Albert Wallner, Head of Controlling & IT bei SalzburgMilch (li.), und Niklas Keller, Head of ­Cyber Defense Center des Bechtle IT-Systemhaus ­Österreich (re.), über Herausforderungen im Bereich Sicherheit und den massiven Cyberangriff auf das Molkereiunternehmen im Juni 2021.

Report: Welche Bedrohungen in der ­Cybersicherheit sehen Sie aktuell bei Unternehmen in Österreich?

Niklas Keller: Wir beobachten bereits seit einiger Zeit eine deutliche Zunahme an Anfragen, insbesondere unser Team für Incident Response & IT-Forensik ist sehr gefragt. Die Angriffsarten sind dabei sehr vielfältig und reichen von Zero-Day-Exploits und Identitätsdiebstählen bis hin zu DDos- und Ransomware-Angriffen. Aber auch die Bedrohung durch Insider Threats, wenn eine Person, die Zugriff auf kritische Informationen oder Systeme des Unternehmens hat und versucht diese negativ zu manipulieren oder entwenden, nehmen zu. Dabei spielt die rasante technologische Entwicklung leider auch den Cyberkriminellen in die Hände, die zunehmend professioneller agieren. So nimmt auch das Angebot an Services, die im Deep- und Darknet angeboten werden, signifikant zu. Wir fokussieren uns daher seit Jahren auf das Thema IT-Security. Das technologische Herzstück aller Maßnahmen ist das Bechtle Cyber Defense Center (CDC), das seit 2019 international agiert.

Report: Wie haben sich auch Cyber­sicherheitsmethoden und eingesetzte Tools in ihrem Unternehmen verändert?

Albert Wallner: Wir sehen, dass auch Sicherheitskonzepte einem ständigen Wandel ausgesetzt sind und regelmäßig angepasst werden müssen. Ein wichtiger Punkt ist in diesem Zusammenhang das Zusammenspiel der eingesetzten Sicherheitslösungen. Wenn diese nicht optimal aufeinander abgestimmt sind, können Sicherheitslücken entstehen. Und man muss auch verstehen, dass es heute in Unternehmen eigentlich keinen Bereich mehr gibt, der nicht sicherheitsrelevant ist. Der Anstieg an Cyberangriffen zeigt auch, dass das Vorgehen der Cyberkriminellen immer professioneller wird und sich nicht auf bestimmte Branchen oder Unternehmen beschränkt. Hier braucht es ein strukturiertes Vorgehen, um auf unterschiedliche Arten von Sicherheitsverletzungen oder Bedrohungen zu reagieren. Dazu gehört zum Beispiel auch die regelmäßige Schulung der Mitarbeitenden.

Keller: Das Gefahrenbewusstsein der Mitarbeitenden ist ein wichtiger Punkt. Zusätzlich ist die kontinuierliche Weiterentwicklung bestehender Technologien und Tools, beispielweise im Endpoint-Bereich, unerlässlich. Konventionelle Ansätze entsprechen oft nicht mehr dem aktuellen Stand der Technik, sind aber noch sehr häufig in Unternehmen im Einsatz. So ist der Einsatz von »Endpoint Detection and Response (EDR)«-Technologien heutzutage nicht mehr wegzudenken. Die EDR-Technologie erkennt nicht nur die Angriffsmuster auf den jeweiligen Betriebssystemen, zusätzlich bietet sie neben aufbereiteten Informationen auch eine Möglichkeit der Reaktion auf die Bedrohung. Aber auch in diesem Bereich gibt es schon Weiterentwicklungen, wie etwa die »Extended Detection and Response«-Technologien. Diese fokussieren sich nicht nur auf den Endpoint sondern bieten die Möglichkeit andere Security-Technologien zu integrieren.

Report: Sind Geschäftsprozesse in Ihrem Unternehmen in der Vergangenheit bereits von Cyberattacken beeinträchtig gewesen?

Wallner: Am 22. Juni 2021 um 22:34 Uhr erfolgte ein massiver Cyberangriff auf unser Unternehmen. Mit den Worten »SalzburgMilch GmbH, you are fucked.« habe ich die wohl unerfreulichste Nachricht in meiner gesamten Berufslaufbahn erhalten. Sämtliche Bereiche des Unternehmens waren von der Datenverschlüsselung und damit von Systemausfällen betroffen. Um das Ausmaß zu illustrieren: unsere Hauptsysteme umfassen zirka 40 Server. Unsere Prozessleitsysteme an unseren beiden Standorten waren nicht betroffen, somit war zwar die Produktion möglich, allerdings nicht die Einlagerung unserer Produkte. Unsere Hochregallager umfassen rund 13.000 Stellplätze für Paletten. Noch in der Nacht konnten wir die Cybersecurity-Expert*innen von Bechtle hinzuziehen und Maßnahmen zur weiteren Vorgehensweise abstimmen. Bereits in den frühen Morgenstunden trafen die externen Spezialisten in Salzburg ein.

Durch die rasche Reaktion konnten wir schnell erste saubere PCs und Laptops für Key-User bereitstellen. Zudem gelang es, Teile der Produktion in einem Notbetrieb bereits am Folgetag des Angriffs zu aktivieren. Damit haben wir wertvolle Zeit gewonnen. Nach fünf Tagen ist es den IT-Expert*innen gelungen, die wesentlichen Produktionssysteme in Betrieb zu nehmen, nach acht Tagen konnten die gesamten IT-Systeme wieder aus eigener Kraft reaktiviert und somit sämtliche Bereiche der Produktion, der Lagerverwaltung und der Logistik wieder in Betrieb genommen werden.

