Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen
Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich der SAP-Umgebungen von Unternehmen, schweren Cybervorfällen standhalten und sich davon erholen können.
Dieser technische Leitfaden erläutert die betrieblichen Verpflichtungen im Rahmen von DORA und ordnet ihnen direkt die automatisierten SAP-Sicherheitsfunktionen zu, die zur Erreichung und Aufrechterhaltung der Compliance erforderlich sind.
Anpassung der SAP-Sicherheit an die fünf Säulen von DORA
Das Gesetz zur digitalen Betriebsresilienz (Digital Operational Resilience Act) stützt sich auf fünf Grundpfeiler, die Finanzinstitute dazu verpflichten, ein kontinuierliches Risikomanagement, eine schnelle Meldung von Vorfällen sowie umfassende Resilienzprüfungen für alle kritischen IKT-Systeme einzuführen.
Um SAP-Umgebungen gemäß DORA abzusichern, müssen Unternehmen ihre technischen Sicherheitsmaßnahmen direkt auf den regulatorischen Rahmen abstimmen.
Säule 1: IKT-Risikomanagement
DORA schreibt die kontinuierliche Überwachung von Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) vor und verlangt von Organisationen, widerstandsfähige Architekturen sowie automatisierte Protokolle für das Patch-Management zu unterhalten. Für SAP-Umgebungen erfordert dies kontinuierliche Schwachstellenanalysen und eine strenge Konfigurationsüberwachung. Sicherheitsteams müssen systematisch fehlende SAP-Sicherheitshinweise, unsichere Systemkonfigurationen und Berechtigungslücken identifizieren, um die Anwendungsebene gegen Angriffe abzusichern. Durch den Einsatz von Lösungen wie Onapsis Assess bietet „automatisierte Transparenz“, um sichere Baselines durchzusetzen. Es übernimmt die kontinuierliche Identifizierung fehlender SAP-Sicherheitshinweise, Fehlkonfigurationen und Autorisierungsmängel, um die Anforderungen an eine widerstandsfähige Architektur zu erfüllen.
Säule 2: Meldung von IKT-bezogenen Vorfällen
Finanzinstitute müssen schwerwiegende IKT-bezogene Vorfälle innerhalb strenger Fristen erkennen und den Aufsichtsbehörden melden. Um diese Meldepflichten zu erfüllen, sind Echtzeit-Fähigkeiten zur Erkennung von Bedrohungen erforderlich, die speziell auf die SAP-Anwendungsebene zugeschnitten sind. Unternehmen müssen die SAP-Telemetrie direkt in ihre unternehmensweiten SIEM-Lösungen (Security Information and Event Management) integrieren. Einsatz von Onapsis Defend fungiert als Brücke zwischen SAP und dem SIEM. Es erfasst Rohdaten zu Ereignissen (Telemetrie) aus der SAP-Anwendungsschicht, sodass das SOC Bedrohungen in Echtzeit erkennen und die strengen Meldefristen von DORA einhalten kann.
Säule 3: Prüfung der digitalen Betriebsstabilität
Die Verordnung schreibt regelmäßige Schwachstellen-Scans sowie für bedeutende Unternehmen erweiterte, bedrohungsorientierte Penetrationstests (TLPT) auf Live-Produktionssystemen vor. Die Integration eines automatisierten Schwachstellenmanagements liefert einen kontinuierlichen Nachweis der Widerstandsfähigkeit. Sicherheitsteams, die Onapsis Assess einsetzen, Assess kontinuierliche Scans in der gesamten SAP-Architektur durchführen, um die Abwehrmaßnahmen zu überprüfen und sicherzustellen, dass Schwachstellen behoben werden, bevor Angreifer sie ausnutzen können.
Säule 4: Risikomanagement bei IKT-Drittanbietern
Unternehmen müssen die Risiken, die durch externe Softwareanbieter, Systemintegratoren und Drittentwickler entstehen, konsequent managen. Da SAP-Umgebungen in hohem Maße auf benutzerdefiniertem ABAP-Code und der Integration externer Anwendungen beruhen, müssen Unternehmen automatisierte Anwendungssicherheitstests (AST) einsetzen. Validierung von benutzerdefiniertem Code und „Transports“ von Drittanbietern (Software-Updates/Änderungen) mit Onapsis Control vor der Bereitstellung in Produktionsumgebungen verhindert, dass externe Schwachstellen das zentrale ERP-System gefährden.
