BCW-Interview 2022: Aus Cyberattacken als CIO lernen – Erfahrungen, Lessons Learned, Tipps und Tricks

Stefan Würtemberger

Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co KG und Mitglied des CyberCompare Beirats. In seiner mehr als 20-jährigen Karriere in der IT von Industrie-Unternehmen und deren Absicherung hat er viele verschiedene IT-Situationen erlebt. Er berichtet offen über die zwei Ransomware Angriffe auf Marabu und wie das Unternehmen diese bewältigen konnte. Zudem hat er aus seiner Erfahrung heraus eine Best-Practice-Handlungsanleitung für Betroffene erstellt.

Im Folgenden ist ein Interview mit Stefan Würtemberger veröffentlicht, das extra für die Bosch ConnectedWorld (BCW) 2022 angefertigt wurde.

Im Interview spricht Simeon Mussler, COO Bosch CyberCompare, mit Stefan Würtemberger über seine Erfahrungen mit den zwei Ransomware Angriffen sowie seinen daraus gewonnenen Erkenntnissen. Was ist vorgefallen? Wie läuft eine Cyberattacke ab? Wie wurde die IT-Infrastruktur wieder aufgebaut? Wie ist die IT und das gesamte Unternehmen mit den Angriffen umgegangen? Bei Ransomware Angriffen zahlen – oder nicht?

Auf diese und viele weitere Fragen geht Stefan Würtemberger ausführlich ein und gibt im Laufe des Interviews Tipps und Ratschläge.

Liebe Teilnehmer,

wir begrüßen Sie sehr herzlich bei unserem virtuellen Stand auf der Bosch ConnectedWorld. Wir freuen uns, dass wir hier einen sehr interessanten Gesprächspartner präsentieren können, mit dem wir einige Themen im Bereich Cybersecurity streifen werden, der uns aber insbesondere mitnehmen wird auf die Ereignisse, die er durchleben musste/durfte, und zwar in einem Ransomware Angriff, bzw. inzwischen sogar zwei Ransomware Angriffen. Er wird ein bisschen darüber erzählen, wie das abgelaufen ist, wie er die IT wieder aufgebaut hat und was Lessons Learned sind, die vielleicht für Sie auch interessant sind.

Vielleicht erlauben Sie mir, kurz uns auch vorzustellen als Bosch CyberCompare. Im Unterschied zu den weiteren Bosch-Standorten und weiteren Ausstellern hier, geht es bei uns weniger darum, ein Produkt zu verkaufen, sondern wir sind eine Einkaufsplattform für Cybersicherheitslösungen und Produkte.

Wir haben einfach festgestellt, dass IT-Abteilungen in der Themenbreite von Digitalisierung und Cloud-Migration auch das Thema Cybersicherheit oder Informationssicherheit bearbeiten müssen und dabei natürlich relativ stark überlastet sind. Warum soll also jedes Unternehmen beim Thema IT-Security neu anfangen und sich selbst ein Bild machen und versuchen den Anbietermarkt zu durchschauen?

Wir haben auf der anderen Seite eine sehr breite Anbieterlandschaft, starke Entwicklungen, neue Tools, neue Abkürzungen, durch die Werbematerialien fliegen, von EDR, dann wird daraus ein XDR, dann gibt es noch ein NDR, und wenn ich dann auch noch ein Service dazu wähle, habe ich einen MDR. Und diese ganze Bandbreite zu durchschauen, ist einfach eine große Herausforderung und ist ein Stück weit auch ineffizient, wenn jede IT-Abteilung das selbst für sich macht. Daher sind wir dafür da, diese Ausschreibungen zu begleiten. Wir machen dabei zwei Sachen:

  • Das eine kann sein, dass wir eine Bestandsaufnahme machen mit Ihnen, wo wir sagen, gut, aus unseren Erfahrungen, was sollten Sie als Nächstes tun.
  • Aber wenn wir ein spezifisches Produkt/Projekt entsprechend gemeinsam starten, dann würden wir den gesamten Ausschreibungsprozess mit Ihnen durchlaufen, heißt wir fangen an mit standardisierten Spezifikationen, warum soll sich jeder überlegen, was er da macht und selbst sozusagen ein Word-Dokument erstellen. Können durch unsere Marktkenntnis auch schon ganz gut sagen, welche Anbieter dafür in Frage kommen, sind aber als unabhängige Plattformen jederzeit bereit, weitere Anbieter reinzunehmen oder rauszulassen.

