
Caroline Kiel vom Berliner Systemhaus Pingus: Gemeinsam mit dem Trend Micro Incident Reponse Team konnten die Security-Experten das Schlimmste verhindern bei Modeanbieter Görgens Gruppe.
„Um 8.30 Uhr klingelte bei mir das Telefon", erinnert sich Caroline Kiel, Geschäftsführerin und CEO von Pingus Solutions. IT-Leiter Marc Dugas von G+C Dienstleistungs GmbH hat einen Verdacht und will sich nicht ausmalen, wenn er richtig liegt. 150 Filialen in Deutschland, Österreich und den Niederlanden des Modeanbieters Görgens Gruppe aus Köln bedeuten 150 Kassensysteme, dazu die Markenwebseiten Olymp&Hades und Kult für die Young-Fashion-Klientel: Nicht auszudenken, wenn diese Systeme lahm liegen würden, für die G+C, der interne IT-Dienstleister von Görgens Gruppe, zuständig ist.
Dugas weiß es nicht erst seit gestern, dass sein kleines Team auch so schon sehr eingespannt ist, die IT-Infrastruktur am Laufen zu halten. "Mit vier Leuten im Team eine gewaltige Herausforderung," sagt er. Die IT-Sicherheitsthemen dabei stets mit im Blick zu behalten und mit den Entwicklungen Schritt zu halten, sei "praktisch nicht zu stemmen".
Und nun also ein Hackerangriff, wie ihm kurz vor dem Telefonat mit Caroline Kiel das Trend Micro Incident Response Team in Irland bestätigte: Das zentrale ERP-System ist gefährdet. Jetzt zählt jede Minute. Kiels Anweisung: "Alles Internetverbindungen kappen und die Maschinen nicht mehr anfassen!"
IT-Experten vereinen ihre Kräfte
Das Incident Response Team beginnt umgehend mit der forensischen Untersuchung des Vorfalls, in enger Zusammenarbeit mit den Berliner IT-Sicherheitsexperten von Kiels Pingus und G+C. Die Vision-One-Konsole von Trend Micro zeigt den Ablauf des Angriffs und die betroffenen Systeme. Wie sich schnell zeigt, sind an der Hackerattacke zwei Gruppen beteiligt: Der erste Einbruch hatte schon drei Monate zuvor stattgefunden, begünstigt durch eine Fehlkonfiguration, die niemand im IT-Team bemerkt hatte. Über die "Log4Shell"-Schwachstelle in einer Java-Applikation drang diese Hackergruppe in das System ein. Sie öffnete der zweiten Gruppe die Tür, die wahrscheinlich Systeme verschlüsseln und Lösegeld erpressen wollte. Gängige Arbeitsteilung auch in der Cybercrime-Industrie.
G+C reagiert sofort: IT-Leiter Dugas kappt die Internetleitung, rettet so geschäftskritische Daten und Systeme. Gleichzeitig trennt er damit aber auch 150 Filialen vom Netz. Sie können keine Ware ordern, diese auch nicht mehr umlagern und keine Bon-Journale übertragen. In der Unternehmensleitung der Görgens Gruppe diskutiert man nicht lange den nötigen Offline-Status, was so auch nicht bei jedem Kunden üblich ist.
Jene Daten, welche die Hacker davor abziehen konnten, stammten ausschließlich aus den internen Datenbeständen des Modeanbieters. Kundendaten sind also von der Attacke nicht betroffen. Nun zahlt sich aus, dass die Görgens Gruppe eher konservativ mit der Digitalisierung umgeht und diese Daten nicht online speichert. Auch das Tagesgeschäft läuft aktuell noch über Kassensysteme, die nicht permanent am Internet hängen müssen.
Letzteres ist ein Vorteil, denn während die Filialen autonom weiterarbeiten können, säubern die IT-Security-Experten die Systeme gründlich uns stellen sicher, dass keine Überreste der Hacker-Tools zurückblieben.
"Nach zweieinhalb Wochen haben wir die Systeme sukzessive wieder hochgefahren. Der Zeitraum wäre für stärker vernetzte Unternehmen völlig indiskutabel. Die könnten das gar nicht. Aber da wir am Anfang nicht wussten, zu welchem Zeitpunkt die Daten exportiert wurden, hätten wir auch nicht sagen können, wir rollen einfach mit einem Backup drei Tage zurück," stellt Dugas resümiert der IT-Leiter.
Nicht ob, sondern wann ein Unternehmen angegriffen wird, ist doch die Frage
Der Cyber-Angriff auf den Modeanbieter fällt just in den Zeitpunkt, als Trend Micro-Partner Pingus den internen Dienstleister G+C im Zuge von Lizenzverlängerungen beim Aufsetzen einer neuen Sicherheits-Architektur hilft, die auf hybride IT-Umgebungen zugeschnitten ist. Viele Sicherheitsprodukte waren gar nicht mehr im Einsatz, so war IT-Leiter Dugas zum Beispiel mit dem bisherigen Firewall-Konzept unzufrieden und wandte sich deshalb an den Trend Micro-Vertrieb. Der empfahl ihm den Managed Services Provider Pingus aus Berlin
Der IT-Security-Spezialist erstellte ein Sicherheitskonzept und half im Vorfeld schon einmal, den Produktfuhrpark zu verschlanken, um Lizenzkosten zu sparen und das Sicherheitsmanagement zu vereinfachen.
Im Zuge dessen wechselte G+C von der On-Premises-Version der Sicherheitslösung Trend Micro Apex One zu Apex One as a Service in der Cloud. Das Cloud-Produkt sollte die mittlerweile in eine hybride IT-Umgebung eingebetteten Endgeräte wie PCs schützen. Gleichzeitig führte der IT-Dienstleister Trend Micro Cloud App Security ein, damit Web-Applikationen wie Microsoft Exchange Online, Teams und OneDrive mit abgedeckt waren.
Dugas wollte auch eventuelle Bedrohungen schneller und besser erkennen und darauf reagieren können. Wie wenn er es geahnt hätte, was fast jede IT-Security-Studie mahnend erwähnt: Nicht ob ein Unternehmen von Hackern angegriffen wird, ist die Frage, sondern wann.
Aus diesem Grund entschied sich G+C, die übergreifende XDR-Technologie ("Extended Detection and Response") über die Trend Micro Vision-One-Plattform zu installieren. Eine zentrale Plattform, in der verschiedene Sicherheitsprodukte integriert sind und die eine umfassende Übersicht über die IT-Sicherheitslage eines Unternehmens bietet (siehe oben). Diese Technologie betrieb der IT-Dienstleister selbst.
Seite 2: SOC 24/7 - notwendig, aber ...