Hackerangriff: Beim Dienstleister zählt jede Minute
Als ob es der IT-Dienstleister der Modekette Görgens Gruppe geahnt hätte: Noch während der Umsetzung eines besseren Security-Schutzes mit Hilfe des Trend Micro-Partners Pingus, klingelte bei Caroline Kiel das Telefon. Hacker waren längst im Firmennetzwerk, nun starteten sie den Angriff auf das ERP-System. Ein Wettlauf mit der Zeit: Hacker gegen Incident Response Team. Lehren aus einen alltäglichen Cybervorfall.
„Um 8.30 Uhr klingelte bei mir das Telefon", erinnert sich Caroline Kiel, Geschäftsführerin und CEO von Pingus Solutions. IT-Leiter Marc Dugas von G+C Dienstleistungs GmbH hat einen Verdacht und will sich nicht ausmalen, wenn er richtig liegt. 150 Filialen in Deutschland, Österreich und den Niederlanden des Modeanbieters Görgens Gruppe aus Köln bedeuten 150 Kassensysteme, dazu die Markenwebseiten Olymp&Hades und Kult für die Young-Fashion-Klientel: Nicht auszudenken, wenn diese Systeme lahm liegen würden, für die G+C, der interne IT-Dienstleister von Görgens Gruppe, zuständig ist.
Dugas weiß es nicht erst seit gestern, dass sein kleines Team auch so schon sehr eingespannt ist, die IT-Infrastruktur am Laufen zu halten. "Mit vier Leuten im Team eine gewaltige Herausforderung," sagt er. Die IT-Sicherheitsthemen dabei stets mit im Blick zu behalten und mit den Entwicklungen Schritt zu halten, sei "praktisch nicht zu stemmen".
Und nun also ein Hackerangriff, wie ihm kurz vor dem Telefonat mit Caroline Kiel das Trend Micro Incident Response Team in Irland bestätigte: Das zentrale ERP-System ist gefährdet. Jetzt zählt jede Minute. Kiels Anweisung: "Alles Internetverbindungen kappen und die Maschinen nicht mehr anfassen!"
IT-Experten vereinen ihre Kräfte
Das Incident Response Team beginnt umgehend mit der forensischen Untersuchung des Vorfalls, in enger Zusammenarbeit mit den Berliner IT-Sicherheitsexperten von Kiels Pingus und G+C. Die Vision-One-Konsole von Trend Micro zeigt den Ablauf des Angriffs und die betroffenen Systeme. Wie sich schnell zeigt, sind an der Hackerattacke zwei Gruppen beteiligt: Der erste Einbruch hatte schon drei Monate zuvor stattgefunden, begünstigt durch eine Fehlkonfiguration, die niemand im IT-Team bemerkt hatte. Über die "Log4Shell"-Schwachstelle in einer Java-Applikation drang diese Hackergruppe in das System ein. Sie öffnete der zweiten Gruppe die Tür, die wahrscheinlich Systeme verschlüsseln und Lösegeld erpressen wollte. Gängige Arbeitsteilung auch in der Cybercrime-Industrie.
G+C reagiert sofort: IT-Leiter Dugas kappt die Internetleitung, rettet so geschäftskritische Daten und Systeme. Gleichzeitig trennt er damit aber auch 150 Filialen vom Netz. Sie können keine Ware ordern, diese auch nicht mehr umlagern und keine Bon-Journale übertragen. In der Unternehmensleitung der Görgens Gruppe diskutiert man nicht lange den nötigen Offline-Status, was so auch nicht bei jedem Kunden üblich ist.
Jene Daten, welche die Hacker davor abziehen konnten, stammten ausschließlich aus den internen Datenbeständen des Modeanbieters. Kundendaten sind also von der Attacke nicht betroffen. Nun zahlt sich aus, dass die Görgens Gruppe eher konservativ mit der Digitalisierung umgeht und diese Daten nicht online speichert. Auch das Tagesgeschäft läuft aktuell noch über Kassensysteme, die nicht permanent am Internet hängen müssen.
Letzteres ist ein Vorteil, denn während die Filialen autonom weiterarbeiten können, säubern die IT-Security-Experten die Systeme gründlich uns stellen sicher, dass keine Überreste der Hacker-Tools zurückblieben.
"Nach zweieinhalb Wochen haben wir die Systeme sukzessive wieder hochgefahren. Der Zeitraum wäre für stärker vernetzte Unternehmen völlig indiskutabel. Die könnten das gar nicht. Aber da wir am Anfang nicht wussten, zu welchem Zeitpunkt die Daten exportiert wurden, hätten wir auch nicht sagen können, wir rollen einfach mit einem Backup drei Tage zurück," stellt Dugas resümiert der IT-Leiter.
