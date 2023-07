Anfang Februar 2023 wurde Häfele Opfer eines Cyberangriffs. "Weltweit standen erstmal alle unsere auf IT-basierenden Prozesse still", schildert CISO Daniel Feinler gegenüber inisde-it.ch den Moment, als der Vorfall bemerkt wurde. "Die Angreifer konnten sich Zugang in unser Netzwerk verschaffen und haben dann alle Windows-basierten Server und Client-Systeme verschlüsselt." Das heisst, alle 180 Standorte – darunter auch die Schweizer Niederlassung in Kreuzlingen – waren betroffen. 8000 Angestellte arbeiten beim deutschen Konzern, der auf Möbel, Baubeschläge und elektronische Schliesssysteme spezialisiert ist.

Für die Bereiche, die nach der Attacke nicht voll arbeitsfähig waren, wurde Kurzarbeit eingeführt. Jetzt, 6 Monate später, hat sich Häfele erholt. Auf Forderungen der Täter sei man nie eingetreten, betont Feinler. Zum Angriff bekannte sich mit Lockbit die aktuell umtriebigste Ransomware-Bande. Auch Daten griffen die Cyberkriminellen ab. Dabei handelte es sich vor allem um Finanzdaten, so der CISO.

Das Handbuch für den Notfall lag bereit

Daniel Feinler.

Der Worst Case traf das Unternehmen nicht völlig unvorbereitet. "Wir hatten für solche Fälle bereits ein Cyber-Incident-Handbuch entwickelt. In diesem steht, was in solchen Fällen unternommen werden muss. Das beginnt beim stromlos schalten von IT-Geräten, geht über zur Aktivierung unserer Forensik und Incident- und Response-Dienstleister bis hin zum Aufbau des Krisenstabs und der Kommunikationskette." Dabei habe man von Beginn weg auf einen konsequenten Neuaufbau der gesamten IT-Infrastruktur gesetzt, statt auf Wiederherstellung.

Nachdem das Backup verifiziert wurde und die Forensik grünes Licht gab, begann der Weg zurück in die Normalität. Nach dem Aufbau der neuen Basis-IT-Infrastruktur wurde als nächstes der Order-2-Cash-Prozess hergestellt. "Nach etwa 6 Tagen konnten wir unser Active Directory und die Cloud-Dienste wieder nutzen. Nach 2 Wochen war SAP wiederhergestellt und nach weiteren 2 Wochen waren Lagersteuerung sowie die Shop-Anbindung wiederhergestellt."

Jetzt wird Cybersecurity zentral bewertet und gesteuert

Als Häfele die Lockbit-Attacke traf, war das Unternehmen gerade in der Proof-of-Concept-Phase mit 2 Finalisten für ein SASE-Projekt (Secure Access Service Edge). "Bisher hatten wir IPsec-Verbindungen zwischen den relevanten Standorten im Mix mit Internet- und MPLS-Verbindungen", erklärt Feinler. Man habe sich dann sofort mit Cato Networks für einen der beiden Finalisten entschieden, diesen in den Neuaufbau eingebunden und eine SASE-Lösung implementiert. "Die Zusammenarbeit verlief sehr gut." Die Rückkehr zur vollen Operationsfähigkeit mit bereinigter IT-Infrastruktur sei in "Rekordzeit" gelungen.

Häfele-Niederlassung in China. Foto: Häfele

Jetzt verfüge man unter anderem über eine zentrale Verwaltung der Standorte und Mitarbeiterzugänge, Multi-Faktor-Authentifizierung für VPN, automatisierten DNS-Schutz und eine transparente Einsicht in die Netzwerknutzung. "Was wir weiter verändert haben, ist, dass wir Cybersicherheit in einer neuen Corporate Information Security Organisation bewerten und von dort aus auch zentral steuern", erklärt Daniel Feinler. "Wir vereinen in dieser Organisation das IT Risk Management, Governance, Audit und Compliance sowie das Vulnerability Management."

Was der CISO anderen Unternehmen empfiehlt

In den vergangenen Wochen baute Häfele auch eine komplett neue Sicherheitsarchitektur auf. "Diese erstreckt sich über alle Komponenten unserer Systemlandschaft: von komplett neuen Firewalls zum Schutz unserer zentralen Datenbanken, über stark gesicherte Netzwerke zur kontrollierten Durchleitung unserer Datenströme, bis hin zu neuesten Virenschutzprogrammen für die gesamte Computer-Hardware."

Trotzdem, der Angriff habe gezeigt, dass niemand zu 100% vor solch krimineller Energie geschützt sei. Der Häfele-CISO empfiehlt deshalb anderen Unternehmen: "Investieren Sie bei der Cyberabwehr sowohl in Hard- und Software (SASE, XDR, SIEM, SOC) als auch in Ihre Mitarbeitenden, in Schulungen für die Admins und in Awareness-Trainings für alle. Stellen Sie sicher, dass Sie über ein sicheres Backup (Air-Gap) verfügen und testen Sie den Restore regelmässig. Führen Sie, falls noch nicht geschehen, eine Netzwerksegmentierung ein und trennen Sie IT von OT. Etablieren Sie für alle Anmeldungen MFA. Beschäftigen Sie sich mit Ihrer Organisation und wie gut diese auf einen Cyberangriff vorbereitet ist."