Wir arbeiten rein im Kundenauftrag und haben keine finanziellen Verbindungen zu den Anbietern selbst. Bringen also unser Marktkenntnis ein, weil wir das auch jeden Tag machen mit inzwischen knapp 250 Kunden im DACH-Raum. Die Ausschreibung erfolgen anonymisiert und das Endergebnis ist eigentlich eine Entscheidungsvorlage, wo wir sagen, wir haben den Markt überblickt und wir können Ihnen empfehlen, welchen Anbieter Sie nehmen sollten. Die Entscheidung liegt natürlich bei Ihnen, Ihrem Management und mit der Einkaufsabteilung gemeinsam.

Soweit zu uns. Weitere Informationen finden Sie in unserem Online-Stand und ansonsten stehen unsere Kolleginnen und Kollegen auch gerne für Fragen zur Verfügung. Da können Sie die Chatfunktion auch gerne nutzen.

So viel dazu. Jetzt wende ich mich unserem heutigen Gast zu: Stefan Würtemberger. Ich freue mich sehr auf das Gespräch mit Dir. Vielleicht willst Du kurz erstmal zwei Sätze zu Dir sagen.

Ja, vielen Dank für die Einladung, hier virtuell teilzunehmen bei der Bosch ConnectedWorld. Mein Name ist Stefan Würtemberger. Ich verantworte bei der Marabu die IT. Wir sind ein Farbenhersteller, weltweit tätig und ja, uns hat es zweimal erwischt mit Ransomware und da wollen wir heute einfach ein bisschen drüber sprechen.

Vielen Dank Dir, Stefan, und erstmal toll, dass Ihr darüber redet. Es ist ja nicht häufig der Fall. Vielleicht willst Du kurz loslegen, den ersten Fall anzuschauen, was ist passiert, was ist vorgefallen, wie hast Du davon erfahren?

Ja, der erste Fall hat bei uns begonnen am 29.11.2019, ein Black Friday. Für uns war es dann wirklich „black“. Es ging nach sechseinhalb Stunden gar nichts mehr. Knapp 95/96 Prozent aller IT-Systeme, von der Office-IT, Cloud bis hin zur OT waren verschlüsselt und, ja, es war für uns wirklich ein brutaler Eingriff in das Betriebsgeschehen.

Erfahren habe ich zufälligerweise in Spanien von dem Ganzen, als mich morgens kurz nach sechs die Produktion angerufen hat und gesagt hat: „Bei uns, da stimmt irgendwas nicht. Aus dem Drucker kommen ganz komische Fertigungspapiere mit Hieroglyphen.“ Wir haben dann begonnen mal zu sichten, was die Lage ist.

Am Anfang wussten wir auch gar nicht, dass es eine Ransomware Attacke ist. Wir dachten einfach, ein Server-System ist kaputt und es hat sich dann über die sechs Stunden herausgestellt, dass wir einen schweren Ransomware Angriff haben und dann auch immer mehr in den Ländern sich die Ransomware verteilt hat. Von daher hat es uns in dem Fall schon brutal getroffen.

Und was waren dann die ersten Schritte, also was macht man dann, wenn man feststellt, alles ist letztlich lahmgelegt? Wie seid ihr da gestartet?

Naja, am Anfang weiß man ja noch gar nicht, Ransomware, ja/nein. Das sieht man zum Teil oder sahen wir nicht. Was haben wir gemacht?

Wir haben zumindest die ersten Dinge der IT gemacht, wir haben mal geguckt, Server runterfahren, VMware-Wechsel, bis wir dann gemerkt haben, „Oh, es ist eine Cyberattacke.“

Dann ganz klares Prozedere: Krisenstab einberufen, alle Abteilungsleiter informieren, sofern das noch ging, denn Telefon war ja alles weg. Dann war der Rückfall auf die Mobiltelefone da. Wen erreicht man, wen erreicht man nicht? Und dann ging es eigentlich in der IT los, alles runterfahren, was nur geht. Zum Teil in Ländern ein bisschen fatal, haben die Kollegen dann auch einfach den Stromstecker rausgerissen aus blanker Verzweiflung und war jetzt nicht so optimal, aber ja klar alles runterfahren. Lage sichten, Krisenstabmeetings, Forensik, IT-Firmen herholen, Ausmaß abschätzen.

