Werden Sie kostenfrei Mitglied bei CRN, um den Newsletter zu abonnieren und vollen Zugriff auf alle Inhalte zu bekommen, einschließlich dem gesamten Archiv.

Hackerangriff: Beim Dienstleister zählt jede Minute

Als ob es der IT-Dienstleister der Modekette Görgens Gruppe geahnt hätte: Noch während der Umsetzung eines besseren Security-Schutzes mit Hilfe des Trend Micro-Partners Pingus, klingelte bei Caroline Kiel das Telefon. Hacker waren längst im Firmennetzwerk, nun starteten sie den Angriff auf das ERP-System. Ein Wettlauf mit der Zeit: Hacker gegen Incident Response Team. Lehren aus einen alltäglichen Cybervorfall.

Martin Fryba
clock • Lesezeit 5 Min.
Caroline Kiel vom Berliner Systemhaus Pingus: Gemeinsam mit dem Trend Micro Incident Reponse Team konnten die Security-Experten das Schlimmste verhindern bei Modeanbieter Görgens Gruppe.
Image:

Caroline Kiel vom Berliner Systemhaus Pingus: Gemeinsam mit dem Trend Micro Incident Reponse Team konnten die Security-Experten das Schlimmste verhindern bei Modeanbieter Görgens Gruppe.

„Um 8.30 Uhr klingelte bei mir das Telefon", erinnert sich Caroline Kiel, Geschäftsführerin und CEO von Pingus Solutions. IT-Leiter Marc Dugas von G+C Dienstleistungs GmbH hat einen Verdacht und will sich nicht ausmalen, wenn er richtig liegt. 150 Filialen in Deutschland, Österreich und den Niederlanden des Modeanbieters Görgens Gruppe aus Köln bedeuten 150 Kassensysteme, dazu die Markenwebseiten Olymp&Hades und Kult für die Young-Fashion-Klientel: Nicht auszudenken, wenn diese Systeme lahm liegen würden, für die G+C, der interne IT-Dienstleister von Görgens Gruppe, zuständig ist.

Dugas weiß es nicht erst seit gestern, dass sein kleines Team auch so schon sehr eingespannt ist, die IT-Infrastruktur am Laufen zu halten. "Mit vier Leuten im Team eine gewaltige Herausforderung," sagt er. Die IT-Sicherheitsthemen dabei stets mit im Blick zu behalten und mit den Entwicklungen Schritt zu halten, sei "praktisch nicht zu stemmen".

Und nun also ein Hackerangriff, wie ihm kurz vor dem Telefonat mit Caroline Kiel das Trend Micro Incident Response Team in Irland bestätigte: Das zentrale ERP-System ist gefährdet. Jetzt zählt jede Minute. Kiels Anweisung: "Alles Internetverbindungen kappen und die Maschinen nicht mehr anfassen!"

IT-Experten vereinen ihre Kräfte

Das Incident Response Team beginnt umgehend mit der forensischen Untersuchung des Vorfalls, in enger Zusammenarbeit mit den Berliner IT-Sicherheitsexperten von Kiels Pingus und G+C. Die Vision-One-Konsole von Trend Micro zeigt den Ablauf des Angriffs und die betroffenen Systeme. Wie sich schnell zeigt, sind an der Hackerattacke zwei Gruppen beteiligt: Der erste Einbruch hatte schon drei Monate zuvor stattgefunden, begünstigt durch eine Fehlkonfiguration, die niemand im IT-Team bemerkt hatte. Über die "Log4Shell"-Schwachstelle in einer Java-Applikation drang diese Hackergruppe in das System ein. Sie öffnete der zweiten Gruppe die Tür, die wahrscheinlich Systeme verschlüsseln und Lösegeld erpressen wollte. Gängige Arbeitsteilung auch in der Cybercrime-Industrie.

G+C reagiert sofort: IT-Leiter Dugas kappt die Internetleitung, rettet so geschäftskritische Daten und Systeme. Gleichzeitig trennt er damit aber auch 150 Filialen vom Netz. Sie können keine Ware ordern, diese auch nicht mehr umlagern und keine Bon-Journale übertragen. In der Unternehmensleitung der Görgens Gruppe diskutiert man nicht lange den nötigen Offline-Status, was so auch nicht bei jedem Kunden üblich ist.

Jene Daten, welche die Hacker davor abziehen konnten, stammten ausschließlich aus den internen Datenbeständen des Modeanbieters. Kundendaten sind also von der Attacke nicht betroffen. Nun zahlt sich aus, dass die Görgens Gruppe eher konservativ mit der Digitalisierung umgeht und diese Daten nicht online speichert. Auch das Tagesgeschäft läuft aktuell noch über Kassensysteme, die nicht permanent am Internet hängen müssen.

Letzteres ist ein Vorteil, denn während die Filialen autonom weiterarbeiten können, säubern die IT-Security-Experten die Systeme gründlich uns stellen sicher, dass keine Überreste der Hacker-Tools zurückblieben.

