Die Branche
Handel
Die Herausforderung
Verschlüsselung von Servern nach einem Cyberangriff
Unsere Rolle
Incident Response Management
Die Situation
Im Jahr 2024 wurde das technische Netzwerk eines internationalen Handelskonzerns angegriffen. Zahlreiche Server, die die Infrastruktur des Unternehmens steuerten, wurden verschlüsselt. Der Vorfall wurde durch Stromausfälle entdeckt – und das Unternehmen wandte sich an das PwC Incident Response Team, um schnelle und professionelle Unterstützung zu erhalten.
Die Anforderung
Das Unternehmen benötigte eine schnelle Reaktion und Unterstützung in dieser komplexen und dynamischen Krise. Es war wichtig, die betroffenen Systeme zu isolieren, den Angriff einzudämmen und die Auswirkungen des Angriffs abzuschätzen. Darüber hinaus war es entscheidend, die Ursachen des Angriffs zu ermitteln und Maßnahmen zu ergreifen, um zukünftige Angriffe zu verhindern.
Unser Ansatz
Das PwC Cyber Incident Response Team reagierte umgehend auf den Vorfall und traf technische und organisatorische Maßnahmen, um die betroffenen Systeme zu isolieren und den Angriff einzudämmen. Dabei wurden forensische Sicherungen der Systeme sowie eine Analyse zur Ursachenforschung durchgeführt. Es stellte sich heraus, dass gleich zwei Angreifergruppen über eine nicht gepatchte Schwachstelle in einer Firewall des technischen Netzwerks und ein schwaches Passwort für einen Wartungszugang eindringen konnten. Die Angreifer forderten Geldzahlungen, um die Server wieder zu entschlüsseln und drohten damit, sensitive Daten zu veröffentlichen. Damit können sie zweifach Druck ausüben: einerseits sind die Daten für das angegriffene Unternehmen nicht mehr verfügbar und andererseits können sensible Unternehmensinformationen jederzeit der Öffentlichkeit zugänglich gemacht werden. Dieses Vorgehen nennt man Double Extortion Ransomware.
Dank der schnellen Reaktion unseres Cyber Incident Response Teams konnte das Unternehmen den Angriff eindämmen und die Auswirkungen abschätzen. Durch die forensische Analyse konnten die Ursachen des Angriffs ermittelt und Maßnahmen ergriffen werden, um zukünftige Angriffe zu verhindern. PwC übernahm das 24/7 Monitoring der einschlägigen Seiten im Darknet, um eine eventuelle Veröffentlichung der Daten frühzeitig zu detektieren und Gegenmaßnahmen zu ergreifen. Unser Kunde hatte Glück, dass die Daten nicht veröffentlicht wurden. Eine Ransom wurde nicht bezahlt.
Sie haben Fragen?
Kontaktieren Sie unsere Experten
Der Mehrwert
Unser Kunde profitierte enorm von der Schnelligkeit – denn bei einem Ransomware-Angriff zählt jede Minute. Durch den zuvor geschlossenen PwC Incident Response Retainer mit der 24/7 Rufbereitschaft konnte unser Team direkt mit der Arbeit beginnen. Unsere Expert:innen waren durch vorherige Workshops bereits mit der IT-Landschaft des Kunden vertraut und konnten so schneller Schwachstellen identifizieren und in existierende Notfallprotokolle eingebunden werden. Neben dem existierenden Rahmenvertrag hat der Konzern PwC nun damit beauftragt, das infiltrierte System neu aufzubauen.
Fazit
Die Case Study zeigt, dass bereits gängige Schwachstellen wie ungepatchte Firewalls und schwache Passwörter verheerende Folgen mit Schäden im Millionenbereich anrichten können. Diese Fehler haben ihren Ursprung fast immer im Faktor Mensch und lassen sich kaum vermeiden. Deshalb ist es so wichtig, dass Unternehmen besser auf einen Angriff vorbereitet sind – auch wenn der Mehrwert erst im Ernstfall richtig sichtbar wird.
Generell gilt: Bevor ein Cyberangriff passiert, können eine Reihe von Maßnahmen helfen, die Auswirkungen abzuschwächen.
Cyberangriff?
Nutzen Sie unsere 24/7 Notfall-Hotline +49 69 9585 9992
So berät Sie PwC im Bereich Incident Response
Vollumfängliche Unterstützung bei Cyber-Sicherheitsvorfällen
Follow us
