3 Bausteine für sichere Innovation

Wie die VARIO AG einen Ransomware-Angriff nutzte, um mit 3 Support-Bausteinen einen sehr hohen Reifegrad in Sachen IT Security zu erreichen

Wie bringt man Innovation und Digitalisierung mit Sicherheit zusammen? Wie schafft man sich operativ Luft für die effiziente Umsetzung von IT Security Projekten?

In dieser Success Story von Hendrik Schneider, dem Prokuristen und Nachfolger bei der VARIO AG, erreicht das Unternehmen nach einem Ransomware-Angriff innerhalb kurzer Zeit einen sehr hohen Reifergad in Sachen IT Security. Dies gelang durch einen dreigleisigen Support-Ansatz unsererseits – und die enorme Einsatzbereitschaft von Herrn Schneider und seinem Team.

Inhaltsverzeichnis

VARIO AG

Die VARIO Software AG stellt ERP-Software für KMU her und berät die Unternehmen in diesem Kontext. VARIO besteht bereits seit 30 Jahren als inhabergeführtes Unternehmen und betreut mehr als 10.000 Kunden in der DACH-Region. Der Sohn des Gründers Ralf Schneider – Hendrik Schneider – ist seit 2021 Prokurist und Nachfolger für das Familienunternehmen mit mittlerweile rund 90 Mitarbeitern.

Hendrick Schneider
Prokurist und Nachfolger

Hendrik Schneider ist Entrepreneur durch und durch: Ihm geht es um das vorantreiben von Digitalisierung und Innovation im Familienunternehmen. Er ist sich seiner großen Verantwortung für Betrieb, Mitarbeiter und Kunden sehr bewusst und denkt daher das Thema Sicherheit konsequent mit. Hier ist er Perfektionist: Ein „Ist ok, wir sind gut genug!“ gibt es bei ihm nicht. Herr Schneider weiß, dass Angreifer kontinuierlich aufrüsten und duldet daher auch beim Ausbau seiner eigenen IT Security keinen Stillstand.

Die Herausforderungen

Herr Schneider kontaktierte uns, nachdem die VARIO AG Opfer eines Ransomware-Angriffs geworden war. Das Unternehmen konnte die betroffenen Systeme zwar selbst wieder erfolgreich herstellen, wollte dem Thema IT Security nach dieser Erfahrung aber einen noch größeren Stellenwert einräumen.

Die drängendsten Fragen für Herrn Schneider waren zu diesem Zeitpunkt: Über welche Vektoren sind wir auf unserem jetzigen Stand angreifbar? Welche Sicherheitsaspekte haben wir bisher vielleicht übersehen? Halten unsere Sicherheitsmaßnahmen einem Härtetest stand?

Eine zusätzliche Herausforderung war, dass die Position des IT-Leiters neu besetzt wurde. Der IT-Leiter war zwar fachlich sehr fit, wuchs aber gerade erst in die neue Rolle eines Team-Leiters hinein.

Unsere Lösungen

Wir führten zunächst einen initialen Penetration Test durch, um fundierte Informationen zum aktuellen Reifegrad der IT Security bereitstellen zu können. Dabei fanden wir einige Schwachstellen und Sicherheitsaspekte, die bisher nicht bedacht worden waren.

Beim Ausbau der Cyber Resilienz unterstützten wir zunächst durch Support und Wissenstransfer beim Schwachstellenmanagement, um unternehmensintern Ressourcen für die Bearbeitung der Findings freizumachen. 

Ein Retest zeigte bereits enorme Fortschritte und einen hohen Reifegrad in Sachen IT Security. Um weitere Projekte und Optimierungen künftig noch effizienter umsetzen zu können, ergänzten wir unsere Zusammenarbeit um zwei weitere Bausteine:

  • Aufbau eines passgenauen ISMS für ein strukturiertes und zuverlässiges Security Management
  • Regeltermine mit IT-Leiter für Support und Coaching im Bereich Teamführung

 

Parallel dazu haben wir nach Bedarf gemeinsame „Hacking-Abende“ durchgeführt, um neue VARIO-Entwicklungen live aus der Angreifer-Perspektive zu testen und Sicherheitsmaßnahmen auf die Probe zu stellen.

Außerdem nutzte VARIO unseren Junior Penetration Tester Kurs, um zwei Mitarbeiter im Bereich Offensive Security weiterzubilden. Dadurch verfügt VARIO nun auch intern über die Möglichkeit, die Angreifer-Perspektive einzunehmen und daraus wichtige Maßnahmen abzuleiten.

Übersicht der 3 Bausteine unserer Lösung für VARIO:

  1. Penetrationstests zum Aufdecken vorhandener Schwachstellen und zur Validierung von Maßnahmen
  2. Aufbau eines passgenauen ISMS für zuverlässiges Security Management
  3. Personalaufbau durch 
    1. Coaching im Bereich Schwachstellenmanagement
    2. Coaching im Bereich Teamführung für mehr Effizienz
    3. Weiterbildung im Bereich Offensive Security, um die Angreifer-Perspektive intern zu nutzen
    4. Hacking-Abende zum Testen neuer Entwicklungen

Das Ergebnis

Retests nach dem initialen Penetration Test zeigten jedesmal große Fortschritte in der Cyber Resilienz der VARIO AG. Durch das Coaching im Bereich Teamführung und Unterstützung im operativen Bereich beim Schwachstellenmanagement konnten Entwicklungs-Projekte im Unternehmen zeitnah und erfolgreich umgesetzt werden. Neue Entwicklungen in anderen Bereichen des Unternehmens konnten von Beginn an unter IT Security Aspekten abgesichert werden (Shift-Left-Ansatz). Die Strukturierung von Prozessen und Dokumentation brachte nicht nur die Sicherheit der VARIO AG voran, sondern auch die Effizienz der gesamten IT.

Starten Sie Ihre eigene Success Story!
Was sind Ihre Herausforderungen beim Ausbau Ihrer IT Security?
Persönliche Beratung vereinbaren
Weitere Success Stories
Zeitdruck & Outsourcing

Wie schafft man es, ein Projekt bei enormem Zeitdruck und einer Outsourcing-Rate von über 80% zuverlässig abzusichern, um den Mutterkonzern keinesfalls zu gefährden?

Inhaltsverzeichnis