Cyberangriff auf Häfele

"Es gibt keinen hundertprozentigen Schutz"

Der Hersteller für Möbelbeschläge Häfele wurde im Februar von einer Cyberattacke getroffen. Wir haben mit CISO Daniel Feinler über den Fall gesprochen.
Von 
CSO | 16. Mai 2023 06:08 Uhr
Daniel Feinler, CISO bei Häfele: "Auch wenn das Thema Cybersecurity bei uns bereits zuvor einen hohen Stellenwert hatte, zeigt der Angriff, dass es keinen hundertprozentigen Schutz gibt."
Daniel Feinler, CISO bei Häfele: "Auch wenn das Thema Cybersecurity bei uns bereits zuvor einen hohen Stellenwert hatte, zeigt der Angriff, dass es keinen hundertprozentigen Schutz gibt."
Foto: Häfele

Wie haben Sie gemerkt, dass die IT-Systeme von Häfele gehackt wurden?

Feinler: Wir sind ein internationales Unternehmen und weltweit an verschiedenen Standorten vertreten. Da der Angriff in der Nacht um vier Uhr passierte, wurde er zuerst in Neuseeland und Australien entdeckt. Als Corporate-IT wurden wir dann von den dortigen Kollegen darüber informiert, dass in unserem Netzwerk etwas nicht stimme. Dadurch sind wir dann auf den Hack aufmerksam geworden.

Also waren alle Standorte weltweit gleichermaßen von dem Angriff betroffen?

Feinler: Genau. Im Prinzip waren alle Geräte des gesamten Unternehmens betroffen, die zum Zeitpunkt des Angriffs eingeschaltet waren. Wir sind von Anfang an sehr transparent damit umgegangen. Wir haben unsere Belegschaft, Kunden und Lieferanten wöchentlich über den aktuellen Status informiert. Zudem gab es einen Hinweis auf unserer Website.

Welche Maßnahmen wurden daraufhin eingeleitet?

Feinler: Wir waren natürlich vorbereitet, da wir ein Cyber-Incident-Handbuch ausgearbeitet hatten. Darin ist festgelegt, wie wir in so einem Fall vorgehen. Das gilt auch für unsere Tochtergesellschaften. So steht dort zum Beispiel, dass alle IT-Geräte sofort vom Netz genommen werden müssen. Zudem gibt es die Anweisung, unsere Forensik- und Incident-Response-Dienstleister zu informieren und einen Krisenstab aufzubauen. In Bezug auf die jeweiligen Kommunikationsketten richten wir uns nach den BSI-Standards. Dort findet sich auch eine übersichtliche Liste darüber, was man in welchem Fall zu tun hat. Genauso ist auch unser Handbuch strukturiert.

Welche Daten waren von dem Angriff betroffen? Auch Kundendaten?

Feinler: Im Rahmen unserer abschließenden Analyse des Vorfalls kam heraus, dass die Angreifer Daten von unseren IT-Systemen abgezogen haben. Dabei handelte es sich überwiegend um interne Finanzdaten. Wir können zwar nicht hundertprozentig ausschließen, dass auch Daten von Kunden und Geschäftspartnern abgeflossen sind, aber nach unseren aktuellen Erkenntnissen handelt es sich nicht um persönliche Daten. Derzeit gehen wir daher davon aus, dass das Schadenspotenzial eher gering ist.

Gab es auch ein Erpresserschreiben mit Lösegeldforderung?

Feinler: Bei einem Ransomware-Angriff werden die Systeme der Opfer verschlüsselt. Das Lösegeld wird für die Entschlüsselung beziehungsweise Freigabe der Daten gefordert. Wir haben von Beginn an entschieden, den Vorfall aus eigener Kraft zu bewältigen und nicht auf eine Erpressung einzugehen. Wir haben dabei die gesamte IT-Infrastruktur komplett neu aufgesetzt, anstatt auf eine Wiederherstellung zu setzen. Das heißt, dass weltweit alle Endgeräte und Serversysteme neu konfiguriert wurden.

Lesetipp: Interview Technische Werke Ludwigshafen - "Wir waren uns einig, dass wir das Lösegeld auf keinen Fall zahlen"

"Wir haben uns teilweise mit analogen Prozessen ausgeholfen"

Welches Ausmaß hatte der Angriff insgesamt?

Feinler: In den ersten Wochen nach dem Angriff war zunächst keine digitale Kommunikation mehr möglich. Deshalb haben wir auf Messenger-Diensten zurückgegriffen, um weiter kommunizieren zu können. Zusätzlich kam die komplette Logistik weltweit zum Stillstand, weil dort alles an digitale Systeme angebunden ist. Daraufhin haben wir sehr schnell, dort wo es uns möglich war, analoge Prozesse eingeführt. So konnten unsere Mitarbeiter in den Landesgesellschaften, die über keine Automation im Lagerbereich verfügen, beispielsweise zu den Regalen gehen, um die Ware händisch an die Kunden auszuliefern.

Wir haben es dann zwar schnell geschafft, die digitale Infrastruktur wieder in Gang zu setzen, trotzdem konnten wir nicht vermeiden, dass es Ausfälle in der Lieferkette gab. Nach derzeitigem Stand können wir allerdings noch nicht sagen, wie groß der Schaden insgesamt ausfällt. Wir gehen jedoch davon aus, dass er erheblich sein wird.

Was haben Sie aus dem Fall gelernt? Hat sich Ihre Sicherheitsstrategie dadurch verändert?

Feinler: Auch wenn das Thema Cybersecurity bei uns bereits zuvor einen hohen Stellenwert hatte, zeigt der Angriff, dass es keinen hundertprozentigen Schutz gibt. Um die Sicherheit dennoch zu erhöhen, verfolgen wir jetzt einen konsequenten Zero-Trust-Ansatz. Außerdem haben wir eine Corporate Information Security Organisation eingerichtet, um einen eigenen Bereich für die IT-Sicherheit zu schaffen. Von dort aus wird das IT-Risk-Management, der Bereich Governance Audit and Compliance sowie das ganze Vulnerability Management zentral gesteuert. Auch meine Rolle als CISO wurde in diesem Zuge neu geschaffen. Zuvor wurde das Thema Security von den einzelnen IT-Abteilungen geregelt.

Zudem haben wir unsere IT-Architektur mit neuen Firewalls und einem SASE-Konzept (Secure Access Service Edge) bis hin zum Virenschutzprogramm sowie die gesamte Hardware neu aufgebaut. Dabei haben wir aktuelle Standards und eine Netzwerksegmentierung eingefügt.

Was wir jedoch auch durch den Fall gelernt haben, ist, dass es neben den technischen Maßnahmen vor allem auf die Kommunikation und den Zusammenhalt ankommt.

Wie bereiten Sie sich auf künftige IT-Risiken vor?

Feinler: Zum einen wollen wir das Vulnerability Management weiter ausbauen sowie interne und externe Pentests integrieren. Zudem werden wir ein ISMS (Information Security Management System) einführen, um uns auf die ganzen Cybergefahren besser vorzubereiten. Wir haben jetzt auch ein SIEM-System (Security Information and Event Management) und ein externes SOC (Security Operations Center) zur Überwachung implementiert. Dadurch werden wir frühzeitig erkennen, wenn noch einmal eine größere Bedrohungslage kommen sollte.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.