Säule 5: Informations- und Nachrichtenaustausch
DORA ermutigt Finanzinstitute, threat intelligence sicher auszutauschen, threat intelligence die kollektive Widerstandsfähigkeit des europäischen Finanzsektors threat intelligence stärken. Durch die Nutzung spezialisierter, SAP-integrierter threat intelligence Unternehmen aktiv an diesen Austauschmechanismen teilnehmen. Der Zugriff auf spezielle Forschungsergebnisse der Onapsis Research Labs zu Zero-Day-Exploits und Angriffstaktiken ermöglicht es Finanzinstituten, Bedrohungen zu antizipieren und proaktive Abwehrmaßnahmen zu ergreifen. So können Unternehmen Zero-Day-Exploits und Angriffstaktiken frühzeitig erkennen und damit das DORA-Ziel des proaktiven Informationsaustauschs erfüllen.
Automatisierung der technischen Validierung der DORA-Konformität
Durch die Automatisierung der Sicherheitsabläufe können Finanzinstitute ihre Abwehrbereitschaft kontinuierlich überprüfen und so den von den Aufsichtsbehörden geforderten technischen Nachweis ihrer Widerstandsfähigkeit erbringen.
Manuelle Compliance-Prüfungen bieten nicht die von DORA geforderte Echtzeit-Transparenz. Die Aufsichtsbehörden erwarten von Unternehmen, dass sie control kontinuierliche control ihre kritischen IT-Umgebungen nachweisen. Die Platform diese Anforderung Platform , indem sie die SAP-Landschaft kontinuierlich anhand der neuesten threat intelligence bewertet.
Während sich Finanzinstitute an die spezifischen DORA-Vorgaben anpassen, können Unternehmen bereits vorhandene, sofort einsatzbereite Compliance-Prüfungen für strenge parallele Standards wie NIS2 und NIST nutzen. Damit wird die grundlegende Schwachstellenverwaltung und Konfigurationssteuerung geschaffen, die erforderlich ist, um internen und externen Prüfern die operative Widerstandsfähigkeit nachzuweisen. Die Platform das Herzstück der Automatisierung der fünf Säulen von DORA.
Häufig gestellte Fragen
Inwiefern gilt Säule 1 der DORA-Verordnung für SAP-Systeme?
Säule 1 verlangt von Unternehmen die Einrichtung solider Rahmenwerke für das IKT-Risikomanagement, was sich unmittelbar in einem kontinuierlichen Schwachstellenmanagement und der Anwendung von Patches innerhalb der SAP-Landschaft niederschlägt. Sicherheitsteams müssen die Erkennung und Behebung von Fehlkonfigurationen sowie das Nachholen fehlender SAP-Sicherheitshinweise automatisieren, um eine widerstandsfähige Architektur aufrechtzuerhalten.
Warum ist eine SIEM-Integration für DORA Säule 2 erforderlich?
DORA Säule 2 schreibt eine schnelle Meldung von Vorfällen vor und verpflichtet Unternehmen dazu, SAP-Bedrohungsdaten direkt in ihre zentralen SIEM-Plattformen einzuspeisen. Diese Integration ermöglicht es SOC-Teams, Angriffe auf Anwendungsebene in Echtzeit zu erkennen und strenge gesetzliche Meldefristen einzuhalten.
Was versteht man unter „Threat-Led Penetration Testing“ (TLPT) im Rahmen von DORA?
Das bedrohungsorientierte Penetrationstestverfahren ist eine Anforderung an die Robustheitsprüfung im Rahmen von Säule 3, bei der Unternehmen ausgefeilte Cyberangriffe auf live betriebene Produktionssysteme simulieren. In SAP-Umgebungen erfordert dies die Identifizierung bestehender Schwachstellen sowie den Nachweis der Fähigkeit, aktive Ausnutzungsversuche zu erkennen und darauf zu reagieren.
Wie gehen Unternehmen mit Risiken durch Dritte in SAP um?
Die Steuerung von Risiken durch Dritte im Rahmen von Säule 4 der DORA-Richtlinie erfordert von Finanzinstituten eine gründliche Überprüfung von benutzerdefiniertem ABAP-Code und Transporten, die von externen Entwicklern bereitgestellt werden. Automatisierte Tests der Anwendungssicherheit verhindern, dass Systemintegratoren versehentlich kritische Schwachstellen in die zentrale ERP-Umgebung einbringen.