Am 2. Februar 2023 wurde Häfele Opfer einer schweren Cyber-Attacke. Drahtzieher war eine Hackergruppe, die für ihren Angriff die Schadsoftware von LockBit nutzte, dem größten RaaS (Ransomware as a Service)-Anbieter weltweit. Das Familienunternehmen mit Sitz im baden-württembergischen Nagold sah sich gezwungen, seine komplette IT herunterzufahren und vom Netz zu nehmen. In der Folge standen Produktion und Logistik weltweit still, Website und Shop waren nicht mehr erreichbar.
Vom Angriff bis zu den ersten Maßnahmen vergingen nur wenige Stunden
Der Angriff wurde zuerst an den Standorten in Neuseeland und Australien entdeckt. Kurze Zeit später und noch mitten in der Nacht lief die „Rettungskette“ an. Das Incident Response and Recovery (IRR)-Team von Dell Technologies übernahm zusammen mit dem Krisenteam von Häfele die Koordination aller Maßnahmen. Weltweit arbeiteten in den nächsten Wochen rund 60 Experten und Dienstleister daran, die IT-Systeme von Häfele entweder direkt vor Ort oder remote wiederherzustellen.
Eine entscheidende Rolle spielte dabei die Backup-Lösung: Die Dell EMC Data Domain blieb als einziges System in der Häfele-IT von der Ransomware-Attacke verschont. Sie ermöglichte den Zugriff auf alle Daten, Konfigurationsdateien und Passwörter und erleichterte so den Neustart der Infrastruktur. Um auf Nummer sicher zu gehen, entschied sich Häfele, weltweit alle Geräte und das Netzwerk neu aufzusetzen.
Dabei kam ein kurz vor dem Angriff eingerichteter „Whiteroom“ mit Hardware, die noch nicht im Netz war, zum Einsatz: Dort wurden die Systeme von Dell Technologies komplett gelöscht, neu installiert und rund um die Uhr überwacht, bevor sie wieder in Betrieb genommen wurden. Die Umgebung ermöglichte so die schnelle Wiederherstellung geschäftskritischer Workloads. Gleichzeitig schaffte Häfele allein in Deutschland 300 neue Latitude-Notebooks an - inklusive Managed Detection and Response Services für alle 9.000 Endgeräte.
Neues Sicherheitskonzept rüstet Häfele für die Zukunft
Darüber hinaus brachte Häfele seine gesamte IT-Sicherheitsarchitektur auf den neuesten Stand. Zu den Maßnahmen gehörten unter anderem ein konsequenter Zero-Trust-Ansatz, Secure Access Service Edge (SASE), Netzwerksegmentierung, eine Härtung der gesamten Infrastruktur, Vulnerability Management sowie interne und externe Penetrationstests.
Zusätzlich wurden ein SIEM-System (Security Information and Event Management) und ein externes SOC (Security Operations Center) zur 24/7-Überwachung des Netzwerks implementiert, um Bedrohungen zukünftig frühzeitig erkennen und isolieren zu können.
Dank der Lösungen und Services von Dell Technologies konnte die Häfele Gruppe innerhalb weniger Monate zum normalen Geschäftsbetrieb zurückkehren. Nach nicht einmal zwei Wochen waren der Verzeichnisdienst Microsoft Active Directory, der Mail-Server und der Zugriff auf Office 365 wiederhergestellt. Nach sechs Wochen liefen ERP- und Shop-System wieder, sodass der Order-to-Cash-Prozess - vom Eingang einer Kundenbestellung bis zur Bezahlung der offenen Forderung – funktionierte.
Bewältigung des Sicherheitsvorfalls
Danach folgten Schritt für Schritt alle anderen Häfele-Workflows, der letzte war Ende des Jahres „repariert“. Der Stellenwert von IT-Sicherheit im Unternehmen ist heute höher denn je: Die neu gegründete Corporate Information Security Organisation kümmert sich zentral um alle Aspekte.
„Wenn die IT aufgrund eines Cyber-Angriffs ausfällt, zählt jede Minute. Dell Technologies hat uns bei der Bewältigung dieses Sicherheitsvorfalls perfekt unterstützt“, zeigt sich Daniel Feinler, CISO bei der Häfele Gruppe, mit dem Projektverlauf zufrieden.
„Hand in Hand haben die Experten weltweit zusammengearbeitet, damit wir schnell wieder zum normalen Geschäftsalltag zurückkehren konnten. Die Geschwindigkeit und die Qualität der Services, aber auch die Erreichbarkeit unserer Ansprechpartner haben uns restlos überzeugt.“