Nicht ob, sondern wann ein Unternehmen angegriffen wird, ist doch die Frage
Der Cyber-Angriff auf den Modeanbieter fällt just in den Zeitpunkt, als Trend Micro-Partner Pingus den internen Dienstleister G+C im Zuge von Lizenzverlängerungen beim Aufsetzen einer neuen Sicherheits-Architektur hilft, die auf hybride IT-Umgebungen zugeschnitten ist. Viele Sicherheitsprodukte waren gar nicht mehr im Einsatz, so war IT-Leiter Dugas zum Beispiel mit dem bisherigen Firewall-Konzept unzufrieden und wandte sich deshalb an den Trend Micro-Vertrieb. Der empfahl ihm den Managed Services Provider Pingus aus Berlin
Der IT-Security-Spezialist erstellte ein Sicherheitskonzept und half im Vorfeld schon einmal, den Produktfuhrpark zu verschlanken, um Lizenzkosten zu sparen und das Sicherheitsmanagement zu vereinfachen.
Im Zuge dessen wechselte G+C von der On-Premises-Version der Sicherheitslösung Trend Micro Apex One zu Apex One as a Service in der Cloud. Das Cloud-Produkt sollte die mittlerweile in eine hybride IT-Umgebung eingebetteten Endgeräte wie PCs schützen. Gleichzeitig führte der IT-Dienstleister Trend Micro Cloud App Security ein, damit Web-Applikationen wie Microsoft Exchange Online, Teams und OneDrive mit abgedeckt waren.
Dugas wollte auch eventuelle Bedrohungen schneller und besser erkennen und darauf reagieren können. Wie wenn er es geahnt hätte, was fast jede IT-Security-Studie mahnend erwähnt: Nicht ob ein Unternehmen von Hackern angegriffen wird, ist die Frage, sondern wann.
Aus diesem Grund entschied sich G+C, die übergreifende XDR-Technologie ("Extended Detection and Response") über die Trend Micro Vision-One-Plattform zu installieren. Eine zentrale Plattform, in der verschiedene Sicherheitsprodukte integriert sind und die eine umfassende Übersicht über die IT-Sicherheitslage eines Unternehmens bietet (siehe oben). Diese Technologie betrieb der IT-Dienstleister selbst.
Seite 2: SOC 24/7 - notwendig, aber ...
Hackerangriff: Beim Dienstleister zählt jede Minute
Als ob es der IT-Dienstleister der Modekette Görgens Gruppe geahnt hätte: Noch während der Umsetzung eines besseren Security-Schutzes mit Hilfe des Trend Micro-Partners Pingus, klingelte bei Caroline Kiel das Telefon. Hacker waren längst im Firmennetzwerk, nun starteten sie den Angriff auf das ERP-System. Ein Wettlauf mit der Zeit: Hacker gegen Incident Response Team. Lehren aus einen alltäglichen Cybervorfall.
Lehren aus dem Vorfall bei Görgens Gruppe
Der Unternehmensleitung wurde bewusst, wie komplex moderne Cyberangriffe heute sind. Sie beschloss daher, die Schutzmaßnahmen weiter aufzustocken und der von den Security-Fachleuten vorgeschlagene Sicherheitsstrategie zu folgen. In einem neuen Managed-XDR-Service überwachen Sicherheitsanalysten von Trend Micro jetzt ständig die Systeme, um Bedrohungen bereits im Vorfeld zu erkennen. Dem Team von G+C stehen dabei zudem noch die Security Expert Services von Pingus zur Seite.
Mit diesen Maßnahmen wurden gleichzeitig auch die Warn-Prozesse festgelegt: Die spezialisierten Trend Micro-Experten übernehmen 24/7 das Monitoring der XDR-Konsole und verständigen das IT-Team, wenn das System bedroht wird.
Da sie die Systeme vieler Unternehmen weltweit betreuen und dabei auf globale Bedrohungsinformationen zurückgreifen, wissen sie, wie die Bedrohungslandschaft aussieht, und können gezielt nach bisher unbekannten Angriffsmustern suchen. Sollten sie Hinweise auf eine Bedrohung erhalten, werden zeitgleich auch die IT-Security-Experten in Berlin benachrichtigt.
SOC-Monitoring 24/7: Können viele nicht leisten
Die neue Security-Aufstellung reduziert für das G+C-Team viel an Komplexität und entlastet es. Dugas schätzt sehr, dass er jetzt Fachleute im Hintergrund hat, auf die er sich verlassen kann. "Sie verfügen", sagt er, "über Skills, die wir intern nicht haben, und sind in Sachen Sicherheit immer auf dem Laufenden." Das beruhigt ihn. Denn wie ihm der Vorfall deutlich gezeigt hat, ist es zwar möglich, aber nicht unbedingt sinnvoll, SOC-Systeme selbst zu betreiben. Was im Übrigen auch für die meisten MSSPs oder Systemhäuser gilt, die sich aufgrund ihrer Größe und fehlendem Fachpersonal einen 24/7-Schichtbetrieb gar nicht leisten können.