Der 21. Januar 2021 nimmt in der hundertjährigen Geschichte der Westfalen AG einen im negativen Sinne besonderen Platz ein. Denn an diesem Tag offenbarte sich den Verantwortlichen, dass sie Opfer einer Cyberattacke waren. Schnell zeigte sich, dass das Rechenzentrum inklusive der Back-up-Landschaft ausgefallen war. Nicht betroffen waren die SAP-Systeme mit wichtigen Geschäftsdaten, die bei einem externen Partner gehostet werden, sowie weitere Cloud-Anwendungen wie beispielsweise MS Office-Dienste. Glücklicherweise blieb auch das KRITIS-relevante Tankstellen-Netz ebenfalls unberührt.
Nicht verhandeln, sondern neu aufbauen!
Um die Lage wieder unter Kontrolle zu bekommen, entschieden die Beteiligten, externe Fachleute hinzuzuziehen. Bei der Wahl eines geeigneten Partners folgte die Westfalen Gruppe dem Rat der Ermittlungsbehörden, ein Unternehmen zu beauftragen, das vom BSI als APT-Response-Dienstleister zertifiziert ist.
„Wir haben uns für die Zusammenarbeit mit G DATA Advanced Analytics entschieden, weil G DATA in der IT-Branche schon ein bekannter Player ist“, begründet Andreas Eckey, Information Security Officer bei der Westfalen AG die Entscheidung. „Die Zusammenarbeit war hervorragend. Gerade die klare Kommunikation und das schlüssige Maßnahmen-Konzept haben für eine Grundstruktur in der stressigen Situation gesorgt.“
Der Auftrag an G DATA war klar: eine forensische Analyse des Angreifervorgehens, Maßnahmen für einen sicheren Notbetrieb der IT-Landschaft und ein Konzept für einen gefahrlosen Wechsel vom Notbetrieb zum Normalbetrieb.
Zurück zum Normalbetrieb
Da verschlüsselte Systeme ohne den passenden digitalen Schlüssel nicht entschlüsselt werden können, fokussierten sich die Fachleute auf den Wiederaufbau der Infrastruktur. Die verlorenen Daten konnte das Unternehmen dabei größtenteils aus alten Offline-Back-ups wiederherstellen, denn die aktuellen Back-ups waren ebenfalls verschlüsselt. Rund acht Wochen dauerte der Ausnahmezustand bei der Westfalen AG. In dieser Zeit hatten die Mitarbeitenden des IT-Teams Prozesse etabliert und Systeme stabilisiert, sodass die Kundenversorgung sichergestellt war. Ein wesentlicher Erfolgsfaktor dabei war die Umsetzung eines Zwei-Phasen-Konzeptes mit einem sogenannten „gelben“ und „grünen“ Netz. Das „gelbe“ Netz ermöglichte rudimentäre Arbeiten am Rechner ohne Zugriffsmöglichkeiten auf die Server-Infrastruktur. Beim Wechsel zum „grünen“, sicheren Netz unterstützte G DATA Advanced Analytics mit ihrer Expertise. Ins „grüne“ Netz durften nur Systeme integriert werden, die neu aufgesetzt wurden und bei denen eine Kompromittierung ausgeschlossen wurde, um eine Re-Infektion zu verhindern.
IT-Sicherheit auf dem Prüfstand
Mit der Rückkehr zur Normalität und dem Ausrollen neuer zukunftsfähiger IT-Lösungen rückten die IT-Verantwortlichen eine Frage in den Mittelpunkt: „Ist unsere IT wirklich sicher?“. Daher entschied sich die Westfalen Gruppe, ihre Infrastruktur regelmäßig auf Schwachstellen zu überprüfen. Dafür setzten sie auf die Durchführung von Penetration Tests und weiterhin auf die Expertise von G DATA. So offenbaren die Tests immer wieder Stellen, wo die IT-Verantwortlichen nachschärfen können – etwa bei der stetigen Absicherung der Passwörter in allen Bereichen oder bei der schnellen Bereitstellung von neuen Software-Updates.
Die Vorteile für die Westfalen AG
- Klare Kommunikation und Vorgaben zur Bewältigung des IT-Notfalls
- Reibungsloser Wiederaufbau und Rückkehr zum Normalbetrieb
- Penetration Tests sorgen für höheres Sicherheitsniveau