Das waren so die ersten Schritte der ersten Tage. Ja, war nicht die einfachste Zeit.

Das glaube ich sofort. Und jetzt sozusagen über die IT auch hinaus, wie ist die gesamte Organisation da? Wie ist sie damit umgegangen? Denn es ist natürlich auch ein Stück weit ein dramatisches Erlebnis, denke ich, nicht nur für die IT-Abteilung, sondern auch für die weiteren Mitarbeitenden.

Ja, also eine Cyberattacke ist wirklich ein Unternehmensereignis. Je nachdem, wie schwer das ist und in unserem Fall war sie wirklich global, da geht ja gar nichts mehr. Und die IT-Abteilung klar versucht es technisch zu lösen, aber auch alle anderen Fachabteilungen sind da vor großen Problemen gestellt.

Das fing damit an, dass kein Tor mehr aufging, kein LKW mehr reinfahren kann, du kannst nichts abladen. Das war für alle Fachabteilungen natürlich dann die Hölle, denn du kriegst ja gar nichts mehr im Haus bewegt. Produktionsstillstand. Wobei die Produktion bei uns eigentlich weiterlief. Wir haben eine sehr analoge Fertigung, aber das geht dann ins Einlagern weiter. Du kriegst nichts mehr ins Hochregal rein/raus. Du findest die Ware nicht. Du kannst ja auch nicht mehr kommunizieren, weil keine E-Mail, kein Telefon, keine EDV.

Von daher müssen sich die Abteilungen da selbst auch in ihren Notfallmaßnahmen der Abteilungen umsetzen, was bei uns am Anfang auch ein bisschen Chaos war, bis sich das regelt und man ist halt heute einfach sehr abhängig von der IT, aber es ist nicht nur ein reines IT-Problem, es ist wirklich ein Organisationsproblem.

Und wie sahen dabei so die ersten drei/vier Tage aus? Also von, „ich weiß, dass es passiert ist“, bis man zumindest eine Klarheit hat und einen Plan nach vorne.

Ja, also die ersten Stunden sahen schlimm aus, weil, was machst du denn? Du kannst niemand informieren.

Also was hat unser Chef gemacht? Er hat handschriftlich Zettel geschrieben und hat erstmal Betriebsruhe verhängt.

Dann haben wir freitags mal die erste Lageeinschätzung gemacht. Da wird man natürlich auch gefragt: „Ja, wie lange schätzen wir denn, bis wir wieder arbeiten können?“ Da ist man dann sehr optimistisch und sagt: „Ja, Montag/Dienstag wird schon wieder alles gehen.“

War dann leider nicht so, dass es so schnell wieder ging und dann muss man erstmal diese ganzen Mitarbeiter informieren, Telefonketten bilden – in unserem Fall hatten wir nicht mal mehr Telefone, sondern nur noch das Smartphone. Aber auch die ganzen Kontaktdaten waren nicht mehr verfügbar, denn die waren auf Outlook. Da muss man aus seinen privaten Kontakten Chatgruppen erstellen und alle Mitarbeiter auf den Stand bringen. Das war eigentlich so die erste Herausforderung des Freitags.

Samstags war dann eigentlich nur die IT im Betrieb. Da war dann die Polizei da, die Forensiker da. Dann muss man erstmal herausfinden, was hat eigentlich zugeschlagen? Wie kam das ins Unternehmen? Weil das muss man erstmal wissen, bevor man dann Schutzmaßnahmen und Recovery einleiten kann. Dauert sehr lange und dann haben wir versucht, Backups wieder ins Laufen zu bringen. Als wir dann gemerkt haben, dass die auch kompromittiert waren, hat man dann halt andere Lösungen finden müssen, um die IT wieder ins Laufen zu bringen.

