Mehr IT-Security lässt Hackern wenig Chance
Maßnahmen-Mix sorgt für bestmöglichen Schutz
Der ASG – Dienstleister für Abwasserbeseitigung und Straßenreinigung
Seit seiner Gründung im Jahr 1995 sorgt der Abwasser- und Straßenreinigungsbetrieb Stadt Gifhorn (ASG) als kommunaler Eigenbetrieb für eine sichere, umweltgerechte Abwasserbeseitigung und Straßenreinigung in Gifhorn. Zur Reinigung von Straßen, Gehwegen und Fahrradwegen zählt auch der Winterdienst. Darüber hinaus kümmert sich der ASG um die Veranlagung der Benutzungsgebühren für die Inanspruchnahme der Abwasserbeseitigung und Straßenreinigung. Die derzeit 48 Mitarbeitenden sind in den Bereichen Verwaltung und Straßenreinigung, Kanalbau und Grundstücksentwässerung sowie Abwasserreinigung organisiert.
Ausgangssituation und Ziele
Der ASG war mit der Unterstützung von PROFI bereits dabei, seine IT-Landschaft zu modernisieren und hatte diese mittels Highend-Firewall abgesichert, als das Unternehmen Ziel eines Cyberangriffs wurde. Im Einsatz waren virtuelle Server der neuesten Generation von VMware (ESXi) sowie eine ML (Machine Learning)-gestützte Firewall des Anbieters Palo Alto Networks. Allerdings waren lediglich zwei Brandabschnitte eingerichtet, bestehend aus einem produktiven sowie einem Backup-Server, aber keine Absicherung über die Cloud. Innerhalb kürzester Zeit legten die Angreifer zuerst das Backup- und danach das Hauptsystem lahm, sodass die Verwaltung des ASG nicht mehr arbeitsfähig war. Einfallstor der Attacke war die Software, die der Kunde für seine Remote-Arbeitsplätze einsetzte. Die für die Bürger relevanten und im Alltag bemerkbaren Dienstleistungen Abwasserbeseitigung und Straßenreinigung waren nicht betroffen, hier war der ASG uneingeschränkt handlungsfähig.
„Ein guter IT-Partner ist essenziell, um die Folgen einer Cyberattacke bewältigen zu können. Dank der Unterstützung von PROFI waren wir binnen kürzester Zeit wieder handlungsfähig und für die Bürger erreichbar.“
Peter Futterschneider, Betriebsleiter ASG
Die PROFI-Leistung
Dank des hohen Digitalisierungsgrads des Kunden gelang es PROFI, die vom Cyberangriff betroffenen Systeme binnen fünf Tagen wiederherzustellen. Für den Restore nutzte PROFI die Cloud-Lösung von Amazon (Amazon Web Services, AWS) und migrierte schließlich die Systeme auf die On-Premise-Landschaft des Kunden. Der ASG war dann wieder für die Bürger erreichbar und konnte seine Verwaltungsarbeiten fortführen.
Um den ASG künftig besser gegen Cyberkriminelle zu schützen, installierte PROFI in enger Zusammenarbeit mit dem Kunden die folgenden Neuerungen:
Für ein großes Plus an IT-Sicherheit sorgt nun ein dritter Brandabschnitt in der Cloud-Lösung von Amazon am Standort Frankfurt. Ein Restore wäre im Katastrophenfall – wie bei einem erneuten Angriff – in nur vier Stunden möglich. Denn in diesem Zeitabstand repliziert die neu genutzte Disaster-Recovery-Funktion kritische, virtuelle Maschinen vollautomatisiert in die Cloud. Retention Lock bewirkt, dass kritische Daten nicht einfach bei einer Ransomware-Attacke überschrieben werden können. Selbst wenn man nach einem Angriff die Systeme bei einer reinen On-Premise-Lösung in nur vier Stunden wieder herstellen könnte (was sehr unwahrscheinlich ist), so wäre das nicht erlaubt. Denn physische Server werden vorerst von den Behörden als Beweismittel für einen Cyberangriff sichergestellt.
Zusätzliche Sicherheit gibt die neu eingerichtete Mikrosegmentierung der genutzten Firewall von Palo Alto Networks, wodurch nun separate Firewalls zwischen den einzelnen, virtuellen Servern bestehen.
Eine weitere Ebene der IT-Security, die organisatorische Sicherheit, verbesserte PROFI gemeinsam mit dem ASG durch zwei Maßnahmen: Zum einen führte man die Zwei-Faktor-Authentifizierung ein, zum anderen haben Administratoren nur noch Zugriff auf eine IT-Ebene, also etwa ausschließlich auf das Active Directory, die Server oder die Clients.
Fazit
Der ASG wurde Ziel eines Cyberangriffs, konnte dessen Folgen jedoch dank seines hohen Digitalisierungsgrads sowie der Unterstützung des IT-Dienstleisters PROFI in nur fünf Tagen in den Griff bekommen. Von der Attacke betroffen war die Verwaltung des kommunalen Dienstleisters, die nach einem Restore der Systeme in der neu genutzten Cloud-Lösung wieder voll handlungsfähig war. Um den ASG künftig besser vor Ransomware-Attacken zu schützen, setzte PROFI gemeinsam mit dem Kunden einen Mix an Maßnahmen um. Diese verbesserten die IT-Sicherheit auf verschiedenen Ebenen – technisch und organisatorisch. Zentrale Bestandteile des neuen Sicherheitskonzepts sind ein dritter Brandabschnitt in der Cloud sowie eine Disaster-Recovery-Funktion. Dieser Mix lässt Cyberkriminellen künftig wesentlich weniger Chancen auf Erfolg.
Kundennutzen
- Mehr IT-Sicherheit durch eine Kombination von Maßnahmen wie installierte Disaster Recovery, Mikrosegmentierung der Firewall und einen dritten Brandabschnitt in der Cloud.
- Zentral verwaltete, automatisierte Firewall-Funktionen sorgen für mehr Sicherheit und eine komfortable Steuerung.
- Verbesserte Einhaltung der IT-Compliance durch permanente Audits der neuen Infrastruktur.
Hintergrund: Die Ursache der Cyberattacke
Einfallstor der Cyberattacke auf die Systeme des ASG war vermutlich eine sogenannte Log4j-Lücke – eine kritische Schwachstelle in der viel genutzten Java-Bibliothek. Offensichtlich hatten Cyberkriminelle die Lücke erfolgreich ausgenutzt und zuerst das Backup- und danach das Produktivsystem des ASG übernommen. Das Vorgehen deutet darauf hin, dass sich der Angreifer schon länger im System befand. Angreifer wählen die Ziele für ihre Attacken meist zufällig aus, indem sie Sicherheitslücken in Systemen scannen. Zudem existieren gezielte Angriffe auf bestimmte Organisationen. Unternehmen verbessern ihren Schutz, indem sie alle Software-Updates (Patches) schnellstmöglich einspielen, denn auch Angreifer patchen regelmäßig die von ihnen genutzte Malware.