Häfele Gruppe aus Nagold meistert erfolgreichen Cyber-Angriff mit Hilfe von Dell Technologies

Frankfurt/M., Starnberg, 19. Juni 2024 - Vom Angriff bis zu ersten Maßnahmen vergingen nur wenige Stunden; die Backup-Lösung spielte dabei eine entscheidende Rolle..

Zum Beitrag: Die Häfele Gruppe, Anbieter von Möbel- und Baubeschlägen, elektronischen Schließsystemen und LED-Beleuchtung, wurde am 2. Februar 2023 Opfer einer schweren Cyber-Attacke. Drahtzieher war danach eine Hackergruppe, die für ihren Angriff die Schadsoftware von LockBit** nutzte, dem wohl größten RaaS Ransomware as a Service Anbieter weltweit. Das Familienunternehmen mit Sitz im baden-württembergischen Nagold sah sich deshalb gezwungen, seine komplette IT herunterzufahren und vom Netz zu nehmen. In der Folge standen Produktion und Logistik weltweit still, Website und Shop waren nicht mehr erreichbar. (** https://de.wikipedia.org/wiki/Lockbit ).

 

Cyber-Attacke erfolgreich gemeistert

Fast alle Geräte und Systeme waren mit Malware infiziert und verschlüsselt, sodass die IT nicht mehr funktionierte. Mit Hilfe der Lösungen und Services von Dell Technologies konnte vorliegenden Informationen das weltweit tätige Unternehmen innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren.

 

Vom Angriff bis zu den ersten Maßnahmen vergingen nur wenige Stunden

Der Angriff wurde nach zuerst an den Standorten in Neuseeland und Australien entdeckt. Kurze Zeit später und noch mitten in der Nacht lief die „Rettungskette“ an. Das Incident Response and Recovery (IRR)-Team von Dell Technologies übernahm zusammen mit dem Krisenteam von Häfele die Koordination aller Maßnahmen.

Weltweit arbeiteten danach in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen. Eine entscheidende Rolle spielte laut Dell Technologies dabei die Backup-Lösung: Die Dell EMC Data Domain blieb als einziges System in der Häfele-IT von der Ransomware-Attacke verschont. Sie ermöglichte den Zugriff auf alle Daten, Konfigurationsdateien und Passwörter und erleichterte so den Neustart der Infrastruktur.

Um auf Nummer sicher zu gehen, entschied sich Häfele, weltweit alle Geräte und das Netzwerk neu aufzusetzen. Dabei kam ein kurz vor dem Angriff eingerichteter „Whiteroom“ mit Hardware, die noch nicht im Netz war, zum Einsatz: Dort wurden die Systeme von Dell Technologies komplett gelöscht, neu installiert und rund um die Uhr überwacht, bevor sie wieder in Betrieb genommen wurden. Die Umgebung ermöglichte so die schnelle Wiederherstellung geschäftskritischer Workloads. Gleichzeitig schaffte Häfele allein in Deutschland 300 neue Latitude-Notebooks an – inklusive Managed Detection and Response Services für alle 9.000 Endgeräte.

Nach weniger als zwei Wochen waren der Verzeichnisdienst Microsoft Active Directory, der Mail-Server und der Zugriff auf Office 365 wiederhergestellt. Nach sechs Wochen liefen ERP- und Shop-System wieder, sodass der Order-to-Cash-Prozess – vom Eingang einer Kundenbestellung bis zur Bezahlung der offenen Forderung – funktionierte. Danach folgten Schritt für Schritt alle anderen Häfele-Workflows, der letzte war Ende des Jahres „repariert“.


Neues Sicherheitskonzept für Häfele

Darüber hinaus brachte Häfele seine gesamte IT-Sicherheitsarchitektur auf den neuesten Stand. Zu den Maßnahmen gehörten unter anderem ein konsequenter Zero-Trust-Ansatz, Secure Access Service Edge (SASE), Netzwerksegmentierung, die Härtung der gesamten Infrastruktur, Vulnerability Management sowie interne und externe Penetrationstests. Zusätzlich wurden ein SIEM-System (Security Information and Event Management) und ein externes SOC (Security Operations Center) zur 24x7-Überwachung des Netzwerks implementiert, um Bedrohungen zukünftig frühzeitig erkennen und isolieren zu können.

 

Im Bild: Die Hauptverwaltung der Häfele Gruppe in Nagold (Quelle: Häfele)​.

Mit Unterstützung von Dell Technologies konnte das weltweit tätige Unternehmen nach einen Cyber-Angriff innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren.

 

Fazit: Der Stellenwert von IT-Sicherheit im Unternehmen ist heute höher denn je: Die neu gegründete Corporate Information Security Organisation kümmert sich zentral um alle Aspekte. Anwenderkommentar Daniel Feinler, CISO bei der Häfele Gruppe (1): „Wenn die IT aufgrund eines Cyber-Angriffs ausfällt, zählt jede Minute. Dell Technologies hat uns bei der Bewältigung dieses Sicherheitsvorfalls perfekt unterstützt. Hand in Hand haben die Experten weltweit zusammengearbeitet, damit wir schnell wieder zum normalen Geschäftsalltag zurückkehren konnten. Die Geschwindigkeit und die Qualität der Services, aber auch die Erreichbarkeit unserer Ansprechpartner haben uns restlos überzeugt.“


(1) Über Häfele​: Über 8.000 Mitarbeitende sowie 38 Tochterunternehmen und zahlreiche weitere Vertretungen in aller Welt bilden das Team des Global Players mit Hauptsitz in Nagold im Schwarzwald. Die Unternehmensgruppe wird seit Januar 2023 von Gregor Riekena geführt. Sibylle Thierer vertritt als Vorsitzende des Verwaltungsrats die Interessen der Gesellschafterfamilien. Im Geschäftsjahr 2023 erzielte die Häfele Gruppe einen Umsatz von 1,71 Mrd. Euro bei einem Exportanteil von 82%. Weitere Informationen unter www.haefele.de


Querverweis:

In unserem Tech-Podcast nachgefragt: Weshalb Unternehmen eine SAP-Systemhärtung durchführen sollten

Unser Beitrag > Effektiver Cyberschutz mit KI: Prognosen und Handlungsempfehlungen für (IT-)Verantwortliche

Unser Beitrag > Mit unveränderlichen Backups gegen interne Datenmanipulationen als unterschätzte Gefahr

Unser Beitrag > Wichtige Sicherheitsfunktionen von Tape-Automatisierungs-Systemen gegen Cyberangriffe