Das Autohaus Brimborg musste sich im Spätsommer vor einem Cyberangriff und Datendiebstahl schützen Anschließend wurde ein 100-tägiges Abhilfeprojekt gestartet, bei dem viele Maßnahmen zur Verbesserung der Datensicherheit im Unternehmen ergriffen wurden.
Unter anderem wurden die Datenleitungen in und aus dem Unternehmen verfünffacht, was bedeutet, dass das Einlesen einer Datenkopie bei Bedarf deutlich schneller erfolgen kann, wenn das Unternehmen beispielsweise erneut einen Datenangriff erleiden sollte.
Egill Jóhannsson, CEO von Brimborg, beschrieb letzte Woche auf einer von Origo organisierten gut besuchten Konferenz zu Datenangriffen, wie das Management von Brimborg reagierte und welche Lehren aus dem Angriff gezogen werden können.
Eine große Investition in kurzer Zeit
Egill sagt in einem Interview mit mbl.is, dass es ihn nicht wundern würde, wenn das, was Brimborg in 100 Tagen aufbaut, in Sachen Cybersicherheit generell in mindestens zwei bis drei Jahren und sogar noch länger umgesetzt wird.
„Wir werden in 100 Tagen an die Spitze der Sicherheit gehen.“
Er sagt, dass es sich um eine große Investition handelt, die in sehr kurzer Zeit getätigt wird.
„Ich habe sofort beschlossen, dies als Chance zu betrachten. Was können wir daraus machen? Können wir die Besten in Sachen Sicherheit werden?“
Wir sind bestrebt, alle 24-Stunden-Serviceprofis in Anspruch zu nehmen
Er bespricht die Situation mit einem Reporter.
„Als uns in der Nacht zum Dienstag, dem 29. August, klar wurde, dass es sich um einen Angriff und vermutlich um eine Datengeiselnahme handelte, aktivierten wir bei Origo eine Notrufnummer. Am nächsten Morgen hielten wir ein Treffen mit den wichtigsten Experten des Unternehmens ab und es stellte sich heraus, dass es sich um einen Cyberangriff und Datendiebstahl handelte. Wir waren von Anfang an fest entschlossen, alle Experten von Origo im 24-Stunden-Service einzusetzen, und es war klar, dass wir schnell handeln wollten.“
Egill sagt, dass sofort nach der Entdeckung des Angriffs alle Terminals abgeschaltet wurden, damit keine Daten verloren gingen oder irgendwelche Ausgänge genutzt werden konnten. Das Unternehmen stand also vor der Entscheidung, das System so wie es damals war auf Viren zu scannen oder einfach alles auszubügeln.
„Entscheide dich dafür, alles zu bügeln“
„Wir haben beschlossen, alles zu bügeln, aber es gab fast 200 Terminals, alle Server und Datenbanken, die gebügelt wurden. Mit dieser Methode ist es weniger wahrscheinlich, dass ein Virus in den Systemen verbleibt, und es hat funktioniert, aber gleichzeitig mussten wir das System noch einmal neu aufbauen.“
Brimborg hat das Cyber-Sicherheitsunternehmen Syndis sofort zur Stelle geschickt, um zu untersuchen, wie die Hacker in das System gelangten und wie sie durch das System gelangten, sowohl um aus dem Vorfall zu lernen als auch um später und möglicherweise sofort reagieren zu können, wenn noch etwas im System verborgen war Systeme.
Darüber hinaus kam Annata, ein Unternehmen, das das IT-System von Brimborg verwaltet, zu dem Projekt, doch es war notwendig, das IT-System neu aufzubauen und die Datenbanken dort zu installieren.
Technische Armee aktiviert
Dann wurden alle Mitarbeiter mobilisiert, sowohl die für die Systeme verantwortlichen Experten als auch die sogenannte technische Armee von Brimborg.
„Wir wählten bestimmte Mitarbeiter aus, die eher über Computerkenntnisse verfügten, teilten die Gruppe auf und machten dann einen Rundgang durch die Firma, um Maschinen zu bügeln und zu installieren.“ Es musste an acht Standorte im ganzen Land und an rund 200 Maschinen geliefert werden, und es musste in drei Schritten erfolgen.“
Origo hat einen Teams-Kanal erstellt, mit dem jeder, der an dem Projekt arbeitete, verbunden war, und laut Egil waren zeitweise 43 Personen auf dem Teams-Kanal, zusätzlich zu den 20 technischen Mitarbeitern des Unternehmens.
„Man könnte sagen, dass wir aufgrund dieser schnellen Reaktionen und schnellen Entscheidungen etwa 48 Stunden später wieder auf Sendung waren, also nicht vollständig, sodass es sehr erfolgreich war, wieder in Betrieb zu gehen.“
Auf der Origo-Konferenz hielten zwei Sicherheitsexperten von IBM einen Vortrag. In ihrem Fall wurde festgestellt, dass unter solchen Umständen Geschwindigkeit von entscheidender Bedeutung sei. Die Experten berichteten, dass die durchschnittliche Zeit, die Unternehmen nach einem Datenangriff brauchen, um wieder in Betrieb zu gehen, etwa 23 Tage beträgt.
