Anfang 2021 nutzten Angreifergruppen massiv Zero-Day-Sicherheitslücken in Exchange-Servern aus, also dem Software-Hersteller bis zu diesem Zeitpunkt völlig unbekannte Sicherheitslücken. Auch das Autohaus Kruft fiel dieser Schwachstelle zum Opfer.
Was genau ist passiert?
Philipp Sporckmann: Trotz der bestehenden Schutzmaßnahmen sind kriminelle Hacker in unser Netzwerk eingedrungen und haben die IT-Systeme mit Schadcode kompromittiert. Dabei haben sie mehrere Schwachstellen ausgenutzt, von der zum damaligen Zeitpunkt zehntausende Unternehmen betroffen waren. Wir mussten erkennen, dass es auch mit gut eingerichteten technologischen Schutzmaßnahmen keine hundertprozentige Absicherung vor Cyberattacken gibt.
Welche Auswirkungen hatte der Angriff?
Bei uns sind alle Prozesse vollständig digitalisiert, beim Fahrzeugverkauf genauso wie bei unseren Serviceangeboten oder in der Werkstatt. Für alle 50 Mitarbeitenden bedeutete diese Cyberattacke daher einen massiven Einschnitt in den Arbeitsalltag. Viele vertraute und eingespielte Prozesse konnten wir in den folgenden Wochen nur analog, also mit Papier und Stift erledigen. Später konnten wir immerhin eingeschränkt wieder cloudbasierte Anwendungen nutzen. Weil wir den Angriff frühzeitig erkannt und schnell gehandelt haben, konnten wir glücklicherweise einen vollständigen Stillstand verhindern.
Weil wir den Angriff frühzeitig erkannt und schnell gehandelt haben, konnten wir glücklicherweise einen vollständigen Stillstand verhindern.
Wie haben Sie reagiert?
Wir haben sofort gehandelt und alle Rechner vom Netz getrennt. Gleichzeitig war uns bewusst, dass wir professionelle Unterstützung hinzuziehen müssen, um die Lage in den Griff zu kriegen. Denn dafür braucht es Fachwissen. Wir hatten aber Glück im Unglück: Der zentrale Server war nicht von der Cyberattacke betroffen, sodass keine Kundendaten in die Hände der Angreifer gelangt sind. Daher konnten wir den Wiederanlauf der Systeme signifikant beschleunigen. Intern nahm ein dreiköpfiges Notfall-Team die Arbeit auf, um die IT des Autohauses wieder in einen produktiven Zustand zu bringen. Wir haben parallel das Landeskriminalamt in NRW und auch die Zentrale von BMW über den Vorfall informiert.
Wer hat sie beim Wiederaufbau unterstützt?
Um einen geeigneten Partner zu finden, haben wir die Liste der vom BSI zertifizierten APT-Response-Dienstleister zurate gezogen. Denn in Deutschland gibt es nur wenige Unternehmen mit der entsprechenden Expertise. Wir haben uns dann für einen regional ansässigen Partner entschieden: G DATA Advanced Analytics. Das ist ein anerkanntes Unternehmen im Ruhrgebiet und passt zu unserer Strategie, mit regionalen Partnern zusammenzuarbeiten.
Welche Aufgaben haben die Experten übernommen?
Im Rahmen des Incident-Response-Einsatzes haben die Fachleute die Systeme des Autohauses forensisch untersucht, um ein klares Bild des Angriffs zu erhalten. Auf dieser Basis konnten wir dann speziell zugeschnittene Sofortmaßnahmen umsetzen, die auch eine Re-Infektion der bereinigten Systeme verhinderte.
Wir haben Maßnahmen realisiert, um das Sicherheitsniveau deutlich zu verbessern. Unter anderem haben wir eine neue Richtlinie für Passwörter sowie das automatische Sperren der Arbeitsplatzrechner nach einer definierten Zeit eingeführt.
Wie ging es nach den ersten Sofortmaßnahmen weiter?
