Von Cyberangriff zu Cyberabwehr
Über die MAHA Group
Die MAHA Group ist ein global agierendes Unternehmen, das sich auf Fahrzeug-, Prüf- und Hebetechnik spezialisiert hat. Mit insgesamt 19 Standorten weltweit und über 1.000 Mitarbeitern zählt die MAHA Group zu den führenden Unternehmen in der Branche. Die Unternehmenszentrale befindet sich in Haldenwang.
Die MAHA Group setzt auf eine beeindruckende Produktionsinfrastruktur mit über 100.000 m² Betriebsgelände an den beiden Hauptstandorten in Haldenwang sowie in Pinckard (USA). Hier werden sämtliche Produkte für Fahrzeugtechnik, Prüftechnik und Hebetechnik hergestellt. Trotz der eindrucksvollen Größe und globalen Präsenz steht die MAHA Group vor der Herausforderung des Fachkräftemangels. Um diesem entgegenzuwirken, setzt das Unternehmen vermehrt auf Managed Services. Diese Strategie ermöglicht es, auch in Zeiten des Fachkräftemangels einen reibungslosen Betrieb aufrechtzuerhalten und den hohen Qualitätsstandard der Produkte zu sichern.
Die Herausforderung
Im Jahr 2022 sah sich die MAHA Group einer ernsthaften Herausforderung gegenüber, als sie Ziel eines Cyberangriffs wurde. Dieser Vorfall zwang das Unternehmen, schnell zu handeln, um mögliche Schäden zu begrenzen und die Sicherheit seiner IT-Infrastruktur zu gewährleisten. In enger Zusammenarbeit mit esko-systems wurde eine umfassende Analyse des Angriffs durchgeführt. Gemeinsame Schritte waren die Identifizierung von Schwachstellen, die Rückverfolgung des Angriffs und die Entwicklung von Sofortmaßnahmen zur Sicherung der Systeme.
Im Nachgang zu den sichernden Sofortmaßnahmen ordnete der Head of Global IT, Herr Roy Lazonby, eine komplette Analyse der IT-Infrastruktur durch esko-systems an. Ergebnis dieser Analyse sollte ein ganzheitliches IT-Sicherheitskonzept sein, welches den Auflagen der entsprechenden deutschen Behörden (Bsp. das BSI – Bundesamt für Sicherheit in der Informationstechnologie), sowie den gesetzlichen Vorgaben wie der Datenschutzgrundverordnung DSGVO entspricht.
Ein neues Sicherheitskonzept
Die MAHA Group reagierte entschlossen auf die gewonnenen Erkenntnisse und setzte gemeinsam mit esko-systems einen umfassenden Aktionsplan um. Im Zeitraum von Februar bis August 2023 wurden gezielte Sicherheitsverbesserungen implementiert.
Durch diese Maßnahmen konnte die MAHA Group ihre Cyberresilienz deutlich stärken und sieht sich heute sehr gut gegenüber potenziellen Bedrohungen positioniert.
Fester Bestandteil des neuen Sicherheitskonzepts ist die Implementierung eines mehrstufigen Firewallkonzepts für Gateway bzw. WAN-Aktivitäten, sowie konsequente interne Segmentierung aller Endsysteme (wie Notebooks und ThinClients) und Peripheriegeräte (wie Drucker oder Zeiterfassungsterminals). Die durchgängige Segmentierung beinhaltet auch alle Produktionsmaschinen und Prozesse mit dem Ziel der Schaffung eines maximal möglichen Bedrohungsschutzes vor Angreifern von innen & außen.
Jedes Endgerät befindet sich in einem eigens dafür vorbereiteten Netzbereich und darf nur durch entsprechende Firewall-Regeln mit anderen Netzbereichen oder dem Internet kommunizieren.
MAHA Group stärkt Cybersicherheit mit NextGen-Firewalls und EDR-Systemen von Fortinet und esko-systems
Diese Firewall-Regeln werden z.B. auf Next Generation Firewalls (NextGen) von Fortinet abgebildet. Neben Antivirus-Prüfungen bietet das System moderne Intrusion Prevention-Systeme (IPS), die den kompletten Netzwerkverkehr auf Bedrohungen analysieren.
Darüber hinaus werden zeitgemäße Applikationskontrollen mit jeder Firewall-Regel verbunden, um sicherzustellen, dass auch nur die gewünschte Kommunikation auf dem jeweiligen Port durchgeführt wird (z. B. werden über eine Firewall-Regel auf Port 53 lediglich DNS-Abfragen erfolgen). Esko-systems unterstützt die MAHA-IT-Abteilung hier mit einem Managed Service-Konzept, um die wertvollen und knappen MAHA-eigenen Personalressourcen zu entlasten.
Zusätzlich setzt die MAHA Group für die Auswertung und externe Speicherung der Firewall-Logs auf den Analyzer Service von esko-Systems. Die Hosted Analyzer Services bieten Echtzeit-Netzwerk-Logging, -Analyse und -Reporting. Sämtliche Informationen über Traffic, Events, Viren, Angriffe, Web-Inhalte und E-Mail-Daten werden in Echtzeit ausgewertet und für forensische Zwecke archiviert. Zusätzlich können geographisch und chronologisch verteilte Security-Daten zentral gesammelt, korreliert und analysiert werden.
Die Lösung vereinfacht die Komplexität der Analyse und Überwachung neuer Technologien, die die Angriffsfläche erweitert haben, und bietet eine durchgängige Transparenz, die Unternehmen dabei hilft, Bedrohungen zu erkennen und zu beseitigen.