Wie ein Master-Abschluss in Datensicherheit in 80 Tagen
Ein Journalist fragt Egil, ob er von den ausländischen Experten auf der Konferenz etwas gelernt habe, was Brimborg und die Cybersicherheitsexperten nicht gelernt hätten, oder ob er gerne etwas anders gemacht hätte.
Der CEO will es nicht so meinen.
„Natürlich ziehen wir viele Experten hinzu und folgen deren Ratschlägen, aber man kann sagen, dass man durch diesen Datenangriff sehr viel gelernt hat.“ Gerade bei dieser Konferenz war der 79. Tag nach dem Angriff, es ist, als würde man in 80 Tagen einen Masterstudiengang in Datensicherheit absolvieren“, sagt Egill.
Er sagt, er habe Konzepte gehört, die er in diesen 80 Tagen gelernt habe, als er den ausländischen Experten zugehört habe, und sagte, es sei interessant. Er erwähnt ausdrücklich, dass ein Redner einen Datenangriff und die Reaktion darauf in mehrere Elemente unterteilt, eine Art Zeitleiste; Angriff, wann er erkannt wird (Erkennung), Reaktionszeit (z. B. Reaktion) und wann der Vorgang erneut gestartet wird (z. Wiederherstellung).
„Wir hatten eine sehr gute Erholungszeit und auch die Reaktionszeit war sehr stark und weit unter dem Durchschnitt, aber unsere Erkennungszeit war nicht gut genug, wir waren nicht schnell genug, um das herauszufinden.“
Allerdings hatten wir in diesen 79 Tagen bereits an Dingen gearbeitet und ich weiß, dass sich unsere Erkennungszeit um etwa 98 % verkürzen wird, die Reaktionszeit sogar schneller sein wird, obwohl es schnell war, und ich denke, dass ich mich jetzt und von sechs Stunden erholen konnte nicht 48 Stunden wie damals.“
Ein Viertel der zahlenden Unternehmen erhält die Daten nicht
Im Fall der ausländischen Experten kam einiges Interessantes zutage, unter anderem, dass Unternehmen, die nicht über sichere Kopien verfügen, häufig die Möglichkeit wählen, die Geiselnehmer zu bezahlen. Tatsache ist jedoch, dass etwa 26 % der Zahler ihre Daten trotzdem nicht zurückbekommen.
Egill sagt, dass Brimborg beim Kopieren ziemlich viel Vertrauen hatte.
„Wir haben es vor 6-7 Jahren gerade wegen der Gefahr solcher Cyber-Angriffe ernst genommen. Origo kümmert sich um die Sicherung, sodass die Daten gelesen werden konnten, wenn die Datenbanken neu erstellt werden mussten.
Die Backups wurden auf Sicherheit überprüft und es stellte sich heraus, dass sie bis Montagabend etwa acht Uhr sicher waren, sodass wir nur eine oder eineinhalb Stunden verloren hatten, und das zu einer Zeit, in der keine Aktivität stattfand.“
Dann sagt er, dass eine neue Firewall installiert wurde und dann auch Firewalls in allen anderen acht Betrieben.
Der Verkehr aus nicht autorisierten Ländern wird blockiert
„Es ist also nicht nur ein Hauptfach, wie es die meisten Leute vielleicht tun. Seitdem wurde jede Einrichtung einigermaßen unabhängig gemacht, sodass sie nun direkt an das Internet angeschlossen ist und nicht mehr im Hauptgebäude ein- und ausgehen muss.
Jetzt geht der Großteil des Datenverkehrs, der nicht in das Hauptgebäude gelangen muss, direkt in das Netzwerk, aber der nötigste Datenverkehr für definierte Maschinen und definierte Benutzer geht ins Herz mit besonderer Erlaubnis, bestimmte Aktionen auszuführen.“
Er sagt auch, dass der Verkehr aus allen nicht autorisierten Ländern in das System blockiert wurde, also alle Länder, in denen Mitarbeiter und Partner wahrscheinlich nicht anwesend sein werden, um einzutreten, und somit die Anzahl der Angriffsmöglichkeiten reduziert wurde.
60 % der kleinen und mittleren Unternehmen gehen innerhalb von sechs Monaten pleite
Bei den Experten der Konferenz hieß es, dass etwa 60 % der Unternehmen mit bis zu 50 Mitarbeitern oder einem Umsatz von 10 Millionen Euro innerhalb von sechs Monaten nach einem Datenangriff pleitegehen. Diese Statistik ist auffallend, aber Egill sagt, er sei davon nicht überrascht, nachdem er den Datenangriff und die Folgen durchgemacht habe.
