Es hat sich wieder mal bewiesen: Trotz aller Zertifikate und Audits kann man von einer Cyberattacke betroffen sein!
Das Softwarehaus Wilken ist Anbieter eines Cloud-ERP Systems. Das Unternehmen mit Sitz in Ulm hat am 12.10.2022 “den Stecker gezogen” und die Systeme vom Internet getrennt. Damit war das Unternehmen und auch alle Kundenportale, die sie bereitstellen, nicht aus dem Internet erreichbar. Wie Wilken aber versichert, sind keine Kundendaten betroffen, sondern nur interne Systeme. Das wurde nach Abschluss aller Untersuchungen auch bestätigt: Kundensysteme waren nie betroffen.
Das Unternehmen hat aber einen Notfallplan und hat sofort eng mit den Behörden und Spezialisten zusammengearbeitet, um die Systeme so rasch als möglich wieder zum Laufen zu bekommen. Eine Woche später war es auch soweit: Die Systeme gingen wieder online.
„Nachdem wir sehr früh nachvollziehen konnten, wann und wie der Angriff erfolgte und wie sich die Malware ausgebreitet hat, war es möglich, den Neuaufbau der Systeme schnell und gezielt anzugehen. In diesem Rahmen haben wir zudem die Chance genutzt, unsere gesamte interne Netzinfrastruktur sowie die internen Mail- und Applikationsumgebungen neu aufzusetzen und abzusichern“, berichtet Jörn Struck, CTO der Wilken Software Group. Außerdem wurden alle Rechner auf Viren und Malware gescannt und nach der Prüfung wieder für die Verwendung freigegeben. Ob die Angreifer auch interne Verwaltungsdaten erbeuten konnten, ist nicht bekannt.
„Ich bin sehr froh, dass wir hier mit einem blauen Auge davongekommen sind. Die Daten unserer Kunden waren aufgrund physikalisch getrennter Netzwerke dauerhaft zu jeder Zeit geschützt. Zudem hatten wir kaum Produktionsausfälle im Kundennetz zu verzeichnen. Das beweist Sicherheit, liefert Vertrauen und zudem Professionalität. Aus Sicherheitsgründen wurden dennoch alle Beteiligten und Mitarbeiter angewiesen, die entsprechenden Vorsichtsmaßnahmen zu ergreifen und zum Beispiel Passwörter unverzüglich zu ändern“, ergänzt Wilken-CEO Dominik Schwärzel.
Lessons learned:
Dass “alle Rechner auf Viren und Malware gescannt und nach der Prüfung wieder freigegeben wurden” ist heute nicht Best Practice! Wenn man sichergehen will, dass die Systeme sauber sind, müssen sie neu aufgesetzt werden. JA, das ist viel Aufwand, aber es gibt keinen einfachen Weg zur Sicherheit.
Virenscanner erkennen nicht alle Varianten, schon gar nicht neue, unbekannte. Es könnte also noch immer etwas im System schlummern…
Dass die Systeme bzw. Netzwerke physikalisch getrennt sind ist gut und wichtig. Es hat gezeigt, dass die Kundensysteme so eindeutig geschützt waren. Bei solchen Trennungen ist aber auch der Mensch die Schwachstelle #1: Es darf kein Mitarbeiter sein Notebook von Netzwerk A einfach umstecken in Netzwerk B. Die Schwierigkeit liegt hier darin, dass man ja trotzdem Daten von A nach B irgendwie mal transferieren muss: Software-Pakete, Skripte, Daten,… Da muss eine gute Logik, gute Prozesse und gute Infrastruktur eingerichtet sein, dass das trotzdem funktioniert.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.