"Nach zweieinhalb Wochen haben wir die Systeme sukzessive wieder hochgefahren. Der Zeitraum wäre für stärker vernetzte Unternehmen völlig indiskutabel. Die könnten das gar nicht. Aber da wir am Anfang nicht wussten, zu welchem Zeitpunkt die Daten exportiert wurden, hätten wir auch nicht sagen können, wir rollen einfach mit einem Backup drei Tage zurück," stellt Dugas resümiert der IT-Leiter.

Nicht ob, sondern wann ein Unternehmen angegriffen wird, ist doch die Frage

Der Cyber-Angriff auf den Modeanbieter fällt just in den Zeitpunkt, als Trend Micro-Partner Pingus den internen Dienstleister G+C im Zuge von Lizenzverlängerungen beim Aufsetzen einer neuen Sicherheits-Architektur hilft, die auf hybride IT-Umgebungen zugeschnitten ist. Viele Sicherheitsprodukte waren gar nicht mehr im Einsatz, so war IT-Leiter Dugas zum Beispiel mit dem bisherigen Firewall-Konzept unzufrieden und wandte sich deshalb an den Trend Micro-Vertrieb. Der empfahl ihm den Managed Services Provider Pingus aus Berlin

Der IT-Security-Spezialist erstellte ein Sicherheitskonzept und half im Vorfeld schon einmal, den Produktfuhrpark zu verschlanken, um Lizenzkosten zu sparen und das Sicherheitsmanagement zu vereinfachen.

Im Zuge dessen wechselte G+C von der On-Premises-Version der Sicherheitslösung Trend Micro Apex One zu Apex One as a Service in der Cloud. Das Cloud-Produkt sollte die mittlerweile in eine hybride IT-Umgebung eingebetteten Endgeräte wie PCs schützen. Gleichzeitig führte der IT-Dienstleister Trend Micro Cloud App Security ein, damit Web-Applikationen wie Microsoft Exchange Online, Teams und OneDrive mit abgedeckt waren.

Dugas wollte auch eventuelle Bedrohungen schneller und besser erkennen und darauf reagieren können. Wie wenn er es geahnt hätte, was fast jede IT-Security-Studie mahnend erwähnt: Nicht ob ein Unternehmen von Hackern angegriffen wird, ist die Frage, sondern wann.

Aus diesem Grund entschied sich G+C, die übergreifende XDR-Technologie ("Extended Detection and Response") über die Trend Micro Vision-One-Plattform zu installieren. Eine zentrale Plattform, in der verschiedene Sicherheitsprodukte integriert sind und die eine umfassende Übersicht über die IT-Sicherheitslage eines Unternehmens bietet (siehe oben). Diese Technologie betrieb der IT-Dienstleister selbst.

Seite 2: SOC 24/7 - notwendig, aber ...

Könnte Sie auch interessieren
Ingram Micro-Manager Markus Vogt, Experte für Cybersecurity beim Distributor in Deutschland.

Distribution

Sich nur auf das Reselling von Security-Produkten verlegen, kann man machen, aber man bleibt austauschbar und die Türe zu höherwertigen Services bleiben zu. Ingram Micro will das ändern. Markus Vogt hat dafür ein neues Konzept. Es soll sogar den Notfall abdecken und Bekanntschaften mit Krokodilen verhindern.

clock 28. September 2023 • Lesezeit 3 Min.
Palo Alto Networks CEO Nikesh Arora: Seine SIEM-Lösung kommt im Markt gut an.

Hersteller

Die SIEM-Technologie von Splunk steht in harter Konkurrenz zur KI-gestützten XSIAM-Plattform von Palo Alto Networks. Ob sich der Kauf von Splunk für Cisco lohnen wird, bleibt abzuwarten.

clock 27. September 2023 • Lesezeit 3 Min.
WatchGuard stärkt KI-Sicherheitsangebot mit der Übernahme von CyGlass

Hersteller

Security-Hersteller WatchGuard will mit dem Kauf von CyGlass seine Plattform um KI- und ML-basierte Erkennung von Netzwerkanomalien stärken. Das Open XDR-Angebot wird nun ergänzt. Kapital für Übernahmen hatte sich der Hersteller bereits letzteres Jahr gesichert.

