// Blog

13 Tage im Oktober: ein Cyberangriff, ein totaler IT-Stillstand und ein innovativer Ansatz für die IT-Sicherheit

Lesezeit: 4 Minuten

0 %
mehr Cyberangriffe pro Woche im Vergleich zum Jahr 2022
0 Mrd.
Euro Schaden pro Jahr durch Cyberangriffe auf deutsche Unternehmen
0 %
der IT-Ausgaben von Unternehmen werden für IT-Sicherheit beansprucht

Datum: 21. Februar 2023

Stellen Sie sich einen Moment lang vor, Sie kommen an einem frühen Herbstmorgen zur Arbeit. Sie gehören zum Kern des IT-Teams eines Konzerns und sind Teil einer Gruppe mit IT-Teams in verschiedenen Regionen und Ländern auf der ganzen Welt. Sie schalten Ihren Computer ein, um den Tag zu beginnen, und müssen feststellen, dass nichts funktioniert. Absolut nichts. Ihre gesamte globale IT wurde abgeschaltet, und Sie haben weder Zugriff auf Outlook noch auf Ihr Active Directory, weder auf Ihr SSO noch auf eines Ihrer vertrauenswürdigen Zertifikate. Nichts funktioniert.

An einen Angriff denken Sie nicht im Entferntesten. Was habe ich nur falsch gemacht, denken Sie. Sie geraten jedoch langsam in Panik, als Sie das wahre Ausmaß des Problems erkennen. Es geht nicht nur um Sie. Ihr Kollege am Schreibtisch neben Ihnen hat ebenfalls keinen Zugang. Keiner kann seine Mails auf dem Laptop oder dem Smartphone abrufen. Die Anwendungen Ihres Unternehmens funktionieren nicht mehr. Für einen Moment ist Ihr Unternehmen im digitalen Mittelalter eingefroren.

Was tun Sie nun?

Sie holen sich erst einmal eine Tasse Kaffee. Das ist eine von vielen, die Sie heute und in den kommenden Tagen und Wochen brauchen werden. Sie hatten Ihren Moment der Panik, aber jetzt ist es an der Zeit, sich an die Arbeit zu machen, herauszufinden, was das Problem ist, den Schaden zu begrenzen und alles so schnell wie möglich wieder online zu bringen.

Das Erste, was Ihnen klar wird, ist, dass Sie angegriffen wurden. Durch einen Phishing-Angriff – eine einfache Art des Hackens und Abgreifens – wurden Teile ihrer Daten gestohlen und verschlüsselt. Die Hacker fordern ein Lösegeld, um sie zurückzubekommen. Und während Ihr Management und Ihre Rechtsabteilung entscheiden, wie sie auf die Lösegeldforderung reagieren sollen, müssen Sie und Ihre Teams die globale IT wieder zum Laufen bringen und gleichzeitig sicherstellen, dass Sie nicht noch einmal angegriffen werden.

Es ist erst 10 Uhr morgens und Sie trinken schon Ihren sechsten Kaffee.

Eine Horrorgeschichte mit Happy End: Vollständige Wiederherstellung, volle Transparenz und verbesserte IT-Sicherheit

Klingt beängstigend, nicht wahr? Ein Cyberangriff ist eine Horrorgeschichte, die wir nur ungern lesen und niemals erleben möchten. Aber angesichts der Tatsache, dass Ransomware-Angriffe ein Allzeithoch haben – 50 % mehr Angriffe pro Woche als im Jahr 2020 – ist der Horror viel näher als wir wahrhaben wollen.

Die Folgen eines Angriffs können schwerwiegend sein. In diesem Fall stand der international führende Lebensmittelgroßhändler ohne seine IT da. Keine Registrierkassen, keine Apps, kein automatisches Preisauszeichnungssystem, keine Drucker, nichts. Nun, nichts außer den Faxgeräten, die zum Leben erweckt wurden, weil Menschen auf der ganzen Welt nach Antworten suchten.

Und obwohl das Unternehmen über einen Notfallplan verfügte, hing dieser von einem funktionierenden IT-Netzwerk ab. Durch den Angriff wurde auch dieser Plan zunichte gemacht.

