Häfele übersteht Cyberangriff nach Stillstand von Produktion und Logistik

Am 2. Februar 2023 wurde Häfele Opfer einer schweren Cyber-Attacke. Drahtzieher war eine Hackergruppe, die für ihren Angriff die Schadsoftware von LockBit nutzte, dem größten RaaS-Anbieter weltweit. Das Familienunternehmen mit Sitz im baden-württembergischen Nagold sah sich gezwungen, seine komplette IT herunterzufahren und vom Netz zu nehmen. In der Folge standen Produktion und Logistik weltweit still, Website und Shop waren nicht mehr erreichbar.

Schnelle Erstmaßnahmen nach Angriff

Der Angriff wurde zuerst an den Standorten in Neuseeland und Australien entdeckt. Kurze Zeit später und noch mitten in der Nacht lief die „Rettungskette“ an. Das Incident Response and Recovery (IRR)-Team von Dell Technologies übernahm zusammen mit dem Krisenteam von Häfele die Koordination aller Maßnahmen. Weltweit arbeiteten in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen.

Eine entscheidende Rolle spielte dabei die Backup-Lösung: Die Dell EMC Data Domain blieb als einziges System in der Häfele-IT von der Ransomware-Attacke verschont. Sie ermöglichte den Zugriff auf alle Daten, Konfigurationsdateien und Passwörter und erleichterte so den Neustart der Infrastruktur. Um auf Nummer sicher zu gehen, entschied sich Häfele, weltweit alle Geräte und das Netzwerk neu aufzusetzen. Dabei kam ein kurz vor dem Angriff eingerichteter „Whiteroom“ mit Hardware, die noch nicht im Netz war, zum Einsatz: Dort wurden die Systeme von Dell Technologies komplett gelöscht, neu installiert und rund um die Uhr überwacht, bevor sie wieder in Betrieb genommen wurden. Die Umgebung ermöglichte so die schnelle Wiederherstellung geschäftskritischer Workloads. Gleichzeitig schaffte Häfele allein in Deutschland 300 neue Latitude-Notebooks an – inklusive Managed Detection and Response Services für alle 9.000 Endgeräte.

Zero Trust, SASE, SIEM und SOC

Darüber hinaus brachte Häfele seine gesamte IT-Sicherheitsarchitektur auf den neuesten Stand. Zu den Maßnahmen gehörten unter anderem ein konsequenter Zero-Trust-Ansatz, Secure Access Service Edge (SASE), Netzwerksegmentierung, eine Härtung der gesamten Infrastruktur, Vulnerability Management sowie interne und externe Penetrationstests. Zusätzlich wurden ein SIEM-System und ein externes SOC zur 24×7-Überwachung des Netzwerks implementiert, um Bedrohungen zukünftig frühzeitig erkennen und isolieren zu können.

Die Häfele Gruppe konnte innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren. Nach knapp zwei Wochen waren der Verzeichnisdienst Microsoft Active Directory, der Mail-Server und der Zugriff auf Office 365 wiederhergestellt. Nach sechs Wochen liefen ERP- und Shop-System wieder, sodass der Order-to-Cash-Prozess – vom Eingang einer Kundenbestellung bis zur Bezahlung der offenen Forderung – funktionierte. Danach folgten Schritt für Schritt alle anderen Häfele-Workflows, der letzte war Ende des Jahres „repariert“. Der Stellenwert von IT-Sicherheit im Unternehmen ist heute höher denn je: Die neu gegründete Corporate Information Security Organisation kümmert sich zentral um alle Aspekte.

Roger Homrich

Recent Posts

Metaversum: Arbeitsplatz der Zukunft mit dem Mensch im Mittelpunkt

Vom 17. bis 19. Juli findet das größte Event für Tech-Recruiting und Employer Branding auf…

13 Stunden ago

NIS-2-Richtlinie verändert Verantwortung für Domain-Sicherheit

Richtlinie enthält erweiterte und präzisierte Anforderungen und bringt spezifische Verpflichtungen und erhöhte Verantwortlichkeiten für Unternehmen.

14 Stunden ago

Lock-In-Effekte auf dem Cloud-Markt nicht zu unterschätzen

Lizensierungspraktiken auf dem Cloud-Markt begünstigen die Bündelung von Software- und Cloud-Angeboten und führen zu Lock-In-Effekten…

14 Stunden ago

Automobilzulieferer Bosch baut Software-Portfolio stark aus

Eine Vielzahl neuer Software-Lösungen soll domänenübergreifende Funktionen liefern und das Design der Fahrzeugarchitekturen vereinfachen.

18 Stunden ago

EU Cyber Resilience Act: Auswirkungen für die Sicherheit von Produkten und Services

Vor welche Herausforderungen die EU-Verordnung die Unternehmen stellt, erklären Security-Experten von Fortinet im Podcast.

1 Tag ago

Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Global Threat Index von Check Point: RansomHub war die am weitesten verbreitete Ransomware-Gruppe, gefolgt von…

4 Tagen ago