clock 25. September 2023 • Lesezeit 2 Min.
Martin Fryba
Autor im Rampenlicht

Martin Fryba

Anpackende Ingenieure, mutige Kaufleute, verrückte Self-Made-Glücksritter und jede Menge Pleitiers, über die CRN aus dem Channel berichtet. CRN? Channel? Dem Journalisten Martin Fryba wird 2001 als Einsteiger in den ITK-Handel schnell klar: Wer in die CRN kommt, findet im ITK-Channel Gehör – bisweilen mehr als ihm liebt ist. Die Goldenen Zeiten des PC-Zeitalters neigen sich zwar dem Ende zu, als Fryba für die weltweit bekannte, führende Channel-Publikation das Ressort „Börse & Finanzen“ sowie „Systemhaus“ auf- und ausbaut. Spannend bleibt es für den Journalisten allemal: Die Internetblase platzt, der Neue Markt wird wenige Jahre später nach zahlreichen Skandalen eingestellt, E-Commerce verändert den IT-Handel und die Distribution. Zunächst ASP, später Cloud Computing und Managed Services, aktuell Security, KI und Vernetzung und Enablement in Partnerökosystemen: Innovationen treiben das Business der Hersteller und ihrer Partner in einem heute äußert dynamischen IT-Markt an. Eine spannendere Branche gibt es nicht für Martin Fryba, der über Technologie und Strategien des Marktzugangs berichtet und mit tagesaktuellen Nachrichten den Channel auf dem Laufenden hält.

Meist gelesen
Bevorstehende Veranstaltungen
10 Oct
01:00PM
Conference

XChange EMEA

Registriere dich für unseren Newsletter

Die besten Nachrichten, Geschichten, Features und Fotos des Tages in einer perfekt gestalteten E-Mail.

Mehr von Security

Auf dem Tech Day bei G Data in Bochum  am 14.September abzuholen oder auf der G Data-Webseite downloaden: Nicht für Hacker geschrieben, aber auch gerne von ihnen gelesen.

Großer Irrtum: "IT-Sicherheit? Dafür sorgt doch unsere Technologie!"

Für fast die Hälfte aller Unternehmen ist IT-Security eine rein technologische Herausforderung. Schulungen der Beschäftigten halten sie für überflüssig. Im Falle eines Falles liegt ja bereits Lösegeld für Hacker in der Schublade. Der Channel muss noch viel aufklären. Ein Geschäft, in das einige Systemhäuser bereits eingestiegen sind und Partner mitverdienen lassen.

Martin Fryba
clock 13. September 2023 • Lesezeit 3 Min.
Healthcare-Branche: Kosten für Recovery nach Datenverschlüsselung hat sich verdoppelt

Healthcare-Branche: Kosten für Recovery nach Datenverschlüsselung hat sich verdoppelt

Backup und Recovery sind für IT-Security-Anbieter Sophos "Gamechanger". Denn ohne Lösungen für Datenwiederherstellung nach einem Cyberangriff explodieren die Kosten. Da nützt es auch nichts, dass der Gesundheitssektor weniger Ransomware-Attacken verzeichnet.

Martin Fryba
clock 12. September 2023 • Lesezeit 2 Min.
Tesla setzt auf ein eigenes Betriebssystem, andere Hersteller von Elektrofahrzeugen verwenden Googles Android  oder wie BYD HarmonyOS von Huawei.

Drei Einfallstore, wenn Hacker Elektroautos knacken wollen

Tesla und andere Elektrofahrzeuge sind vernetzt, ebenso Ladensäulen und bald schon Smart Cities, die mit Fahrzeugen kommunizieren sollen. Vermehrte Angriffe auf API-Schnittstellen sind nur noch eine Frage der Zeit.

Martin Fryba
clock 11. September 2023 • Lesezeit 2 Min.

Höhepunkte

KI-Assistent jetzt auch bei SAP

KI-Assistent jetzt auch bei SAP

SAP hat seinen KI-Copilot "Joule" vorgestellt. Mittelfristig soll der Sprachbot über das gesamten Enterprise Cloud-Portfolio hinweg für mehr Produktivität sorgen.

clock 29. September 2023 • Lesezeit 2 Min.
Aus für Windows-Server: ADN sieht viel Potenzial für Azure Virtual Desktop

Aus für Windows-Server: ADN sieht viel Potenzial für Azure Virtual Desktop

Systemhäuser müssen Alternativen ins Auge fassen, wenn Microsoft Windows Server 2016/2019/2022 in Rente schickt. Für Heiko Lossau von ADN gibt es ohnehin auch so gute Gründe, auf AVD umzusteigen. Innovativer und flexibler sei PaaS aus der Azure-Cloud, meint der Microsoft-BU-Leiter beim Bochumer Value Added Distributor.

Martin Fryba
clock 29. September 2023 • Lesezeit 2 Min.
"Graue Eminenz" unscheinbar im Eck: Seasonic elektrisiert Siewert & Kau

"Graue Eminenz" unscheinbar im Eck: Seasonic elektrisiert Siewert & Kau

Auswahl von CPU oder Grafikboard ist dem PC-Schrauber lieb und teuer, gespart wird bei einer so scheinbar weniger wichtigen Komponente wie dem Netzteil. Ein Fehler findet das Dreamteam Nils Stallmach und Christian Helisch, respektive Seasonic und Siewert & Kau.

Martin Fryba
clock 29. September 2023 • Lesezeit 2 Min.