentliche Einrichtungen, so hat auch itesys das Framework in seine Services integriert und positioniert sich in diesem Bereich als Vorreiter. SAP-Kunden erhalten so eine umfassende Lösung für ihre Cybersicherheitsbedürfnisse. Denn deren SAP Landschaften ändern sich permanent. Bei genauer Betrachtung finden sich oft kleine Sicherheitslücken, welche die SAP Security vor grosse Herausforderungen stellen. Auch zentrale Unternehmensanwendungen wie SAP sind vor unbefugtem Zugriff, Datenverlust und anderen Sicherheitsrisiken heute nicht mehr gefeit. Cyberangriffe nehmen beständig zu, sowohl was ihre Anzahl wie ihre Komplexität angeht. Traditionelle Sicherheitsansätze reichen da oft nicht mehr aus.

In diesem Kontext wird das NIST-Framework zu einem entscheidenden Werkzeug. SAP-Kunden liefert es eine strukturierte Herangehensweise zur Entwicklung und Verbesserung ihrer Cybersicherheitsstrategien. Es hilft bei der Einschätzung der eigenen Cybersecurity-Maturität sowie als Unterstützung bei der Umsetzung von Massnahmen. Integriert in die itesys-Dienstleistungen, erhalten Anwenderunternehmen massgeschneiderte Lösungen für ihre individuellen Anforderungen.


In folgenden Services setzt itesys Leitlinien, Best Practices und Standards aus NIST CSF ein:

  • Im Bereich Risikobewertung und -management analysiert itesys die individuellen Risiken seiner Kunden und entwickelt Strategien, um diese effektiv zu managen und zu mitigieren.
  • Das Security Monitoring beinhaltet die proaktive Analyse von SAP Systemen, um potenzielle Sicherheitsvorfälle zu erkennen und entsprechende Massnahmen einzuleiten. Beispiel: Ein User öffnet den produktiven Mandanten oder weist sich kritische SAP Berechtigungen zu bzw. umgeht Berechtigungsprüfungen, indem er den ABAP-Code zur Laufzeit verändert. Die Folge: Manipulationen sind Tür und Tor geöffnet. Solche Sicherheitslücken erkennt und schliesst das SAP Security Monitoring unter Verwendung integrierter NIST-Leitlinien. Mittels dedizierter Security-Abfragen überwacht es die SAP Mandantenänderbarkeit und SAP Berechtigungen zuzüglich SAP Parameter. Die interne IT wird sofort auf Sicherheitslücken hingewiesen und kann unverzüglich schliessen. Das verhindert den Missbrauch höherer SAP Berechtigungen, Trends lassen sich ablesen und über automatisierte Reports sofort wichtige Nachweise für SAP Security Audits erstellen.
  • Die im NIST-Framework enthaltenen Sicherheitskontrollen gewährleisten eine robuste Resilienz und Verteidigung gegen Cyberangriffe.
  • itesys bietet Awareness-Schulungen für die Beschäftigten seiner Kunden, um deren Bewusstsein für Cybersecurity weiter zu stärken und die Sicherheitskultur im Unternehmen kontinuierlich zu festigen.

Um eine SAP Landschaft vollständig zu überwachen und bestmöglich abzusichern, sollten die skizzierten Services zu einem ganzheitlichen, massgeschneiderten Konzept verbunden werden – einer «Security Wall» mit nahtlos ineinandergreifenden Bausteinen. itesys bietet dies auch als Managed Services über sein SAP Security Operations Center (SOC) an. Gemäss spezifischer Anforderungen und Zielsetzungen lassen sich die Services auswählen und zusammenfügen. Vorteil: Die SAP Basis wird entlastet, denn die SAP Landschaft wird darüber rund um die Uhr die Sicherheit optimiert.


Der Kundennutzen

Durch die Implementierung des NIST-Frameworks in die einzelnen Services von itesys reduzierst du als SAP-Anwenderunternehmen deine Angriffsfläche und schützt sensible Informationen vor unbefugtem Zugriff. Mit dem Rahmenwerk verfügst du über einen Leitfaden für wichtige Entscheidungen über Risikomanagementaktivitäten auf verschiedenen Ebenen deiner Organisation. Damit verbesserst du deine Compliance und kannst dich zugleich dank optimierter Cybersicherheitsstrategie auf deine Kernkompetenzen konzentrieren, ohne dich tiefergehend mit Sicherheitsproblemen auseinandersetzen zu müssen. Und schliesslich: Du kannst 100%iges Vertrauen in die Fähigkeiten und Praktiken deiner Cybersecurity-Lösung sowie deines Partners itesys haben. Denn das NIST-Framework basiert auf international anerkannten Standards und Best Practices.

Mehr Infos?

Mit unserer «SAP Security Wall» sind deine Systeme geschützt. Du willst mehr über unsere Services zu SAP Security & Compliance erfahren?