An Ostern 2024 traf eine Cyber-Attacke den Logistikdienstleister Schnellecke Logistics. Bei dem sogenannten DDoS-Angriff bombardierten Hacker die VPN-Tunnel des Unternehmens mit Anfragen. Das überlastete den Server, die Mitarbeitenden konnten nicht mehr im Homeoffice arbeiten. „Das war die letzte größere Attacke, die wir hatten. In den Jahren zuvor gab es auch schon die verschiedensten Angriffe“, sagte Markus Werner, Head of Group IT Infrastructure bei Schnellecke Logistics, bei einer Online-Pressekonferenz des Unternehmens zum Thema Cybersicherheit.
Der Logistikdienstleister mit Sitz in Wolfsburg konnte einen größeren Schaden abwenden, wollte sich aber proaktiv für künftige Angriffe besser aufstellen. „Wir wussten, so eine Attacke kann uns wieder treffen“, sagte Werner. Innerhalb weniger Wochen stellte Schnellecke Logistics auf Zero Trust Network Access (ZTNA) um. Im Gegensatz zu VPNs, die vollständigen Zugang zu einem LAN bieten, lehnt ZTNA Zugriffsanfragen erstmal ab und bietet nur explizit autorisierten Benutzern einen Zugang. Nach einigen Monaten erfolgte das weltweite Roll-out des ZTNA.
Schnellecke arbeitet mit HPE Aruba Networking zusammen
Bis 2030 soll das gesamte Netzwerk – einschließlich aller Mitarbeitenden, externer Partner und IoT-Geräte – vollständig im neuen Sicherheitskonzept aufgehen. „Es geht uns nicht darum, ein bestimmtes Label zu erreichen. Wir arbeiten kontinuierlich daran“, sagte Werner. Schnellecke Logistics baut das ZTNA gemeinsam mit dem IT-Sicherheitsunternehmen HPE Aruba Networking auf. Axel Simon, Field CTO bei HPE Aruba Networking, stellte den universellen Zero-Trust-Netzwerkzugriff vor, der einheitlich für den Hauptstandort, sämtliche IoT-Geräte sowie entfernte Standorte gilt. „Alle Standorte sind auf den neuen Standard umgestellt“, sagte Simon. Von diesem Konstrukt ausgehend, soll das gesamte Netzwerk darauf angepasst werden.
Zentrale Sicherheitsorganisation unterhalb des Vorstandes
Während früher Cybersicherheit als „Pflichterfüllung“ galt und die IT- und Informationssicherheit in verschiedenen Abteilungen organisiert war, hat Schnellecke Logistics mittlerweile eine zentrale Sicherheitsorganisation unterhalb des Vorstandes gegründet. Der Grund dafür sind laut Janine Rauch, Head of Corporate Security bei Schnellecke Logistics, komplexe und häufige Sicherheitsbedrohungen sowie steigende Kundenanforderungen. „Unsere eigene Sicherheitsstrategie folgt der Unternehmensstrategie“, sagte Rauch. Der neue ganzheitliche Ansatz bringe aber auch Herausforderungen mit sich, etwa in der Organisation, bei Schnittstellen und Reports sowie bei den Mitarbeitenden. Immerhin mussten nach der DDoS-Attacke alle Mitarbeitenden ihre Zugänge neu beantragen.
Cybersicherheit sei eine Aufgabe für das gesamte Unternehmen. „Die Unternehmenskultur muss das Sicherheitsbewusstsein fördern“, so Rauch. Der Vorstand supporte das Thema stark. „Wir bereiten uns heute schon darauf vor, was morgen kommt“, sagte Rauch. Damit spielte sie vor allem auf das Cybersicherheitsstärkungsgesetz an, das bald in Kraft treten könnte.
Seit dem 24. Juni liegt ein neuer Referentenentwurf des geplanten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vor. Die sogenannte NIS-2-Richtlinie soll in der gesamten Europäischen Union (EU) für ein hohes gemeinsames Cybersicherheitsniveau sorgen. Schnellecke Logistics hat mit ZTNA schon mal vorgelegt.
