Kürzlich ließ mich die Überschrift einer Pressemitteilung aufhorchen: „Häfele übersteht Cyber-Angriff mit Hilfe von Dell Technologies nahezu unbeschadet“. Die Meldung gewährte einen Blick hinter die Kulissen der Ransomware-Mitigation bei einem international tätigen Mittelständler. Doch hinter Kulissen ist selten alles Gold, was in Überschriften gülden glänzt.
Die Häfele Gruppe, ein Anbieter von Möbel- und Baubeschlägen, elektronischen Schließsystemen und LED-Beleuchtung, hat laut Dells Verlautbarung einen Cyberangriff „erfolgreich gemeistert“. Yeah, Baby! High five! Einen Ransomware-Angriff „erfolgreich meistern“ und „nahezu unbeschadet“ überstehen – wie geil ist das denn??
Alles klar, dachte ich, da hat wohl endlich mal ein Unternehmen konsequent das umgesetzt, wovon uns Security-Marketiers immer vorschwärmen: eine KI-gestützte Echtzeit-Angriffserkennung mit hochgradiger Netzwerksegmentierung, automatisierter Isolation des Eintrittspunkts, zügiger Mitigation des Angriffs und einem manipulationssicheren Data Vault, sodass gemäß dem Lieblingsmotto aller Motivationstrainer – „Stolpern, aufstehen, Krönchen richten, weitergehen!“ – der Alltagsbetrieb sofort wieder fröhlich voranschreiten konnte.
So war das doch sicher, oder?
Schweigen.
… oder ???
Räuspern in den hinteren Reihen.
Vereinzeltes Blättern in Unterlagen.
In der Ferne schreckt eine Taube auf und flattert davon.
„Fast alle Geräte und Systeme waren mit Malware infiziert und verschlüsselt, sodass die IT nicht mehr funktionierte.“ Ja nee, is’ klar, und weiter? „Dank der Lösungen und Services von Dell Technologies konnte das weltweit tätige Unternehmen innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren.“
O… kay. Ransomware „nahezu unbeschadet“ zu überstehen bedeutet also für ein gestandenes Unternehmen – die Häfele-Gruppe hat laut eigenen Angaben 8.000 Beschäftigte, 38 Tochterunternehmen und erzielte im Geschäftsjahr 2023 einen Umsatz von 1,71 Mrd. Euro – eine Rückkehr zum Normalbetrieb „innerhalb weniger Monate“?
Ablauf der Mitigation
In der Tat fasst Dell die Reaktion auf den Ransomware-Angriff, der am 2. Februar 2023 erfolgt war, so zusammen: „Nach nicht einmal zwei Wochen waren der Verzeichnisdienst Microsoft Active Directory, der Mail-Server und der Zugriff auf Office 365 wiederhergestellt.“ Nach sechs Wochen habe man dann das ERP- und das Shop-System wieder in Betrieb genommen, sodass Häfele Bestellungen wieder bearbeiten und abrechnen konnte. „Danach folgten Schritt für Schritt alle anderen Häfele-Workflows, der letzte war Ende des Jahres ‚repariert‘“, so Dell. „Ende letzten Jahres“. Also elf Monate nach dem Ransomware-Befall.
Anders formuliert: Zwei Wochen lang ging bei Häfele erst mal gar nix mehr – ohne AD, Mail-Server und Office-Apps bist du im modernen Geschäftsleben ein Robinson auf einsamer Insel und bohrst mit spitzem Stein Löcher in Kokosnüsse. Und Order-to-Cash – sprich: das Kerngeschäft – konnte erst nach sechs Wochen wieder IT-gestützt ablaufen. Das ist ein Zeitraum, nach dem manch ein Unternehmen wohl schon auf dem bröcklenden Rand einer Insolvenz balancieren würde. Gut für Häfele, dass es dort nicht so war!
Vielmehr zeigt sich der Dell-Kunde mit Art und Tempo der Mitigation durchaus zufrieden – immerhin so sehr, dass er mit Dell eine gemeinsame Pressemeldung dazu herausgibt. „Hand in Hand haben die Experten weltweit zusammengearbeitet, damit wir schnell wieder zum normalen Geschäftsalltag zurückkehren konnten“, zitiert Dells Pressemeldung Daniel Feinler, den CISO bei der Häfele Gruppe.
Zahlreiche Einzelschritte der Wiederherstellung
Es mag ja sein, dass Häfele mit dieser Ransomware-Mitigation relativ gut im Schnitt lag. Denn so etwas erfordert zahlreiche Schritte, wie die Pressemeldung darlegt: Die Cyberkriminellen hatten für ihren Angriff Verschlüsselungssoftware der RaaS-Gruppierung (Ransomware as a Service) LockBit genutzt. Häfele war damit gezwungen, seine komplette IT herunterzufahren und vom Netz zu nehmen: Produktion und Logistik weltweit standen still, Website und Shop ebenso. Nur wenige Stunden nach dem Ransomware-Befall begannen laut Dell erste Gegenmaßnahmen. „Weltweit arbeiteten in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen“, so Dell.
Häfeles Backup-Lösung, natürlich aus dem Hause Dell, entkam laut Angaben des IT-Ausrüsters als einziges System im Netzwerk der Zwangsverschlüsselung. Damit hatte das Unternehmen also noch Zugriff auf Daten, Konfigurationsdateien und Passwörter. Dies habe den Neustart der Infrastruktur erleichtert.
Häfele entschied laut Pressemeldung, weltweit alle Geräte und das Netzwerk neu aufzusetzen, und brachte nun auch seine IT-Sicherheitsarchitektur auf den neuesten Stand: mit Zero-Trust-Ansatz, SASE (Secure Access Service Edge), Netzwerksegmentierung, Härtung der gesamten Infrastruktur, Schwachstellenmanagement und Penetrationstests. Man habe ein SIEM-System (Security Information and Event Management) und ein externes SOC (Security Operations Center) zur 24×7-Überwachung des Netzwerks eingerichtet und MDR-Services (Managed Detection and Response) für 9.000 Endgeräte bestellt.
Sprich: Häfele gehört zu den unzähligen Unternehmen, die ihre IT-Sicherheitsarchitektur erst dann auf den Stand der Technik bringen, wenn das Umsatzkind in den Ransomware-Brunnen gefallen ist.
Dass Dell und Häfele mit dem Verlauf ihrer Vorfallsreaktion so zufrieden sind, dass sie gleich den Pressemitteilungskorken knallen lassen, ist schön für beide. Bei mir aber hinterließ diese Meldung ein flaues Bauchgefühl. Und die Gewissheit: Wenn die Messlatte für „erfolgreiche“ Abwehr so niedrig liegt, dann haben unsere Unternehmen eine Regulierung durch die EU-Richtlinie NIS 2, die ein Cyberrisikomanagement nach dem Stand der Technik einfordert, dringend nötig.
Also dass mir in puncto NIS 2 bitte keiner über „die da in Brüssel“ und „EU-Regulierungswahn“ schimpft, ja? Denn ein mehrwöchiger Ausfall von Kernprozessen dehnt die Formulierung „nahezu unbeschadet“ so weit, dass es quietscht. Und dieses Geräusch sollten wir besser in Zukunft ebenso selten zu hören bekommen wie das Aufplatschen in den Brunnen gefallener Kinder.
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bild: Häfele Gruppe/Dr. Wilhelm Greiner
Cartoon: (c) Wolfgang Traub
IT Info 2 Go 