„Wenn beispielsweise in modernen Betrieben jemand zu uns gekommen wäre, während das System ausgefallen war, und Volvo-Bremsbeläge kaufen wollte, hätten wir sie nicht finden können. Wir können die Werksnummer des Autos anhand des Nummernschilds ermitteln, können dies jedoch nicht, da wir keinen Zugang zum Internet haben. Obwohl wir aus irgendeinem Grund die Teilenummer dieses Bremsbelags kennen würden, hätten wir nicht in das Inventarsystem gelangen können, um herauszufinden, wo er sich befindet. Es lähmt wirklich alles.“
Egill sagt, dass die Einnahmequelle stoppt, aber die Gebühren steigen weiter und steigen tatsächlich im Zusammenhang mit der Reaktion auf den Angriff. Er sagt, Brimborg habe den Angriff sehr gut verteidigt, und als Beweis dafür seien die Monate August und September die größten August- und Septembermonate in der Geschichte von Brimborg gewesen, mit einer Umsatzsteigerung von 55 %, verglichen mit einer Umsatzsteigerung von 31 % im Jahr 2022 und eine Umsatzsteigerung von 26 % in den ersten 7 Monaten dieses Jahres.
Origos Konferenz zum Thema Datenangriffe war gut besucht.
Foto/Eingereicht
Das hast du ganz oben platziert
Er sagt, es sei sicherlich kostspielig, so schnell zu handeln, das ist die andere Seite. „Wir haben die Kosten nicht vollständig aufsummiert, sondern in drei Teile aufgeteilt.
Ein Teil liegt in etwas, das man schon hätte investieren sollen. Ein weiterer Teil von etwas, das man aufgrund dieser wachsenden Bedrohung in den nächsten zwei, drei, fünf Jahren hätte erledigen müssen. Der dritte Teil sind die direkten Kosten aufgrund des Cyberangriffs.
Wir nehmen einfach Punkt zwei und verschieben ihn auf 100 Tage, anstatt es in drei oder fünf Jahren zu tun. Wenn man das so klar sieht, setzt man es ganz oben auf die Liste und drängt lieber eine andere Investition in die Zukunft.“
Er sagt, dass einige Leute gefragt haben, ob Brimborg gegen einen solchen Datenangriff versichert sei, und sagt, dass dies nicht der Fall sei, da es in Island nicht viele solcher Versicherungen auf dem Markt gebe.
„Seit kurzem bietet TM eine solche Versicherung an. Aber ich begann zu denken, dass die Versicherung einem nicht helfen würde, wenn man für diese Art von Versicherung eine Prämie zahlen würde und auf diese Weise angegriffen würde. Daher ist es besser, die Prämie für die Investition in ein wirklich gutes Netzwerksicherheitssystem auszugeben.“
Sagt, dass Sicherheit vielerorts in ausreichend guten Fällen überhaupt nicht wichtig ist
Egill sagt, dass isländische Unternehmen viel aus Brimborgs Erfahrung lernen können.
„Es ist unglaublich vielschichtig und vielschichtig, es gibt nichts, was einen schützt.“ Niemand kann zu 100 % geschützt werden, aber man kann es diesen Parteien so schwer wie möglich machen. Es gibt viele wirksame Abwehrmaßnahmen, die wir derzeit implementieren. Es besteht die Möglichkeit, Einbrechern den Zugriff auf die Batterie zu erschweren. Sie sind an einem Ort isoliert. Dann wird die Struktur des Netzwerks aufgebrochen, sodass jemand, der in einen Computer eindringt, gewissermaßen in einer Abteilung oder in einem Subnetz feststeckt. Wenn er es aus irgendeinem Grund überstanden hat, ist es noch schwieriger, an gefährdete Stellen zu gelangen.
Er sagt, dass Brimborg von Anfang an beschlossen habe, im Einklang mit seiner PR-Politik die Wahrheit zu sagen, und glaubt, dass es eine Rolle dabei gespielt habe, dass das Unternehmen seine Systeme schnell zum Laufen brachte – offen mit Kunden und den Medien über den Vorfall zu sprechen und zu sagen nur für jetzt.
„Dann sind alle viel sanfter in ihren Reaktionen.“ Wir möchten sagen, dass unsere PR-Strategie auf dem Motto „Ein sicherer Ort zum Leben“ basiert, und wir möchten sagen, dass wir in puncto sozialer Verantwortung einen großen Beitrag leisten, indem wir sie nicht nur auf Papier schreiben, sondern auch in die Tat umsetzen.
Wir möchten sagen, dass das Erzählen von Geschichten eine soziale Verantwortung mit sich bringt und dass möglicherweise andere aus unserer Erfahrung lernen können. Man hört überall, dass es fast überall nicht gut genug läuft – es ist einfach so.“
