Wie die VARIO AG einen Ransomware-Angriff nutzte, um mit 3 Support-Bausteinen einen sehr hohen Reifegrad in Sachen IT Security zu erreichen
Wie bringt man Innovation und Digitalisierung mit Sicherheit zusammen? Wie schafft man sich operativ Luft für die effiziente Umsetzung von IT Security Projekten?
In dieser Success Story von Hendrik Schneider, dem Prokuristen und Nachfolger bei der VARIO AG, erreicht das Unternehmen nach einem Ransomware-Angriff innerhalb kurzer Zeit einen sehr hohen Reifergad in Sachen IT Security. Dies gelang durch einen dreigleisigen Support-Ansatz unsererseits – und die enorme Einsatzbereitschaft von Herrn Schneider und seinem Team.
Hendrick Schneider
Prokurist und Nachfolger
Hendrik Schneider ist Entrepreneur durch und durch: Ihm geht es um das vorantreiben von Digitalisierung und Innovation im Familienunternehmen. Er ist sich seiner großen Verantwortung für Betrieb, Mitarbeiter und Kunden sehr bewusst und denkt daher das Thema Sicherheit konsequent mit. Hier ist er Perfektionist: Ein „Ist ok, wir sind gut genug!“ gibt es bei ihm nicht. Herr Schneider weiß, dass Angreifer kontinuierlich aufrüsten und duldet daher auch beim Ausbau seiner eigenen IT Security keinen Stillstand.
Herr Schneider kontaktierte uns, nachdem die VARIO AG Opfer eines Ransomware-Angriffs geworden war. Das Unternehmen konnte die betroffenen Systeme zwar selbst wieder erfolgreich herstellen, wollte dem Thema IT Security nach dieser Erfahrung aber einen noch größeren Stellenwert einräumen.
Die drängendsten Fragen für Herrn Schneider waren zu diesem Zeitpunkt: Über welche Vektoren sind wir auf unserem jetzigen Stand angreifbar? Welche Sicherheitsaspekte haben wir bisher vielleicht übersehen? Halten unsere Sicherheitsmaßnahmen einem Härtetest stand?
Eine zusätzliche Herausforderung war, dass die Position des IT-Leiters neu besetzt wurde. Der IT-Leiter war zwar fachlich sehr fit, wuchs aber gerade erst in die neue Rolle eines Team-Leiters hinein.
Wir führten zunächst einen initialen Penetration Test durch, um fundierte Informationen zum aktuellen Reifegrad der IT Security bereitstellen zu können. Dabei fanden wir einige Schwachstellen und Sicherheitsaspekte, die bisher nicht bedacht worden waren.
Beim Ausbau der Cyber Resilienz unterstützten wir zunächst durch Support und Wissenstransfer beim Schwachstellenmanagement, um unternehmensintern Ressourcen für die Bearbeitung der Findings freizumachen.
Ein Retest zeigte bereits enorme Fortschritte und einen hohen Reifegrad in Sachen IT Security. Um weitere Projekte und Optimierungen künftig noch effizienter umsetzen zu können, ergänzten wir unsere Zusammenarbeit um zwei weitere Bausteine:
Parallel dazu haben wir nach Bedarf gemeinsame „Hacking-Abende“ durchgeführt, um neue VARIO-Entwicklungen live aus der Angreifer-Perspektive zu testen und Sicherheitsmaßnahmen auf die Probe zu stellen.
Außerdem nutzte VARIO unseren Junior Penetration Tester Kurs, um zwei Mitarbeiter im Bereich Offensive Security weiterzubilden. Dadurch verfügt VARIO nun auch intern über die Möglichkeit, die Angreifer-Perspektive einzunehmen und daraus wichtige Maßnahmen abzuleiten.
Übersicht der 3 Bausteine unserer Lösung für VARIO:
Retests nach dem initialen Penetration Test zeigten jedesmal große Fortschritte in der Cyber Resilienz der VARIO AG. Durch das Coaching im Bereich Teamführung und Unterstützung im operativen Bereich beim Schwachstellenmanagement konnten Entwicklungs-Projekte im Unternehmen zeitnah und erfolgreich umgesetzt werden. Neue Entwicklungen in anderen Bereichen des Unternehmens konnten von Beginn an unter IT Security Aspekten abgesichert werden (Shift-Left-Ansatz). Die Strukturierung von Prozessen und Dokumentation brachte nicht nur die Sicherheit der VARIO AG voran, sondern auch die Effizienz der gesamten IT.
Wie schafft man es, ein Projekt bei enormem Zeitdruck und einer Outsourcing-Rate von über 80% zuverlässig abzusichern, um den Mutterkonzern keinesfalls zu gefährden?
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.