Der Countdown lief. Um das Geschäft wieder in Gang zu bringen, benötigte das Unternehmen Informationen über seine IT. Da wir mit dem Unternehmen in einem kürzlich durchgeführten Software Asset Management-Projekt bereits die gesamte Unternehmensinfrastruktur inventarisiert hatten, konnten wir dem Unternehmen eine Sicherungskopie des Bestands zur Verfügung stellen.

Die Daten waren zwar schon ein Jahr alt, gaben ihnen aber immer noch einen grundlegenden Überblick über ihre Hardware, so dass sie mit der Wiederherstellung ihrer IT beginnen konnten. Bei der Wiederherstellung der Systeme wurden die Daten aktualisiert und im Rahmen einer Managed Services-Lösung auf Raynet-Servern gespeichert, so dass das Unternehmen auch bei einem erneuten Angriff weiterhin Zugriff auf die Daten hatte.

Innerhalb von nur 13 Tagen hatte das Unternehmen seine kritischsten Systeme im Griff und konnte zum normalen Geschäftsbetrieb zurückkehren, während es an der Wiederherstellung der übrigen IT-Systemen arbeitete.

Nachdem alles wieder funktioniert und unzählige Tassen Kaffee getrunken worden waren, bestand der nächste Schritt darin, das System um zusätzliche Sicherheitsebenen zu erweitern. Dazu gehörten die Zusammenführung und Validierung von Asset-Daten, um eine vollständige IT-Transparenz zu gewährleisten. Es wurden neue Namenskonventionen eingeführt, um leichter feststellen zu können, welcher Standort/Abteilung welche Assets gehören. Asset-Daten müssen nun von mehreren Sicherheitstools validiert werden, um ihre Sicherheit zu gewährleisten, und Assets, die nicht automatisch verifiziert werden können, werden so lange offline gehalten, bis eine manuelle Überprüfung abgeschlossen ist. Dies trägt zur Sicherheit der Infrastruktur bei und macht es böswilligen Akteuren noch schwerer, in das System einzudringen und wichtige Daten preiszugeben oder zu stehlen.

Das Projekt wird fortgesetzt, aber das Ziel ist klar: vollständige Transparenz für eine bessere Sicherheit der Infrastruktur.

Autor:

Andreas Gieseke

SVP Technology & Information Managing Director
Weiterführende Links:

Blog teilen:

// Blog

13 Tage im Oktober: ein Cyberangriff, ein totaler IT-Stillstand und ein innovativer Ansatz für die IT-Sicherheit

Lesezeit: 3 Minuten

0 %
mehr Cyberangriffe pro Woche im Vergleich zum Jahr 2022
0 Mrd.
Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen
0 %
der IT-Ausgaben von Unternehmen werden für IT-Sicherheit beansprucht

21. Februar 2023 | Andreas Gieseke

Stellen Sie sich einen Moment lang vor, Sie kommen an einem frühen Herbstmorgen zur Arbeit. Sie gehören zum Kern des IT-Teams eines Konzerns und sind Teil einer Gruppe mit IT-Teams in verschiedenen Regionen und Ländern auf der ganzen Welt. Sie schalten Ihren Computer ein, um den Tag zu beginnen, und müssen feststellen, dass nichts funktioniert. Absolut nichts. Ihre gesamte globale IT wurde abgeschaltet, und Sie haben weder Zugriff auf Outlook noch auf Ihr Active Directory, weder auf Ihr SSO noch auf eines Ihrer vertrauenswürdigen Zertifikate. Nichts funktioniert.

An einen Angriff denken Sie nicht im Entferntesten. Was habe ich nur falsch gemacht, denken Sie. Sie geraten jedoch langsam in Panik, als Sie das wahre Ausmaß des Problems erkennen. Es geht nicht nur um Sie. Ihr Kollege am Schreibtisch neben Ihnen hat ebenfalls keinen Zugang. Keiner kann seine Mails auf dem Laptop oder dem Smartphone abrufen. Die Anwendungen Ihres Unternehmens funktionieren nicht mehr. Für einen Moment ist Ihr Unternehmen im digitalen Mittelalter eingefroren.

Was tun Sie nun?

Sie holen sich erst einmal eine Tasse Kaffee. Das ist eine von vielen, die Sie heute und in den kommenden Tagen und Wochen brauchen werden. Sie hatten Ihren Moment der Panik, aber jetzt ist es an der Zeit, sich an die Arbeit zu machen, herauszufinden, was das Problem ist, den Schaden zu begrenzen und alles so schnell wie möglich wieder online zu bringen.