Also die ersten sechs Tage bis dann ein vorsichtiger ERP-Betrieb möglich war, waren schon relativ anstrengend. Danach ordnet sich das alles und man hat dann auch mehr Überblick, aber man muss dann auch Prioritäten setzen. Welches System wird benötigt, dass man was tun kann? Das ist schon auch die Rangfolge des Wiederherstellens, der Recovery. Dann geht es natürlich auch in die Länder rein. Was muss, welches Land kommt wann dran? Das muss im Krisenstab organisiert werden und dann müssen Kommunikationsregeln aufgestellt werden. Also die ersten 24 Stunden sind maßgeblich in der Cyberattacke, das Grundgerüst regelt. Danach ist ein Abarbeiten des Incidents, was nicht ganz so stressig und schwer ist. Aber so die erste Woche ist die Hölle.

Und eine Frage, die natürlich viele Unternehmen dann haben, ist: Zahlen oder nicht zahlen?“ Was durchaus auch eine existenzielle Frage sein kann. Wie war das bei Euch? Wie seid Ihr darangegangen? War das von Anfang an klar oder wie seid Ihr diese Entscheidung angegangen?

Von unserer Seite aus war es eigentlich relativ stringent klar: Wir zahlen nicht. Das kann das Unternehmen nur für sich selbst beantworten, zahle ich oder zahle ich nicht. Das Zahlen von Lösegeld in Cyber-Erpressung muss nicht immer die richtige Entscheidung sein. Die Hacker können vielleicht auch nicht alles entschlüsseln, kommt auf die Professionalität der Hacker an. Es ist ein Business Case und sie versuchen es natürlich, aber die Frage des Zahlens ist eine sehr schwere.

Für uns war es klar, „Ja wir zahlen nicht.“ Aber über die Zeit hinweg, je länger das nicht funktioniert, desto mehr Gedanken machst du natürlich. Zahlt man vielleicht dann doch, dass es schneller aufhört? Man muss sich natürlich auch immer Optionen offenlassen. Compliance bei uns sagt, es wird kein Lösegeld bezahlt, man hat aber in der Hinterhand immer noch die Möglichkeit, über die Compliance hinwegzugehen und zu sagen, „okay, wenn es dann für das Unternehmen so kritisch wird, dass es ohne Zahlung nicht geht, muss man vielleicht mal über seinen Schatten springen und dann doch bezahlen.“

Man muss aber auch gleichzeitig, wenn man diese Option offenlässt, alles vorbereiten, um zu bezahlen. Es geht alles in Krypto. „Habe ich das richtige Konto? Weiß ich, wie ich echtes Geld in Krypto umwandle? Weiß ich, wie ich dann bezahle?“ Das sollte auch mit auf dem Schirm sein, auch wenn das Credo bei uns immer war, „wir zahlen nicht“, was wir letztendlich auch ohne Lösegeld geschafft haben.

Was auch noch oft ist: die Lösegeldzahlung schützt einen nicht, dass vielleicht nicht die nächste Tätergruppe dann gleich über einen herfällt, weil auch die gehackten Accounts, werden im Darknet dann weiterverkauft, um den maximalen Gewinn zu machen.

Also es ist eine sehr politische Entscheidung des Unternehmens. Aber wir stehen dafür – zahlt lieber nicht. Bereitet Euch präventiv lieber auf das ganze Thema vor. Aber wie gesagt: Muss jedes Unternehmen für sich selbst entscheiden.

Ja, bringt nichts mit dem Finger zu wedeln. Wie funktioniert die Kommunikation mit solchen Hackern, also habe ich dann ein Chatbot oder eine Adresse oder wie komme ich überhaupt mit denen in Kontakt oder wart ihr mit denen überhaupt in Kontakt?

Bei der ersten Cyber-Attacke waren wir mit denen nie wirklich in Kontakt. Das hatten wir dann erst ganz spät mit der Polizei zusammen gemacht.

In der Regel sind es sind es Chaträume oder E-Mail-Adressen, wo man eine E-Mail hinschickt oder wo man einen Darknet-Link hat auf einen Webserver. Sieht ein bisschen aus wie WhatsApp, wo man einfach dann mit denen Verhandlungen tritt, wo man dann auch Dateien/Muster/Examples hinschickt, die die dann entschlüsseln und dann geht es alles über anonymisierte Chats oder im zweiten Fall war es eine E-Mail-Kommunikation, wo man dann E-Mails hin und her schickt. Das ist ganz unterschiedlich.

