Wenn Verantwortliche ihren Rechenzentren vorĂŒbergehend den Strom abschalten, ist höchste Gefahr im Verzug. Das musste  im April 2022 die FĂŒhrungsriege der CWS Group tun, als das Unternehmen Opfer eines Hacker-Angriffs geworden war. Man habe Gott sei Dank schnell erkannt, dass offenbar ein erfolgreicher Angriff stattgefunden habe. Doch da anfangs nicht bekannt war, was die Angreifer eingeschleust hatten und was sie vorhatten, blieb keine Wahl, als die 7 Rechenzentren des Unternehmens vorĂŒbergehend physisch vom Strom zu trennen, berichtete Martina Ritzer, CIO der CWS Group in ihrer Keynote im CIO-Erfahrungsaustausch am 14.06.2023.
Angriffe können existenzbedrohend sein
Das internationale Dienstleistungsunternehmen bietet Service in den Bereichen, Hygiene, Arbeitskleidung, Reinraum und Brandschutz. Es ist in 15 europĂ€ischen LĂ€ndern tĂ€tig. Ritzer erklĂ€rte, dass solche Cyberangriffe im extrem auch existenzbedrohend fĂŒr Unternehmen sein können. Bevor man einen Angriff nicht selbst erlebt habe, sei einem nicht unbedingt bewusst, in wie vielen Bereichen des Unternehmens und seiner Kunden sich die negativen Auswirkungen solcher Attacken zeigen. Auch deshalb hat CWS beschlossen, diese Erfahrungen soweit möglich auch öffentlich zu machen.  Um mit dem Angriff fertig zu werden und die Auswirkungen so klein wie möglich zu halten, hat CWS nach der Attacke sehr schnell das Leadership-Team zusammengerufen, um Entscheidungen schnell und gemeinsam zu treffen. Die verteilten IT-Teams sind alle zum CWS IT-Hub nach Hamburg gefahren, weil klar war, dass man diese Ausnahmesituation nicht bewĂ€ltigen wĂŒrde, wenn man ânurâ virtuell zusammenarbeitet.
Keine gegenseitigen VorwĂŒrfe
Ritzer betonte den extrem groĂen Zusammenhalt nicht nur unter den IT-Mitarbeitenden, sondern auch in der FĂŒhrungsetage und der gesamten Belegschaft. Es habe zu keinem Zeitpunkt Finger Pointing gegeben. Enorm wichtig, sei, dass man sehr schnell externe Forensiker hinzuzieht. Nur mit ihrer Hilfe lĂ€sst sich klĂ€ren, welche Art von Angriff genau stattgefunden hat, welche Systeme infiziert sind und welche Systeme man wann gefahrlos wieder hochfahren kann. Ebenfalls entscheidend bei der BewĂ€ltigung einer solchen Krise sei Kommunikation. Sie selbst, erzĂ€hlte Ritzer, habe stĂ€ndig intern in die IT, in die FĂŒhrungsetage aber auch in die 160 Standorte kommuniziert.
Die wichtigsten Learnings
Die ersten Systeme in der Cloud konnten bereits 2 Tage nach der Attacke wieder hochgefahren werden. Aber bis alles wieder im Normalbetrieb war, vergingen mehrere Monate. Die CIO erklĂ€rte das damit, dass alle Systeme, die betroffen waren oder potenziell betroffen sein können, neu aufgebaut werden mĂŒssen. Man baue im Grunde die gesamte IT neu auf.
Die wichtigsten Learnings bei CWS lauten:
- Verfolgung eines umfassenden Ansatzes
- Inspektion der Infrastruktur und stÀndige Beobachtung auf ungewöhnliche Anzeivchen
- Schnelle und entschlossene Reaktion auf VorfÀlle ist entscheidend
- Priorisierung von grundlegenden Cyber-Hygiene-Praktiken
- Risikobewusstsein und Awareness sind der SchlĂŒssel
- Vertrauen aufbauen â damit Mitarbeitende, die einen Fehler gemacht haben, diesen auch kommunizieren
- Hilfe suchen! â Kein Unternehmen kann die Kombination aus allgemeinen und speziellen FĂ€higkeiten allein vorhalten, die fĂŒr die BewĂ€ltigung gebraucht werden.