Obwohl wir grundsätzlich schnell wieder arbeitsfähig waren, dauerte es insgesamt mehrere Monate, bis die Auswirkungen des Vorfalls auf das Tagesgeschäft nicht mehr spürbar waren. Parallel zum Wiederaufbau der IT-Infrastruktur traf unsere Geschäftsführung weitere Entscheidungen: Alte PCs wurden durch neue Geräte ersetzt und der bereits geplante Umzug der gesamten IT in ein externes Rechenzentrum wurde in kürzester Zeit vollzogen.
Außerdem haben wir zusätzliche Maßnahmen realisiert, um das Sicherheitsniveau deutlich zu verbessern. Wir haben unter anderem eine neue Richtlinie für Passwörter sowie das automatische Sperren der Arbeitsplatzrechner nach einer definierten Zeit eingeführt. Auch auf technischer Ebene haben wir Schritte unternommen und beispielsweise eine striktere Segmentierung des Netzwerks umgesetzt. Zusätzlich wurde das Berechtigungsmanagement neu konzipiert. Weiterhin haben wir Kategorie-Filter und eine Allow-List für das Surfen im Internet festgelegt, um den Besuch von Webseiten zu unterbinden, die Schadsoftware enthalten oder Login-Informationen von Anwenderinnen und Anwendern abgreifen.
War der Fall damit abgeschlossen?
Nein, nach dem Wiederanlauf der IT und den neuen IT-Sicherheitsmaßnahmen war die Reise noch nicht beendet. Wir haben uns dann gefragt: „Wie gut ist unser Schutzniveau?“. Und G DATA Advanced Analytics zusätzlich mit einem Adversary-based IT-Security Assessment beauftragt. Wir wollten eine klare Bewertung der IT-Infrastruktur hinsichtlich ihrer vorhandenen Abwehr- und Sicherungsmaßnahmen.
Was genau hat G DATA dabei gemacht?
Bei diesem Wirksamkeitstest hat das spezialisierte Team von G DATA Advanced Analytics stichprobenartig den Status Quo der IT-Sicherheit überprüft und diesen mit unserem technischen Konzept abgeglichen. Die Fachleute haben dabei nicht nur die organisatorischen Prozesse und Strukturen bewertet, Sicherheitskonzepte geprüft und Verbesserungsmaßnahmen identifiziert, sondern auch die ausformulierten Aussagen technisch verifiziert. Weiterhin sollten sie Handlungsempfehlungen aussprechen, um das Sicherheitsniveau zu erhöhen. Zusätzlich haben sie die umgesetzten Sicherheitsmaßnahmen in Abhängigkeit von ihrer Kritikalität technisch verifiziert. Bei dieser Herangehensweise konnten die Fachleute zusätzlich zu organisatorischen Schwächen wie etwa Fehler im Installationsprozess oder Probleme in der Konfiguration von Sicherheitskomponenten aufspüren.
Dank dieses IT-Security Assessments konnten wir unsere IT-Infrastruktur erheblich härten und die gesamte IT-Sicherheit auf ein neues Niveau heben.
Gab es Handlungsempfehlungen?
Dank dieses IT-Security Assessments konnten wir unsere IT-Infrastruktur erheblich härten und die gesamte IT-Sicherheit auf ein neues Niveau heben. Ein wichtiger Faktor war dabei, dass wir während des gesamten Beratungsprozesses anhand der identifizierten Schwachstellen Hinweise zu weiteren potenziellen Angriffsszenarien und Handlungsempfehlungen zur Reduzierung der verifizierten Schwachstellen erhalten haben.
Wie bewerten Sie die Zusammenarbeit mit G DATA?
Wir waren sehr beeindruckt von den Kompetenzen und den Leistungen der Fachleute. Dank ihrer Expertise konnten wir die Sicherheit unserer IT stark verbessern. Dass ein solch komplettes Leistungsspektrum von der G DATA Advanced Analytics angeboten wird, ist schon besonders – gerade im Vergleich zu anderen IT-Dienstleistern.