Ja, und als nächstes vielleicht: wenn dieser Incident abgearbeitet ist, soweit es eben geht, wie bist Du und die Organisation den Wiederaufbau letztlich angegangen? Was habt Ihr gemacht? Habt Ihr von Grund auf alles weggeschmissen und neu gemacht? Oder wie seid Ihr da quasi zum Wiederaufbau der IT und IT-Security gekommen?

Naja, bei uns war ja die erste Cyberattacke nahezu Greenfield Approach, wenn fast 95/98 Prozent der IT nicht mehr gehen, hat man natürlich auch viele Chancen. Die Chancen haben wir dann auch genutzt für uns, dann das Security Fundament neu zu machen, viele Services in die Cloud auszulagern, Legacy Software durch neue Applikationen gleich zu ersetzen. Was man so eigentlich in Normalbetrieb nicht schafft.

Aber, man muss es so sehen: nach der Cyberattacke ist ja quasi auch vor der Cyberattacke. Man hat ein kompromittiertes Netz, man kennt dann durch die Forensik die ganzen Sicherheitslücken, muss dann im laufenden kompromittierten Betrieb umbauen, wieder zu einer Secure IT-Infrastruktur und da waren unheimlich viele Teilprojekte nachher drunter.

Natürlich macht man ein State of the Art Security, haben wir ja auch mit Euch dann schon zusammen gemacht. Man hat dann SOC, man hat SIEM-Systeme, man hat Segmentierung und und und. Da kommen natürlich alle technischen Sachen dann hoch, die man heute so am Markt findet: MDR und und und. Aber es ist dann schon ein Mörderweg, weil, man hat natürlich dann wieder einen laufenden Betrieb und baut dann die IT zukunftssicher auf ein Security Fundament um.

Und wenn Du aus heutiger Sicht darauf zurückblickt, jetzt auf diese gravierende Attacke, bevor wir zur zweiten kommen, was hast Du dabei gelernt? Was vielleicht auch Leute, die natürlich gegebenenfalls in ähnliche Situationen rutschen, helfen wird. Also wie kann man sich vorbereiten? Was hast Du gelernt, was hättest Du anders machen sollen/können oder die Organisation? Was Du jetzt mitgeben kannst an andere Teilnehmer.

Die wichtigste Erkenntnis, die wir gezogen haben, ist, dass man sich das Thema Cyberattacke bewusst werden soll im Unternehmen. Es sind ganz andere Abläufe nötig während einer Cyber-Attacke oder einer anderen Krise.

Wenn man jetzt mal ein Brand nimmt im Unternehmen, dann weiß ich einfach: „Ja, gut, da ist ein Feuer. Da rufe ich bei der Feuerwehr an, da kommt eine Organisation, die löscht, dann baue ich wieder auf.“

Das gibt es bei einer Cyberattacke nicht. Es fängt ja schon an, wenn eine Cyberattacke losgeht. Wen rufe ich denn überhaupt an? Wo kriege ich denn die IT-Feuerwehr, die mir hilft? Das wissen viele gar nicht und das sind einfach Dinge, die man im Vorfeld schon klären kann, dass, wenn es dann gebraucht wird, ich weiß: „Okay ich rufe jetzt bei dem an, ich habe das Kontingent, ich habe die Leute, die kennen dann auch die Infrastruktur.“ Und das ist ein Teil.

Der zweite Teil ist das Ganze mal durchspielen und üben. Dass ich einfach nicht ganz nackt in diese Situation reinlaufe, gar nicht weiß, wie reagiere ich jetzt, wen brauche ich denn alles, wo trifft sich denn der Krisenstab, was sind die Aufgaben, wer hat welche Rolle inne? Das kann ich alles schon im Vorfeld super üben. Drumherum kann ich dann natürlich viel an Technik tun und was auch ganz wichtig ist, ist einfach, das Bewusstsein der Mitarbeiter zu schärfen, dass Cyberattacken präsent sind, dass Cyberattacken öfters denn je passieren, dass sie für das Unternehmen schlimme Auswirkungen haben können. Das ist einfach das ganze Thema Awareness. Sprecht im Betrieb einfach über Cyberattacken, seid Euch bewusst, egal welche Größe, egal welche Branche, es kann einen jederzeit treffen und das sind eigentlich so die Sachen, die man als wichtigstes mit rausziehen kann.

