Vor gut einem Monat habe ich darüber berichtet, mit welchen perfiden Tricks sich Cyberkriminelle den Zugang zu fremden Netzwerken erschleichen – und wie sich Unternehmen davor schützen können.
Im heutigen zweiten Teil zeige ich, welche Konsequenzen einzelne Sicherheitsvorfälle nach sich ziehen können – und welche Maßnahmen daraus abgeleitet wurden.
[irp posts=“168385″ ]
Fall 1: Mittelständisches Unternehmen mit rund 3.000 Anwender:innen
Die Ausgangslage: Ein typischer deutscher Mittelständler mit 3.000 Anwender:innen, auf 40 Standorte verteilt, mit eigenen Rechenzentren, in der Fertigungsbranche unterwegs. Er beschäftigt einen Interims-CISO und keine dedizierten Mitarbeiter, die sich mit dem Thema Security beschäftigen. Außerdem fußt das Unternehmen auf einem 1-stufigen Firewall-Konzept sowie der üblichen Antiviren-Lösung.
Der Fall: Die Personalabteilung empfängt eine sogenannte Spear-Phishing-Mail der Fin11-Hackergruppe, die leichtsinnigerweise und unüberprüft geöffnet wird. Folge: Per Ransomware wird das Unternehmen erpresst. Das Lösegeld wird nicht bezahlt, da die Sicherungsdateien teilweise wieder hergestellt werden konnten. Die Produktion stand für 8 Tage still!
Die Konsequenzen: Der Sicherheitsvorfall brachte das Unternehmen dazu, die eigene Sicherheitsstrategie radikal neu zu denken. Anstatt einer Antiviren-Software kommt heute eine EDR-Lösung zum Einsatz, zudem wurde das Backup-Konzept überarbeitet. Darüber hinaus wurde das Unternehmensnetzwerk komplett neu segmentiert, dem E-Mail-Server eine neue Sicherheitslösung verpasst und ein neues Patch- sowie Schwachstellen-Management entworfen. Darüber hinaus verfolgt die Firma ab sofort einen Zero-Trust-Ansatz.
[irp posts=“167285″ ]
Fall 2: Mittelständisches Unternehmen mit rund 6.000 Anwender:innen
Die Ausgangslage: Ein deutsches mittelständisches Unternehmen mit 6.000 Anwender:innen, auf 70 Standorte weltweit verteilt, mit insgesamt 6 Rechenzentren, in der Fertigungsbranche unterwegs. Es beschäftigt einen dedizierten CISO. Eine ganzheitliche Sicherheitsstrategie fehlt.
Der Fall: Eine Schwachstelle des Oracle WebLogic-Servers ermöglichte es Hackern, eine Ransomware namens Sodinokibi im Unternehmensnetzwerk zu platzieren. Damit wurde das Unternehmen erpresst und das Lösegeld wurde bezahlt, da die Sicherungsdateien teilweise zerstört waren. Die Produktion stand für mehr als 6 Tage still, zudem wurde über den Fall in den Medien berichtet.
Die Konsequenzen: Im Anschluss an diesen Erpressungsfall führte das Unternehmen eine EDR-Lösung ein, zudem wurde eine vollständige IT-Security-Strategie ausgearbeitet und implementiert. Auch wurde das Erstellen und Speichern von Webinhalten deutlich besser abgesichert.
[irp posts=“158350″ name=“Video Das leistet das Threat Intelligence-Tool SentinelOne Signal“]
Disclaimer: Diesen Blogpost habe ich im Auftrag von SentinelOne verfasst und veröffentlicht. Unterstützt wurde ich bei der inhaltlichen Recherche von Mark Sobol (SVA), auf dessen Unterlagen ich dankenswerter Weise Zugriff hatte.