Die durchgängig angewandte Struktur modernster Sicherheitstechnologien setzt die MAHA Group auch auf zentralen Servern und einzelnen Arbeitsstationen konsequent um.
Aufgrund aktueller Bedrohungen reicht ein klassischer, signaturbasierter Virenscanner als einzige Lösung auf Servern und Clients heute nicht mehr aus. Das BSI beschreibt hier die Erkennung sicherheitsrelevanter Ereignisse und die Reaktion auf deren Auftreten (Detection und Response). Aus diesem Grund muss der herkömmliche Client- bzw. Server-Schutz vor Viren und Malware um ein EDR-System (Endpoint Detection & Response) erweitert werden. Diese Lösungen trennen sich von den veralteten, signaturbasierten Schutzmechanismen und betrachten zusätzlich das Verhalten und die Modifikation der Prozesse auf den Clients und Servern. Gerade im Bereich der APT-Attacken (Advanced Persistent Threat) sind die klassischen Virenscanner kein Schutz mehr, da hier speziell für das Unternehmen geschriebene Malware eingesetzt wird.
Die EDR-Lösungen legen hier den Schwerpunkt auf die Erkennung von und Reaktion auf Veränderungen am System. Ob diese Änderung durch einen Speicherüberlauf, ein Skript oder eine Datei durchgeführt wird, spielt für das EDR-System keine Rolle. Ein EDR-System verfügt natürlich auch über Funktionen zum Blockieren bösartiger Dateien, aber vor allem erkennen EDR-Systeme, dass nicht alle modernen Angriffe dateibasiert sind. Für die Sicherheitsteams werden somit eine erhöhte Transparenz und auch automatische Erkennungsreaktionen bereitgestellt. Alle ungewöhnlichen Ereignisse an einem Client können nach Wunsch der Sicherheitsteams beobachtet oder geblockt werden. Der EDR-Client wird hierbei zudem für USB-Kontrolle verwendet. Unbekannte USB-Sticks können blockiert werden, Sticks auf Seriennummer-Basis hingegen können freigegeben oder komplett gesperrt werden.
Bei der MAHA Group ist seit 2023 das EDR-System des Herstellers Fortinet im Einsatz, das sich perfekt mit den eingesetzten Firewalls zur Netzwerksegmentierung ergänzt und von esko-systems gemanagt und im SOC (Security Operation Center) geprüft wird. Hierbei erfolgt die Prüfung der Meldungen und die Benachrichtigung und Ausführung automatisierter und standardisierter Playbooks durch das esko-systems SOC-Team.
Auf der Clientseite wird das System durch den FortiClient EMS ergänzt, der auch als VPN-Client dient und das SSL-VPN optimiert.
E-Mails zählen zu den gefährlichsten Schlupflöchern für Cyberkriminelle. Umso wichtiger, dass sich mit neuen Bedrohungslagen auch die Schutzmechanismen stetig weiterentwickeln. Mit den neuen Features der esko-systems E-Mail-Security wird der maximale Schutz – selbst vor Bedrohungen, die noch nicht bekannt sind – gewährleistet. Einzige Voraussetzung zur Nutzung der Services sind ein VPN-Tunnel zu esko-systems und ein Umzug des MX-Records.
Neben dem klassischen Managed E-Mail Security Service kommt auch die Managed Sandbox zum Einsatz
Die ATP-Lösung (Advanced Threat Protection) von Fortinet führt verdächtige Dateien wie Office-Dokumente, PDFs oder ZIP-Archive in einer geschützten und isolierten Umgebung aus und analysiert deren Auswirkungen auf den Client. Nur unbedenkliche Dateien werden für den Anwender frei gegeben. Schädliche Elemente werden automatisch blockiert und entsprechende Warnungen an das Sicherheitsteam der MAHA Group übermittelt.
Die FortiSandbox schützt damit sehr effektiv vor Zero-Day-Attacken und anderen Angriffen, die von traditionellen Sicherheitslösungen nicht entdeckt werden. So werden zum Beispiel Bewerbungsschreiben, die per E-Mail mit einem angehängten Lebenslauf hereinkommen, in einer Sandbox-Umgebung analysiert, ob es sich dabei um ein PDF-File oder um eine mit Malware verseuchte Datei handelt. Die FortiSandbox blockiert in so einem Fall den Anhang und verhindert, dass Anwender das Attachment versehentlich öffnen und so ihr Netzwerk mit Schadcode infizieren.
Um auch die Zugänge zum Netzwerk und zu den Systemen der MAHA Group fortschrittlich zu schützen, wird auf den Managed Multi-Faktor-Authentifizierungsservice der esko-systems zurückgegriffen. Mit der Managed-Service-Multifaktor Authentifizierung von esko-systems wird die IT Security spürbar gestärkt und Sicherheitsrichtlinien effektiv umgesetzt, denn nur die richtigen Benutzer können zur richtigen Zeit auf sensible Netzwerke und Daten zugreifen. Nachdem nicht alle Mitarbeiter der MAHA Group flächendeckend mit Smartphones ausgestattet sind, wird hier auf eine Multi-Faktor-Authentifizierung mit Soft- und Hardware-Token zurückgegriffen, um die Zugriffe auf das Netzwerk zusätzlich zu Username und Passwort zu schützen.
Durch den Einsatz verschiedener Fortinet Security-Lösungen kann MAHA die Vorzüge der sich durch die Fortinet Security Fabric bildenden Konvergenzen nutzen. Die Fortinet Security Fabric erstreckt sich über das gesamte Netzwerk und verbindet verschiedene Sicherheitssensoren und -tools miteinander, um bösartiges Verhalten in Echtzeit zu erfassen, zu koordinieren und darauf zu reagieren.