Und vielleicht zu Deiner Rolle oder der Rolle eines IT-Leiters in einer solchen Situation. Also Du bist ja dann in einer solchen Situation Ansprechpartner für deine IT-Abteilung, die wissen will, was sie tun soll. Du bist für andere Abteilungen natürlich der Hauptansprechpartner. Ich kann nicht arbeiten, wann kann ich wieder loslegen?“ Die Geschäftsführung wird sicherlich ein-/zweimal rückfragen, wann es denn wieder geht oder was der nächste Schritt ist. Wie hast Du diese Rolle wahrgenommen, wie hast Du die gemanagt und wo hast Du da auch sozusagen für Dich was mitgenommen oder gelernt? 

Ja, die Rolle ist eigentlich relativ schnell. Man wird Leiter des Krisenstabs, weil man muss ja für alles eine Auskunft geben. Es ist ein IT-Impact, ja, und der IT-Leiter ist der Einzige, der das Thema überblicken kann.

Was wichtig ist, in der der Rolle des Managers muss man auch managen, muss man organisieren. Man darf dann nicht in das Thema verfallen, „Oh, jetzt fange ich mal an selber mit zu installieren.“ Das ist, glaube ich, eher negativ in der Situation. Ich bin ein Sprachrohr, die Anlaufstelle für jeden gewesen und es wird auch jeden anderen treffen, weil natürlich viele Informationen dann zentral bei mir zusammengelaufen sind. Und die muss man dann verarbeiten, die muss man verteilen, es werden auch viele Fehlentscheidungen getroffen. Die müssen dann gegebenenfalls revidiert werden. Man muss das alles ein bisschen auch mitdokumentieren und das ist quasi so der Organisator, der Kümmerer für alles, was da drumherum läuft. Man hat natürlich auch viele Meetings, wo man immer wieder Frage-Antwort hat. Man muss ruhig bleiben.

Wir hatten den Fall ja auch, dass dann Kollegen fragen, aus ihrer Sicht damals schon dann berechtigt, „wann geht denn, zum Beispiel, meine E-Mail-Signatur wieder?“ Wenn du jetzt in einer inneren Stresssituation bist, dann explodiert man. Man geht sich gegenseitig dann an die Kehle. Das bringt nichts. Also man muss es ruhig, besonnen machen.

Man muss sich aber auch Freiraum nehmen, also die ersten sechs/sieben Tage sind wirklich so das Schlimmste. Man muss dann auch mal abschalten, das ganze Thema hinter sich lassen, dass man wieder bisschen zur Ruhe kommt, entspannt und dann fit in den neuen Tag startet. Da ändert sich ja nichts an der Situation, es ist immer noch da, also von daher, das sind eigentlich so die Key Points, die man beachten soll: Ruhe bewahren, organisieren, nicht mitarbeiten, kümmern, zuhören, Ideen sammeln. Das waren eigentlich so die wichtigsten Dinge, die ich mitgenommen habe.

Für die Organisation ist eigentlich genau das Gleiche. Viele Ängste bearbeiten, es ist ein psychologischer Druck auf allen Seiten da. Da muss man einfach die Ruhe bewahren und eigentlich auch sehr offen darüber reden innerhalb des Betriebes, dass die Mitarbeiter ein Verständnis haben, was passiert jetzt, was kommt als Nächstes, bin ich sicher am Arbeitsplatz, wie geht es alles weiter im Unternehmen? Das muss man einfach ein bisschen mitausstrahlen.

Ja, danke Dir fürs Teilen. Wenn wir jetzt den Bogen spannen zur zweiten Attacke. Jetzt hattet Ihr ja eigentlich alles wieder aufgebaut, auch viel Zeit und wahrscheinlich auch Geld investiert, um Euch besser abzusichern. Jetzt hat es anscheinend doch nicht gereicht. Was ist passiert?