Das Erste, was Ihnen klar wird, ist, dass Sie angegriffen wurden. Durch einen Phishing-Angriff – eine einfache Art des Hackens und Abgreifens – wurden Teile ihrer Daten gestohlen und verschlüsselt. Die Hacker fordern ein Lösegeld, um sie zurückzubekommen. Und während Ihr Management und Ihre Rechtsabteilung entscheiden, wie sie auf die Lösegeldforderung reagieren sollen, müssen Sie und Ihre Teams die globale IT wieder zum Laufen bringen und gleichzeitig sicherstellen, dass Sie nicht noch einmal angegriffen werden.

Es ist erst 10 Uhr morgens und Sie trinken schon Ihren sechsten Kaffee.

Eine Horrorgeschichte mit Happy End: Vollständige Wiederherstellung, volle Transparenz und verbesserte IT-Sicherheit

Klingt beängstigend, nicht wahr? Ein Cyberangriff ist eine Horrorgeschichte, die wir nur ungern lesen und niemals erleben möchten. Aber angesichts der Tatsache, dass Ransomware-Angriffe ein Allzeithoch haben – 50 % mehr Angriffe pro Woche als im Jahr 2020 – ist der Horror viel näher als wir wahrhaben wollen.

Die Folgen eines Angriffs können schwerwiegend sein. In diesem Fall stand der international führende Lebensmittelgroßhändler ohne seine IT da. Keine Registrierkassen, keine Apps, kein automatisches Preisauszeichnungssystem, keine Drucker, nichts. Nun, nichts außer den Faxgeräten, die zum Leben erweckt wurden, weil Menschen auf der ganzen Welt nach Antworten suchten.

Und obwohl das Unternehmen über einen Notfallplan verfügte, hing dieser von einem funktionierenden IT-Netzwerk ab. Durch den Angriff wurde auch dieser Plan zunichte gemacht.

Der Countdown lief. Um das Geschäft wieder in Gang zu bringen, benötigte das Unternehmen Informationen über seine IT. Da wir mit dem Unternehmen in einem kürzlich durchgeführten Software Asset Management-Projekt bereits die gesamte Unternehmensinfrastruktur inventarisiert hatten, konnten wir dem Unternehmen eine Sicherungskopie des Bestands zur Verfügung stellen.

Die Daten waren zwar schon ein Jahr alt, gaben ihnen aber immer noch einen grundlegenden Überblick über ihre Hardware, so dass sie mit der Wiederherstellung ihrer IT beginnen konnten. Bei der Wiederherstellung der Systeme wurden die Daten aktualisiert und im Rahmen einer Managed Services-Lösung auf Raynet-Servern gespeichert, so dass das Unternehmen auch bei einem erneuten Angriff weiterhin Zugriff auf die Daten hatte.

Innerhalb von nur 13 Tagen hatte das Unternehmen seine kritischsten Systeme im Griff und konnte zum normalen Geschäftsbetrieb zurückkehren, während es an der Wiederherstellung der übrigen IT-Systemen arbeitete.

Nachdem alles wieder funktioniert und unzählige Tassen Kaffee getrunken worden waren, bestand der nächste Schritt darin, das System um zusätzliche Sicherheitsebenen zu erweitern. Dazu gehörten die Zusammenführung und Validierung von Asset-Daten, um eine vollständige IT-Transparenz zu gewährleisten. Es wurden neue Namenskonventionen eingeführt, um leichter feststellen zu können, welcher Standort/Abteilung welche Assets gehören. Asset-Daten müssen nun von mehreren Sicherheitstools validiert werden, um ihre Sicherheit zu gewährleisten, und Assets, die nicht automatisch verifiziert werden können, werden so lange offline gehalten, bis eine manuelle Überprüfung abgeschlossen ist. Dies trägt zur Sicherheit der Infrastruktur bei und macht es böswilligen Akteuren noch schwerer, in das System einzudringen und wichtige Daten preiszugeben oder zu stehlen.

Das Projekt wird fortgesetzt, aber das Ziel ist klar: vollständige Transparenz für eine bessere Sicherheit der Infrastruktur.

Abonnieren Sie unseren Blog: