Managed Service für Cyber Defense Hela Gewürzwerk geht auf Hackerjagd

Autor / Redakteur: Samira Liebscher / Peter Schmitz

Über 2.500 Tonnen Kräuter und Gewürze verarbeitet das Hela Gewürzwerk jährlich. Für eine effiziente und reibungslose Produktion sind alle Prozesse des weltweit tätigen Unternehmens hochgradig digitalisiert. Doch mit der Digitalisierung steigt auch das Risiko, Cyberkriminellen zum Opfer zu fallen.

Firmen zum Thema

Der Gewürzhersteller Hela wollte eine Cyberversicherung abschließen, musste dafür allerdings erst eine Lösung für die Früherkennung von Cyberangriffen integrieren.
Der Gewürzhersteller Hela wollte eine Cyberversicherung abschließen, musste dafür allerdings erst eine Lösung für die Früherkennung von Cyberangriffen integrieren.
(Bild: Hela)

Angriffe aus dem Netz werden immer komplexer und bedrohen nicht nur das eigene Unternehmen, sondern wirken sich gleichzeitig auf die gesamte Supply Chain aus. Um sich vor hohen Folgekosten und Ausfallzeiten durch einen möglichen Cyberangriff zu schützen, entschied sich Hela für den Abschluss einer Cyberversicherung. Doch damit war es nicht getan: Für den Abschluss der Police setzte die Versicherung nach Überprüfung der bereits vorhandenen IT-Sicherheitsmaßnahmen bei Hela eine ergänzende Lösung für die Früherkennung von Angriffen voraus. Um diese Voraussetzung zu erfüllen, musste das Unternehmen einen geeigneten Managed Service im Bereich Cyber Defense finden.

Möchte ein Unternehmen eine Cyberversicherung abschließen, überprüft die Versicherung zunächst den Ist-Stand der IT-Security des Unternehmens. Von diesem Ist-Stand ist abhängig, unter welchen Voraussetzungen das Unternehmen versichert wird und, wenn ja, auf welche Kosten sich der Versicherungsbeitrag beläuft. Da sich die IT-Sicherheitsverantwortlichen des Gewürzproduzenten Hela der Bedeutung angemessener Cybersecurity-Maßnahmen bereits seit langem bewusst waren, konnte das Unternehmen bei der initialen Überprüfung bereits diverse technische und organisatorische Maßnahmen (TOM) nachweisen. Was jedoch fehlte, war ein 24/7-Service in Form eines Security Information and Event Management (SIEM) oder eines Security Operation Center (SOC), um jederzeit Kompromittierungen zu erkennen und schnell reagieren zu können.

Klassische Protection-Tools reichen nicht mehr aus

Viele der etablierten Security-Maßnahmen wie Antivirus, Firewalls und Endpoint Protection stellen für aktuelle Cyber-Bedrohungen kein Hindernis mehr dar. Hacker schleusen sich zunehmend unbemerkt in Unternehmensnetzwerke ein. Die häufigsten Angriffsformen sind Advanced Persistent Threats (APT). Das Ziel der Cyberkriminellen bei dieser Form von Angriffen: so lange wie möglich unentdeckt im Netzwerk zu agieren und sich auszubreiten, um unternehmenskritische Daten abzugreifen oder zu manipulieren.

Ist der Angreifer erst einmal im Unternehmensnetz, vergehen – meist aufgrund mangelnder Expertise und Ressourcen – aktuell noch immer durchschnittlich sechs Monate, bis eine Kompromittierung des Netzwerks identifiziert wird. Um die Zeit zwischen Kompromittierung und Angriffserkennung drastisch zu reduzieren, verlangen Cyberversicherungen die Implementierung entsprechender zusätzlicher Security Layer, beispielsweise die Integration eines SIEM oder SOC.

„Dieser Baustein fehlte noch in unserem IT-Security-Konzept, weil uns bislang die hohen Kosten und die Komplexität eines SIEM oder SOC abgeschreckt haben. Da es nun eine Voraussetzung für den Abschluss einer Cyberversicherung war, haben wir nach einer ergänzenden Security-Lösung gesucht, die wir in unsere Infrastruktur integrieren können“, sagt Jürgen Lunow, Teamleiter IT-Systembetreuung der Hela Gewürzwerk Hermann Laue GmbH.

Active Cyber Defense als zusätzlicher Security Layer

SIEM, SOC oder auch Log-Management haben das Ziel, Sicherheitsbedrohungen zu erkennen und jene unter Kontrolle zu halten, die ein maßgebliches Risiko für das Unternehmen darstellen. Um diese Risiken zu identifizieren, müssen – je nach Unternehmensgröße – täglich Millionen Ereignisse ausgewertet werden – mit permanent aktualisierten Regelwerken.

Dazu ist in der Regel ein SOC-Team erforderlich, das diese Aspekte jederzeit im Blick behält. Aus diesem Grund schauten sich Jürgen Lunow und seine IT-Mitarbeiter initial nach externen Dienstleistern für SIEM-/SOC-Services um. Als langjähriger Kunde des Security-Unternehmens Secion fragte Jürgen Lunow dort zunächst nach entsprechenden Services. Im Gegensatz zu einem Managed SIEM oder SOC bietet das Hamburger Unternehmen einen Active Cyber Defense (ACD)-Service. Der 24/7-Threat Hunting- und Incident Response-Service wird um die Tätigkeiten eines SOC-Teams ergänzt, das durch das Secion-eigene ACD-Team gestellt wird. ACD analysiert das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien und identifiziert so die Kommunikation der Angreifer zu den Command & Control-Servern (C&Cs). Wird auf diese Weise ein aktiv laufender Angriff identifiziert und ist Handlungsbedarf erforderlich, steht das ACD-Team unmittelbar zur Verfügung.

„Für uns war es ein wichtiger Pluspunkt, dass es sich bei Secion um ein deutsches Unternehmen handelt und somit alle gesammelten Daten in Deutschland bleiben. Auch das Preis-Leistungs-Verhältnis hat uns überzeugt – der Service ist wesentlich günstiger, als ein eigenes SIEM aufzubauen oder ein internes SOC-Team einzustellen. Die Lösung lässt sich schnell integrieren und greift nicht in die vorhandene IT-Landschaft und deren Prozesse ein.“

Nach Whitelisting-Phase folgte die 24/7-Überwachung

In einem Kick-off-Meeting wurden zunächst der Projektablauf besprochen und weitere Termine zur Einführung des ACD-Service festgelegt. Nachdem die Details abgestimmt wurden, legten die Cybersecurity-Experten zusammen mit den Verantwortlichen bei Hela die Art und Anzahl der Clients fest. Bei der Überwachung bezieht der ACD-Service alle Systeme des Netzwerks mit ein, wie beispielsweise Desktops, Laptops, Mobiltelefone, Tablets, Server, Netzwerkgeräte, Drucker, ICS, IoT- und BYOD-Geräte. Bei Hela werden auf diese Weise nun insgesamt 500 Clients überwacht.

Das Projekt begann mit der Installation der sogenannten Sensor- und Managed-Appliance – dem Tool, über das der ACD-Service läuft. Nach der Integration folgte die vierwöchige Whitelisting-Phase. In dieser geht es darum, relevante Findings von irrelevanten zu unterscheiden beziehungsweise diese irrelevanten Auffälligkeiten herauszufiltern. Dazu stellte Hela initial eine Liste mit Systemen und Verbindungen zusammen, die bei der ACD-Überwachung ausgenommen werden. Im Anschluss überprüfte das ACD-Team Kommunikationsauffälligkeiten im Netzwerkverkehr – z.B. mehr als fünf Stunden andauernde VPN-Verbindungen, auffällige DNS-Einträge oder auffälliger Verkehr zu IP-Adressen – und glich sie mit der Liste von Hela ab. Auf Basis dieser Ergebnisse wurde schließlich eine Whitelist erstellt – dann ging der ACD-Service bereits in den Regelbetrieb über. Direkt nach der Einführung des ACD-Service wurden glücklicherweise zunächst keine Kompromittierungen der Hela-Netzwerke festgestellt.

ACD-Service registriert versuchte Ausnutzung von Exchange-Schwachstelle

Registriert das ACD-Team während seiner 24/7-Überwachung eine Auffälligkeit im Netzwerk, wird diese umgehend geprüft. Je nach Schweregrad, der vorab mit dem Hela-Team festgelegt wurde, entscheiden die Experten, ob gehandelt und die Verantwortlichen bei Hela kontaktiert werden müssen. Wird auf diese Weise ein aktiv laufender Angriff identifiziert, stehen Hela bei Bedarf die ACD-Experten von Secion zur Seite. Diese stellen den IT-Verantwortlichen bei Hela ein umfassendes Lagebild zur Verfügung und begleiten sie bei der Implementierung effektiver Gegenmaßnahmen.

Im März 2021 profitierte Hela bereits von dem 24/7-Service. Nachdem von Microsoft mehrere Exchange-Schwachstellen gepatcht wurden, startete eine große Angriffswelle auf die betroffenen Instanzen. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte die Schwachstellen als geschäftskritisch ein. Durch den ACD-Service wurden Jürgen Lunow und sein IT-Security-Team direkt im März darauf hingewiesen, dass es einen Zugriffsversuch auf die zu diesem Zeitpunkt noch ungesicherte Exchange-Schwachstelle gab.

„Der Einsatz des ACD-Service hat sich für uns schon nach kurzer Einsatzphase als eine sehr sinnvolle Entscheidung herausgestellt. So erhalten wir bei Unregelmäßigkeiten in den Internet-Datenströmen durch einen erfahrenen Partner ein sofortiges Feedback und eine versierte Einschätzung des vorliegenden Sicherheitsrisikos. Auch bei dem Exchange-Vorfall konnten wir aufgrund der schnellen Reaktion umgehend alle notwendigen Maßnahmen durchführen und somit Folgeschäden oder Datenverluste vermeiden“, sagt Jürgen Lunow.

Fazit

Cyberangriffe stellen für Unternehmen eine zunehmend existenzielle Bedrohung dar. So ist es auch für den Gewürzproduzenten Hela von großer Bedeutung, sofort über eine potentielle Cyberattacke informiert zu werden, um rechtzeitig effektive Gegenmaßnahmen einleiten zu können. Beim Abschluss einer Cyberversicherung wurde deutlich, dass Hela bislang noch nicht die entsprechenden Tools im Einsatz hatte, um komplexe Bedrohungen wie Advanced Persistant Threats frühzeitig zu erkennen. Daher mussten sich die IT-Verantwortlichen von Hela mit der Frage auseinandersetzen, wie sie Angreifer im Netz schnell genug erkennen und entfernen können, bevor Schaden entsteht – im Idealfall ohne hierfür enorme IT-Ressourcen und sechsstellige Beträge für eine komplexe SIEM- oder SOC-Lösung aufbringen zu müssen.

„Nach den Auflagen unserer Cyberversicherung planten wir zunächst ein SIEM zu implementieren. Nach einer ausführlichen Evaluierung entschieden wir uns initial für den 24/7 Active Cyber Defense (ACD)-Service des Hamburger Security-Unternehmens Secion. Wir wissen bereits durch die jahrelange vertrauensvolle Zusammenarbeit, dass wir damit auf einen sehr kompetenten und erfahrenen Partner setzen, der im Thema IT-Sicherheit zu Hause ist“, sagt Jürgen Lunow. „Wir konnten uns schon nach kurzer Zeit selbst davon überzeugen, dass der ACD-Service im Vergleich zu einem umfassenden SIEM eine schlankere, kostengünstigere und sicherere Lösung ist, um umgehend Auffälligkeiten in unserem Netzwerk zu erkennen. Das SOC-Team von Secion hat uns seit Beginn der Zusammenarbeit bereits über kritische Kompromittierungen informiert und uns so vor maßgeblichen Folgeschäden bewahrt.“

(ID:47622245)