Naja, ja, es hat uns ein zweites Mal getroffen, resultiert aber noch so ein bisschen aus dem Umbaumaßnahmen der ersten Cyberattacke. Wie ich vorhin schon gesagt habe, hatten wir eine Cyberattacke, die ging bei der ersten neun Wochen. Nach den neun Wochen haben wir ja noch nicht alles umgebaut. Das dauert dann sehr lange und wir waren so in den Endzügen der ersten Cyberattacke, hat es ein altes Legacy System erwischt, das wir noch tauschen wollten.

Aber man sieht dann auch schon die Unterschiede, ja wir haben das nicht gut und konsequent durchgezogen, aber wir wussten dann bei der zweiten Attacke „oh es hat uns wieder erwischt“ und es war sehr schnell und da hatten wir auch dann direkt den Überblick. „Okay, es ist eine Cyberattacke, es ist Ransomware.“ Dann ging eigentlich das das Abarbeiten des Incidents wie beim ersten Mal los. Aber viel geordneter, viel schneller, viel strukturierter und das sieht man ja auch in der Zeit.

Die Erste dauerte 9 Wochen, bis wir da wieder 95 Prozent arbeiten konnten. Bei der Zweiten war nach 48 Stunden im Unternehmen alles vorbei. Und das sieht man auch dann, wenn das geübt ist, wenn die Routine da ist, wenn die Kontakte da sind, wenn die Personen wissen, „oh, da ist das und das vorgefallen.“ Dann geht es eigentlich nach Checkliste runter, auch bei der Summenanzahl: bei der ersten Cyberattacke waren es über die ersten sechs Wochen 23 Consultants plus meine Abteilung, bei der zweiten Cyberattacke war sogar ein Admin im Urlaub. Und da hatten wir kaum externe Unterstützung außer der Forensik und da sieht man eigentlich so die Differenz am besten – auch vom Geld her. Am Anfang Millionenbetrag. Jetzt nicht mehr ganz 100.000 Euro. Und da sieht man – wie gesagt die Differenz, wenn man weiß, was einen getroffen hat.

Besser ist natürlich, man weiß vorher, dass es versucht wird, also die Prävention noch besser ist. War halt leider nicht so, aber je besser man das übt, desto leichter und schneller vergeht es.

Ja, danke Dir. Und jetzt gibt es ja viele Unternehmen, die eine ähnliche Größe haben, so typischer Mittelstand, würde ich es mal nennen, so wie Ihr. Gibt es irgendwelche organisatorischen Maßnahmen oder Tools oder auch teure Tools, wo Du sagst, das sollte man heutzutage haben, das sollte man eingeführt haben, umgesetzt haben, wie auch immer. Hast Du da Deine Top 3 / Top 5, was man machen sollte?

Also das Wichtigste und das ist eigentlich eine organisatorische Maßnahme, ich brauche eine gute Dokumentation und ein Krisenhandbuch, das offline verfügbar ist. Wenn die IT nicht mehr geht, dass ich das aus dem Schrank ziehen kann und dann abarbeiten. Das muss aber auch regelmäßig aktualisiert werden. Es bringt mir auch nichts, wenn es jetzt drei Jahre im Schrank lag und Staubschicht hat. Das gehört einfach so zur Cybersecurity Strategie dazu.

Ein zweites Thema, was auch jetzt nicht so viel Geld kostet, das ist jetzt eher für die IT ein bisschen stressiger, entfernen Sie einfach die Admin Accounts an Laptops, machen Sie ein bisschen Domain Tearing, das kostet nicht wahnsinnig viel Geld, aber erhöht den Schutz.

Die teureren Maßnahmen, die sehr viel bringen, das sind dann SIEM Systeme und dann vielleicht auch einen SOC, dass halt 24 Stunden jemand ein Auge hat auf Ihr Netzwerk und auf ungewollte Aktivitäten. Das aufzubauen, ist aber allerdings sehr viel Arbeit, sehr viel Stress und da muss ich auch Vorarbeiten leisten. Da sollte ich eine gute Firewall-Infrastruktur, eine gute Netzwerksegmentierung haben. Ich brauche schon mal eine Strategie, um abzutrennen nach OT, nach Office, um das alles umzusetzen. Und weil je schlechter das vorbereitet ist, desto mehr Impact hat es im Team, weil dann kommen einfach viel zu viele Vollpositives und es geht auch nicht so.