Report: Welche Lehren ziehen Sie aus ­Sicherheitsvorfällen wie diesem in Österreich?

Wallner: Wissen ist ein ganz entscheidender Punkt, je mehr wir über Angriffsmöglichkeiten in Erfahrung bringen, umso besser können wir reagieren und präventive Maßnahmen einleiten. Gleichzeitig hilft das aber nicht nur einem einzelnen Unternehmen, sondern auch andere können von diesem Wissen profitieren. In Österreich sehen wir hier mittlerweile ein Umdenken in genau diese Richtung. Großes Potenzial sehen wir etwa in praxisnahen Übungen, die alle relevanten Abteilungen miteinbeziehen. Entsprechend geschulte Mitarbeitende können so in kritischen Situationen professionell agieren. Die zeitnahe Information zu Schwachstellen in Systemen oder zu großflächigen Angriffen ist ebenfalls von entscheidender Bedeutung.

Es ist wichtig, dass Mitarbeitende ihre Tätigkeiten beziehungsweise Prozessabläufe und die weiteren Zusammenhänge auch system- und abteilungsübergreifend kennen und verstehen, um im Notfall den Betrieb auch ohne IT-Unterstützung gewährleisten zu können. Ohne den großartigen Einsatz aller Beteiligten – externe und interne Mitarbeitende der SalzburgMilch –, wäre es unmöglich gewesen, den Normalbetrieb innerhalb kürzester Zeit wieder aufzunehmen.

Report: Wie kann eine IT-Infrastruktur verlässlich vor Ransomware- und Verschlüsselungsattacken geschützt werden? Ist ein Schutz überhaupt präventiv möglich?

Keller: Cyberangriffe nehmen nicht nur in ihrer Anzahl zu, sondern werden auch immer vielseitiger. Daher geht es zunächst darum, innerhalb der Organisation die technischen Voraussetzungen zu schaffen, um Angriffe gezielt zu erkennen. Das muss allerdings ganzheitlich betrachtet und verstanden werden. Eine gute Architektur setzt etwa bei der Angriffsreduktion an. In weiterer Folge muss das Verhalten der Systeme, einzelner Applikationen aber auch der jeweiligen Identitäten genauestens beobachtet werden, um im Zweifelsfall passgenau reagieren zu können. Hier helfen detaillierte Playbooks, die manuell oder automatisiert ablaufen können. Als letzter Schritt ist dann auch die Wiederherstellung der Systeme relevant, sollte es zu einem Vorfall gekommen sein.

Report: Wie sollten Unternehmen im Falle des Falles bei Attacken reagieren?

Keller: Unerlässlich ist der Blick auf die eingesetzten Technologien, diese dürfen keine Insellösungen sein. Um Ihnen ein Beispiel aus der Praxis zu geben: In den meisten Unternehmen sind viele Security-Lösungen unterschiedlicher Hersteller im Einsatz. Leider sind diese nur sehr selten optimal aufeinander abgestimmt. Dadurch entstehen Sicherheitslücken, die von Cyberkriminellen gezielt ausgeforscht und ausgenutzt werden können. Gerade in einer solchen akuten Krisensituation ist die Anspannung enorm. Dennoch sollte rational entschieden werden. Dazu gehören auch erprobte und bekannte Notfallpläne und Vorkehrungen. Ein weiterer Punkt ist die Rekonstruktion der Angriffe. Bei unseren Einsätzen rekonstruieren wir, wie Angreifer ins System gelangen konnten. Wir müssen den Angriff verstehen, um zu wissen, wie er sich abgespielt hat. Dieses Wissen ist entscheidend, denn danach richten sich die Maßnahmen, die wir ergreifen. Wenn ich aber den Angriff nicht verstehe, dann ist das Risiko einer zweiten Welle, also eines erneuten Angriffes sehr hoch.

Report: Vernetzten Sie sich auch informell mit anderen Unternehmen in ihrer Branche zum Informationsaustausch bei Sicherheitsfragen? Würden Sie sich eine solche Vernetzung wünschen?

Wallner: Die offene Kommunikation während des Angriffs hat dazu geführt, dass wir schnell und unbürokratisch Unterstützung von externen Experten, Logistikunternehmen, Mitbewerbern sowie Kunden im Lebensmittelhandel und Lieferanten erhalten haben. Ein wichtiges Zeichen der Solidarität, das wir auch in Zukunft weiterleben möchten. Wir stehen daher im regen Austausch mit Organisationen und Unternehmen, die sich ebenfalls mit dem Thema beschäftigen. Und die Nachfrage ist groß. Mittlerweile sind wir auch in Universitäten, bei Branchenverbänden und in Unternehmen mit Vorträgen präsent und hoffen, dadurch den Erfahrungsaustausch weiter vorantreiben zu können.

(Bilder: SalzburgMilch, Bechtle)

Über SalzburgMilch

Das seit 1931 bestehende drittgrößte Molkereiunternehmen Österreichs steht im Besitz heimischer Milchbauern und zählt zu den größten Verarbeitern von Biomilch. 373 Mitarbeitende verarbeiten jährlich ca. 296,6 Mio. kg Milchmenge, die Produktpalette umfasst mehr als 600 Artikel. Die Produktion erfolgt an zwei Standorten in der Stadt Salzburg und in Lamprechtshausen. 2021 wurde ein Umsatz von 245 Millionen Euro erzielt.