Häfele konnte Cyber-Angriff mit Hilfe effektiver TOM nahezu unbeschadet überstehen

Anbieter von Möbel- und Baubeschlägen, elektronischen Schließsystemen und LED-Beleuchtung hat Cyber-Attacke mit fachgerechter Unterstützung erfolgreich gemeistert

[datensicherheit.de, 10.06.2024] Laut einer Meldung von Dell Technologies vom 6. Juni 2024 hat die Häfele Gruppe – ein Anbieter von Möbel- und Baubeschlägen, elektronischen Schließsystemen und LED-Beleuchtung – eine Cyber-Attacke erfolgreich gemeistert: Demnach wurden fast alle Geräte und Systeme mit Malware infiziert und verschlüsselt, „so dass die IT nicht mehr funktionierte“. Mit Hilfe von Lösungen und Services aus dem Hause Dell Technologies habe das weltweit tätige Unternehmen innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren können.

Häfele sah sich gezwungen, seine komplette IT runterzufahren und vom Netz zu trennen

„Am 2. Februar 2023 wurde Häfele Opfer einer schweren Cyber-Attacke. Drahtzieher war eine Hacker-Gruppe, die für ihren Angriff die Schadsoftware von ,LockBit’ nutzte, dem größten RaaS (Ransomware as a Service)-Anbieter weltweit.“ Das Familienunternehmen mit Sitz im baden-württembergischen Nagold habe sich gezwungen gesehen, seine komplette IT runterzufahren und vom Netz zu nehmen. „In der Folge standen Produktion und Logistik weltweit still, Website und Shop waren nicht mehr erreichbar.“

Dieser Cyber-Angriff sei zuerst an den Standorten in Neuseeland und Australien entdeckt worden. Kurze Zeit später und noch mitten in der Nacht sei dann die „Rettungskette“ angelaufen: Das IRR-Team (Incident Response and Recovery) von Dell Technologies habe zusammen mit dem Krisenteam von Häfele die Koordination aller Maßnahmen übernommen. „Weltweit arbeiteten in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen.“

Für den Wiederanlauf bei Häfele spielte die richtige Backup-Lösung die entscheidende Rolle

Eine entscheidende Rolle habe dabei eine Backup-Lösung gespielt: „Die ,Dell EMC Data Domain’ blieb als einziges System in der Häfele-IT von der Ransomware-Attacke verschont. Sie ermöglichte den Zugriff auf alle Daten, Konfigurationsdateien und Passwörter und erleichterte so den Neustart der Infrastruktur.“ Um auf „Nummer Sicher“ zu gehen, habe sich Häfele entschieden, weltweit alle Geräte und das Netzwerk neu aufzusetzen. Dabei sei ein kurz vor dem Angriff eingerichteter „Whiteroom“ mit noch nicht im Netz geweser Hardware zum Einsatz gekommen: „Dort wurden die Systeme von Dell Technologies komplett gelöscht, neu installiert und rund um die Uhr überwacht, bevor sie wieder in Betrieb genommen wurden.“ Die Umgebung habe so die schnelle Wiederherstellung geschäftskritischer „Workloads“ ermöglicht. Gleichzeitig habe Häfele allein in Deutschland 300 neue Latitude-Notebooks angeschafft – inklusive „Managed Detection and Response Services“ für alle 9.000 Endgeräte.

Darüber hinaus habe Häfele seine gesamte IT-Sicherheitsarchitektur auf den neuesten Stand gebracht. „Zu den Maßnahmen gehörten unter anderem ein konsequenter Zero-Trust-Ansatz, ,Secure Access Service Edge’ (SASE), Netzwerksegmentierung, eine Härtung der gesamten Infrastruktur, ,Vulnerability Management’ sowie interne und externe Penetrationstests. Zusätzlich wurden ein SIEM-System (Security Information and Event Management) und ein externes SOC (Security Operations Center) zur 24×7-Überwachung des Netzwerks implementiert, um Bedrohungen zukünftig frühzeitig erkennen und isolieren zu können.“

Häfele Gruppe vermochte innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückzukehren

Mit Hilfe der Lösungen und Services von Dell Technologies habe die Häfele Gruppe innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren können. „Nach nicht einmal zwei Wochen waren der Verzeichnisdienst ,Microsoft Active Directory’, der Mail-Server und der Zugriff auf ,Office 365‘ wiederhergestellt. Nach sechs Wochen liefen ERP- und Shop-System wieder, so dass der Order-to-Cash-Prozess – vom Eingang einer Kundenbestellung bis zur Bezahlung der offenen Forderung – funktionierte.“ Danach seien Schritt für Schritt alle anderen Häfele-Workflows gefolgt – der letzte sei Ende des Jahres 2023 „repariert“ worden. Der Stellenwert von IT-Sicherheit im Unternehmen sei heute höher denn je: Die neugegründete „Corporate Information Security Organisation“ kümmere sich zentral um alle Aspekte.

„Wenn die IT aufgrund eines Cyber-Angriffs ausfällt, zählt jede Minute. Dell Technologies hat uns bei der Bewältigung dieses Sicherheitsvorfalls perfekt unterstützt“, kommentiert Daniel Feinler, „CISO“ bei der Häfele Gruppe, den Wiederanlauf. Hand in Hand hätten die Experten weltweit zusammengearbeitet, „damit wir schnell wieder zum normalen Geschäftsalltag zurückkehren konnten“.

Weitere Informationen zum Thema:

datensicherheit.de, 08.04.2024
Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg / Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

SPIXNET, 02.03.2023
Lockbit claims responsibility for the cyber attack on Häfele / The most active ransomware gang has struck again. The attacked company had to send staff home in the meantime

INSIDE IT, Philipp Anz, 01.03.2023
Lockbit bekennt sich zu Cyberangriff auf Häfele

kaspersky
Alles Wissenswerte zur Ransomware LockBit