Und wie gesagt, SOC ist toll, weil halt jemand professionell darüber guckt und die Ressourcen kann man nicht haben. Es ist aber mit einer der teuersten Maßnahmen, die man sich aber heute leisten sollte.

Ja, danke Dir. Und bei solchen Ausschreibungen, wie glaubst Du, passen wir da rein? Also was kann CyberCompare da auch als Mehrwert leisten, als Plattform? Wie ist da Deine Sicht drauf?

Der Mehrwert ist super für mich, auch weil natürlich diese Ausschreibung zu erstellen, die ganzen Anforderungsanalysen, die Hersteller zu suchen, die zu vergleichen, nicht einfach ist und dazu haben wir einfach nicht die Zeit.

Wir haben ja selber zusammen unsere SOC-Ausschreibung gemacht. Man macht einmal ein Fragebogen, man kriegt ein super profundes Ergebnis, man hat die Kontakte zu den Herstellern oder zu den Anbietern, man weiß, mit wem man spricht und die wissen auch schon, wer da auf der Gegenseite, was denn überhaupt möchte, weil es halt schon gut vorbereitet ist. Ich denke, es wird bestimmt Monate Arbeit ersparen, wenn man es mit Euch macht, anstatt es alleine zu tun.

Das hören wir gerne und vielleicht noch zum Abschluss: Hast du noch ein Tipp oder ein Rat, den du all deinen Kollegen im CIO Sessel oder IT-Leiter-Sessel mitgeben willst? Wo du sagst, das sind die ein/zwei Sachen – schreibt die Euch hinter die Ohren und denkt an mich.

Also die zwei wichtigsten Dinge während einer Cyberattacke, falls es einen trifft:

Verliert nie den Humor. Es ist zwar die schlimmste Situation, die man sich als IT-ler vorstellen kann, aber der Drops ist eh gelutscht. Von daher kann man auch während einer Cyberattacke noch lachen.

Und das zweite, das ist eigentlich so ein persönliches Statement: Es gibt keine hundertprozentige IT-Sicherheit. Seid vorbereitet, Software wird halt durch Menschen programmiert, durch Menschen konfiguriert und durch Menschen benutzt, die gegenseitig die Lücken schamlos ausnutzen, weil sie viel Geld verdienen wollen und man muss einfach vorbereitet sein. Das sind so eigentlich für mich die zwei wichtigsten Statements.

Danke Dir. Super, dann kommen wir zum Ende.

Vielen herzlichen Dank, Stefan, dass du die Erfahrung mit uns geteilt hast.

Ich glaube, da ist auch für die Zuhörerschaft, für die Teilnehmer hier auf der BCW sicherlich einiges dabei, was sie mitnehmen können. Ob Sie es hinter die Ohren schreiben oder nicht, kann jeder für sich entscheiden, aber falls Sie auch, jetzt als Zuhörer/Zuschauer Themen bearbeiten, einen unabhängigen Blick auf Ihre Cyber-Sicherheitslandschaft haben möchten oder eben entsprechend bei Ausschreibungen und Angebotsvergleichen Unterstützung suchen, sprechen Sie uns gerne an.

Falls Sie auf Basis dieses Videos Fragen haben, falls Sie auch an Stefan Würtemberger eine Frage haben, lassen Sie uns das wissen. Wir bearbeiten die gerne, wir stehen hier gerne zur Verfügung. Die Kollegen und Kolleginnen sind online. Stefan und ich sind hier auf der Messe direkt, also wenn Sie auch in Person hier sein sollten, kommen Sie gerne beim Stand von Bosch CyberCompare vorbei und wir freuen uns da auf die Zusammenarbeit, auf die Rückmeldung und für den Moment.

Herzlichen Dank, noch mal, Stefan, und einen schönen Tag!

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.

Simeon Mussler

Wir helfen Ihnen gerne persönlich bei der Spezifikation Ihrer Cybersecurity Anforderungen:

+49 (0)711 811-91494
cybercompare@de.bosch.com

Jetzt anfragen