Nach der Attacke hat CWS betrĂ€chtliche Investitionen in den Wiederaufbau der wichtigsten Verwaltungssysteme getĂ€tigt. Es wurde ein Cyber Resilience Programm eingerichtet, an dem die GeschĂ€fsbereiche und die IT beteiligt sind. Last but not least wurden mit den Mitarbeitenden Lesssons-Learned-Workshops durchgefĂŒhrt.
Security Update verzeichnet 380 Schwachstellen
VOICE-Sicherheitsexperte Dirk Ockel berichtete in seinem Security-Update von insgesamt 380 Schwachstellen und Angriffen. NatĂŒrlich konnte er dabei nicht auf alle einzeln eingehen. Folgende griff er heraus: Der japanische Pharmahersteller Eisai wurde Opfer einer Ransomware-Attacke und ist stark verschlĂŒsselt worden. Er musst mehrere Systeme offline nehmen. Bis Mittwoch war noch nicht alles wieder hergestellt. In Hinblick auf die erwĂ€hnten Schwachstellen, musste Sicherheitsanbieter Fortinet wieder einmal warnen vor einer kritischen Schwachstelle in seinen Firewall-Produkten, Updates sind verfĂŒgbar. Auch Microsoft schloss allein in seinem Juni-Patchday 73 SicherheitslĂŒcken. Auch VMWare musst erneut Updates bereitstellen, um eine aktiv ausgenutzte Zero-Day-Schwachstelle zu schlieĂen. Siemens trug mit 60, teils kritischen Schwachstellen in die seinen SIMATIC und SICAM-Produkten zu der hohen Zahl an Schwachstellen ebenfalls krĂ€ftig bei. Hier sind Updates bisher nur teilweise verfĂŒgbar. AuĂerdem noch hervorzuheben. Ein ehemaliger leitender Ingenieur von ByteDance, der Muttergesellschaft von TikTok erklĂ€rte in Gerichstdokumenten, die kommunistische Partei habe auch aufdie  in den USA gespeicherten Daten der Plattform Zugriff . AuĂerdem verstĂ€rke TikTok nationalistische Narrative um Demokratien zu spalten. Der NSA Director bezeichnete das Medium, ĂŒber das viele Amerikaner, insbesondere Jugendliche Nachrichten beziehen als âsmoking gunâ.
LKA NRW: auch Strafverhinderung
Andreas Aborgast, Oberkommissar des LKA in NRW stellte noch einmal die Arbeit und Services seiner Behörde im zentralen Informations- und Servicezentrum Cybercrime (ZISC) vor. Er betonte, es gehe auf der einen Seite um Strafverfolgung, auf der anderen Seite stehe man Unternehmen mit umfangreichen Hilfsangeboten zur Seite auch um Straftaten zu verhindern. Er sieht eine rasante Zunahme an CybervorfĂ€llen. GegenĂŒber dem letzten Jahr haben sich die Anfrage an das ZISC im ersten halben Jahr 2023 verdoppelt.
ChatGPT als iPhone-Moment der KI
Professor Ayelt Komus von der Hochschule Koblenz bezeichnete ChatGPT als den iPhone-Moment fĂŒr KI. Nachdem sich jetzt die erste Aufregung gelegt hĂ€lt er es fĂŒr an der Zeit, dass sich auch CIOs die Frage stellen, wie sie mit dem Thema ChatGPT bzw. generative AI umgehen wollen, bzw. wie sie das fĂŒr ihre Unternehmen nutzbar machen können. Dass sich die Mitarbeitenden damit beschĂ€ftigen lasse sich ohnhin nicht verhindern, deshalb wĂ€re es gut, wenn sich CIOs an die Spitze der Bewegung setzen. Die Auswirkungen werden gravierend sein fĂŒr die Unternehmen, ihre GeschĂ€ftsmodelle, ihre Prozesse und die Kunden.
