Kunde
Die FORUM Media Group GmbH (FMG) mit Sitz in Merching bei Augsburg zählt zu den größten Fachverlagen Deutschlands. Das 1988 gegründete und international tätige Medienunternehmen hat insgesamt 13 Tochtergesellschaften in Europa, Nordamerika, Asien und Australien. Der Fokus des Unternehmens liegt auf der Bereitstellung entscheidungsrelevanter Informationen für Endkunden, beruflicher Fort- und Weiterbildung sowie Magazin, Special Interest Publikationen und Events für Endkunden.
Die FORUM Media Group beschäftigt derzeit rund 1.100 Mitarbeiter und erwirtschaftete in 2021 einen Jahresumsatz von mehr als 100 Mio. Euro.
Herausforderung
Dass reine Protection-Tools wie Firewalls und AV-Lösungen heutzutage für Cyberkriminelle kein Hindernis mehr sind, musste die FORUM Media Group schmerzvoll feststellen: Hackern gelang es per Phishing-Attacke die Systeme einer Tochtergesellschaft erfolgreich zu kompromittieren. Stefan Kober (Head of System Administration bei der FORUM Media Group) und sein Team waren im Nachgang rund um die Uhr im Einsatz, um den Angriff nachzuvollziehen und den Schaden zu bereinigen. Das betroffene Netzwerk musste komplett gelöscht und neu aufgesetzt werden, ein weltweiter Passwortreset war erforderlich.
Die Attacke verursachte einen immensen finanziellen Schaden – aber es gab auch eine gute Nachricht: Externe IT-Forensiker fanden heraus, dass die Angreifer weder Daten ausgeleitet, noch verschlüsselt hatten – vermutlich weil sie sich noch in der Vorbereitungsphase befanden. Die IT-Verantwortlichen bei FMG wollten ihr Glück jedoch kein zweites Mal auf die Probe stellen und entschieden sich dazu, die IT-Sicherheit auf Optimierungspotenziale hin zu überprüfen und diese umgehend umzusetzen.
Lösung
Insgesamt wurden hierfür drei Bausteine definiert: Durchführung eines umfangreichen IT Security Audits, Austausch der bislang eingesetzten dezentralen AV- gegen eine EDR-Lösung und - drittens - die Implementierung eines zuverlässigen Systems zur Angreiferfrüherkennung.
Die IT-Verantwortlichen bei FMG hatten schnell erkannt, dass eine gut funktionierende Früherkennung entscheidend ist, um erfolgreiche Cyberangriffe rechtzeitig zu detektieren und abzuwehren. Zu diesem Zweck sondierten die IT-Verantwortlichen 15 – 20 am Markt verfügbare Anbieter und verglichen unterschiedliche Managed Threat-Hunting-Methoden wie SIEM/SOC, XDR und MDR.
Nach eingehender Überprüfung konnte sich Allgeier secion mit dem Active Cyber Defense (ACD)-Service als erste Wahl durchsetzen – nicht zuletzt auch, weil die Hamburger IT-Sicherheitsexperten alle gewünschten Bausteine im Komplettpaket anbieten konnten. Der "Managed Detection and Response-Service" überzeugte aufgrund seiner effektiven Funktionsweise, dem geringen Aufwand bei Implementierung und Betrieb des 24/7-Services.
Ergebnis
Die Implementierung des ACD-Service verlief inklusive aller Vorarbeiten unkompliziert und war binnen weniger Tage abgeschlossen. Als 24/7 Full Managed Detection and Response-Service überwacht ACD den Netzwerk-Traffic der FORUM Media Group kontinuierlich auf Anomalien und erkennt, ob Systeme zu Command & Control Servern kommunizieren und somit kompromittiert sind. Verdachtsfälle und Kompromittierungsversuche werden aktiv identifiziert und Incident Response-Maßnahmen können so rechtzeitig eingeleitet werden – noch bevor sich Cyberkriminelle sich Netzwerk ausbreiten.
Weil ACD vollständig “on premise” installiert wird, werden alle Systeme eines Netzwerks (unabhängig von deren Betriebssystem, Gerätetyp oder Logging-Möglichkeiten) überwacht. Der Service hat sich für die FORUM Media Group bereits bewährt: Eine kritische Log4j-Schwachstelle wurde erfolgreich identifiziert und rechtzeitig geschlossen.
„Wir wollten nach dem Angriffsversuch ein Erkennungssystem für etwaige Gefahren implementieren, das uns zukünftig besser schützt und uns dabei unterstützt, unseren Systemen und Geräten wieder zu vertrauen. Wir haben sehr schnell erkannt, dass eine effektive Früherkennung zum Schutz vor erfolgreichen Angriffen ausschlaggebend ist. An ACD hat uns insbesondere Technologie und Funktionsweise in Kombination mit dem 24/7 Full Managed Service überzeugt. Ich war sehr beeindruckt, wie schnell und professionell das Onboarding umgesetzt wurde – das lief klasse. Auf unserer Seite war dabei nur geringer Aufwand für die Konfiguration von Firewall und Switch nötig, es ist ja fast wie ein „Plug’n Play“ System. Ein Riesen-Mehrwert für mich persönlich ist: Mit dem Team von Spezialisten im Hintergrund kann ich auch wieder ruhig schlafen. Gerade im Mittelstand braucht man einen verlässlichen Partner im Hintergrund, weil man die vielschichtigen IT Security Aufgaben alleine einfach nicht stemmen kann.“
Stefan Kober Head of System Administration bei der FORUM Media Group