Cyber-Attacken abwehren: NORMA Group schützt ihre weltweiten Daten mit Microsoft Defender und Azure Sentinel

Die Herausforderung: Sicherheitsrisiken erkennen und managen

Die NORMA Group stellt an 27 Standorten in Europa, Amerika und Asien Befestigungs- und Verbindungselemente her, zum Beispiel Schellen, Steckverbinder und Leitungssysteme für verschiedene Flüssigkeiten. Damit ist die NORMA Group ein wichtiger Zulieferer für verschiedene Industrien: Die Produkte kommen in Autos, Zügen, Schiffen und Flugzeugen zum Einsatz, aber auch in Gebäuden, Infrastrukturprojekten, in der Landwirtschaft sowie bei Systemen zur Bewässerung oder Entwässerung. Die Unternehmensgruppe vertreibt ihre Produkte an mehr als 10.000 Kunden in über 100 Ländern und beschäftigt weltweit mehr als 8.900 Mitarbeitende. Produktion, Personal, Vertrieb – in all diesen und weiteren Bereichen hat ein Unternehmen dieser Größenordnung eine hohe Verantwortung, seine Daten zu schützen.

„Das Risiko einer Cyber-Attacke besteht praktisch immer. Die Frage ist, wie wir dieses Risiko managen“, sagt Andreas Schäfer, ICT Director Infrastructure & Operations bei der NORMA Group. „Die größten Risiken, mit denen es Unternehmen heutzutage zu tun haben, sind Phishing und Ransomware, also das Erschleichen sensibler Daten oder das erpresserische Lahmlegen des Unternehmens“, beschreibt er. „Beides kann nicht nur empfindlich teuer werden, sondern auch Vertrauen beschädigen.“ Solche Attacken zu erkennen und abzuwehren, ist bei der NORMA Group die Aufgabe der Mitarbeitenden im Security Operations Center (SOC). „Wir sind der verlässliche Partner, wenn es darum geht, sensible Daten bestmöglich zu schützen“, sagt Schäfer und ergänzt: „Sowohl Entscheider*innen innerhalb der Gruppe als auch die Partner und Kunden der NORMA Group vertrauen darauf.“

Dabei ist das Wissen um die Bedrohungsszenarien ein wichtiger Teil der Prävention. „Die häufigsten Vorfälle sind Phishing-Versuche, damit haben wir jeden Tag zu tun“, beschreibt Ernesto Armendariz, Cyber-Sicherheitsexperte bei der NORMA Group. „Darunter sind betrügerische E-Mails, die sich sehr gezielt an Insider, also an Angestellte oder Partner richten.“ Da die internen Systeme bei der NORMA Group wenig Kontakt zum Internet haben, sind solche Bedrohungen von innen das größte Risiko. Hier gilt es, nicht nur alle Insider zu sensibilisieren, sondern auch das eigene Netzwerk mit seinen Geräten und Prozessen so gut wie möglich nach auffälligen Aktivitäten zu durchsuchen. 

Die Lösung: Bedrohungen schneller und besser erkennen 

„2019 haben wir unser SOC-Team aufgestellt und unsere Cyber-Security-Strategie festgelegt“, erinnert sich Andreas Schäfer. „Danach haben wir unsere Sicherheitsbemühungen noch stärker vorangetrieben. Wir haben zum Beispiel die Geräte-Sicherheit in Microsoft Defender migriert.“ Über die zentrale Managementkonsole von Microsoft Defender können Konfigurations- und Sicherheitsprobleme auf den Endgeräten der Mitarbeitenden schnell analysiert und behoben werden. Bedrohungen werden überwacht. Intelligente Entscheidungsalgorithmen helfen, die richtigen Maßnahmen zu treffen.

Ein Test der Cyber-Sicherheit durch ein externes Unternehmen sollte Ende 2020 mögliche Schwachstellen aufzeigen. „Bei einem solchen Penetrationstest sucht ein Team gezielt nach Sicherheitslücken. Sie nutzen zum Beispiel Fehler in der Konfiguration“, beschreibt Ernesto Armendariz. „In zwei von drei Unternehmen heben sie am Ende die Hand und sagen: Wir haben euch!“ So war es auch bei der NORMA Group. „Die Ergebnisse des Penetrationstests haben die Aufmerksamkeit geschaffen, die Umsetzung unserer Sicherheits-Strategie noch weiter zu beschleunigen“, sagt Andreas Schäfer. „Zum Beispiel hatten wir schon früh auf der Agenda, zusätzlich zu Microsoft Defender auch Azure Sentinel einzuführen.“

Mit Microsoft Defender und Azure Sentinel Bedrohungen proaktiv suchen und beheben

Azure Sentinel ist eine Gesamtlösung für Security Information and Event Management (SIEM). Das heißt, es dient der Echtzeitanalyse von Sicherheitsalarmen aus verschiedenen Anwendungen und Geräten in einem Netzwerk. Azure Sentinel hilft, Bedrohungen im System proaktiv zu suchen und Meldungen auffälliger Aktivitäten übergreifend zu analysieren. „Für ein Unternehmen wie die NORMA Group, das eine Microsoft Infrastruktur betreibt, ist die Kombination von Azure Sentinel und Microsoft Defender natürlich eine sinnvolle Lösung“, sagt Schäfer. Ernesto Armendariz gibt dafür ein Beispiel: „Angenommen, eine gut getarnte Phishing-Mail schafft es durch den Filter, dann können wir die darin eingebettete URL checken. Wir können sehen, wer die E-Mail wann geöffnet und die URL angeklickt hat, ob der Zugriff darauf blockiert oder eine Datei heruntergeladen wurde. Wir sehen die zeitliche Abfolge, die beteiligten Nutzer*innen, die Daten der Defender Suite und der Firewall – und das alles gebündelt in Azure Sentinel.“ 

Außerdem kann Azure Sentinel wiederkehrende Fehlalarme ausschließen und häufige Aufgaben bei der Reaktion auf Vorfälle automatisieren. „Azure Sentinel erkennt Vorfälle, die zunächst als Bedrohung erscheinen, aber sich hinterher als Prozess herausstellen, der einfach optimiert werden muss“, beschreibt Ernesto Armendariz. „In den ersten sechs bis acht Monaten hat man erst einmal damit zu tun, alle Fehlalarme auszusondern und neue Filterregeln aufzustellen.“ Die mühevolle Arbeit lohnt sich, denn die Reaktionszeit auf echte Vorfälle erhöht sich mit der Zeit. Um welchen Faktor? „Es geht deutlich schneller“, sagt Andreas Schäfer. Wie schnell, das zeigte ein Angriff auf die Log-In Daten der Office 365 Nutzer bereits innerhalb der Pilotphase von Sentinel. „Das System hat dabei innerhalb weniger Minuten den Angriffsversuch identifiziert und mit Unterstützung des SOC-Teams isoliert“, beschreibt Schäfer. 

Inzwischen haben zwei Beratungsunternehmen die Cyber-Sicherheit bei der NORMA Group erneut auf den Prüfstand gestellt und dieses Mal mit sehr gut bewertet. Nun hat das SOC-Team die Zeit, in diesem System stetig an Optimierungen weiterzuarbeiten, um den wachsenden Bedrohungen proaktiv entgegenzutreten.