Häfele übersteht Cyberangriff nach Stillstand von Produktion und Logistik

Redaktion silicon.de,
Linkedin

Fast alle Geräte und Systeme waren mit Malware infiziert und verschlüsselt, sodass die IT nicht mehr funktionierte.

Am 2. Februar 2023 wurde Häfele Opfer einer schweren Cyber-Attacke. Drahtzieher war eine Hackergruppe, die für ihren Angriff die Schadsoftware von LockBit nutzte, dem größten RaaS-Anbieter weltweit. Das Familienunternehmen mit Sitz im baden-württembergischen Nagold sah sich gezwungen, seine komplette IT herunterzufahren und vom Netz zu nehmen. In der Folge standen Produktion und Logistik weltweit still, Website und Shop waren nicht mehr erreichbar. 

Schnelle Erstmaßnahmen nach Angriff 

Der Angriff wurde zuerst an den Standorten in Neuseeland und Australien entdeckt. Kurze Zeit später und noch mitten in der Nacht lief die „Rettungskette“ an. Das Incident Response and Recovery (IRR)-Team von Dell Technologies übernahm zusammen mit dem Krisenteam von Häfele die Koordination aller Maßnahmen. Weltweit arbeiteten in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen.

Eine entscheidende Rolle spielte dabei die Backup-Lösung: Die Dell EMC Data Domain blieb als einziges System in der Häfele-IT von der Ransomware-Attacke verschont. Sie ermöglichte den Zugriff auf alle Daten, Konfigurationsdateien und Passwörter und erleichterte so den Neustart der Infrastruktur. Um auf Nummer sicher zu gehen, entschied sich Häfele, weltweit alle Geräte und das Netzwerk neu aufzusetzen. Dabei kam ein kurz vor dem Angriff eingerichteter „Whiteroom“ mit Hardware, die noch nicht im Netz war, zum Einsatz: Dort wurden die Systeme von Dell Technologies komplett gelöscht, neu installiert und rund um die Uhr überwacht, bevor sie wieder in Betrieb genommen wurden. Die Umgebung ermöglichte so die schnelle Wiederherstellung geschäftskritischer Workloads. Gleichzeitig schaffte Häfele allein in Deutschland 300 neue Latitude-Notebooks an – inklusive Managed Detection and Response Services für alle 9.000 Endgeräte.

Zero Trust, SASE, SIEM und SOC

Darüber hinaus brachte Häfele seine gesamte IT-Sicherheitsarchitektur auf den neuesten Stand. Zu den Maßnahmen gehörten unter anderem ein konsequenter Zero-Trust-Ansatz, Secure Access Service Edge (SASE), Netzwerksegmentierung, eine Härtung der gesamten Infrastruktur, Vulnerability Management sowie interne und externe Penetrationstests. Zusätzlich wurden ein SIEM-System und ein externes SOC zur 24×7-Überwachung des Netzwerks implementiert, um Bedrohungen zukünftig frühzeitig erkennen und isolieren zu können.

Die Häfele Gruppe konnte innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren. Nach knapp zwei Wochen waren der Verzeichnisdienst Microsoft Active Directory, der Mail-Server und der Zugriff auf Office 365 wiederhergestellt. Nach sechs Wochen liefen ERP- und Shop-System wieder, sodass der Order-to-Cash-Prozess – vom Eingang einer Kundenbestellung bis zur Bezahlung der offenen Forderung – funktionierte. Danach folgten Schritt für Schritt alle anderen Häfele-Workflows, der letzte war Ende des Jahres „repariert“. Der Stellenwert von IT-Sicherheit im Unternehmen ist heute höher denn je: Die neu gegründete Corporate Information Security Organisation kümmert sich zentral um alle Aspekte.