Fallstudie Varonis - Kronen
Die Einführung der DSGVO 2018 glich einem Paukenschlag. Wie alle anderen Unternehmen in Deutschland auch sah sich die Kronen GmbH mit ganz neuen und umfangreichen Anforderungen in Sachen Datenschutz konfrontiert, die mit den vorhandenen Prozessen und Mitteln nicht abzudecken waren.
Auf der Suche nach einer Lösung stieß das Unternehmen auf den Softwarehersteller Varonis, der mit seinem Ansatz der Datentransparenz perfekt geeignet war, um die neuen Vorgaben einhalten zu können. Darüber hinaus erwies sich Varonis jedoch auch hinsichtlich der IT-Security als Segen – Insbesondere an dem Tag, an dem die Kronen GmbH sich plötzlich mit einem ernstzunehmenden Cyber-Angriff konfrontiert sah.
Seither gehört Varonis für das Unternehmen zum absoluten Must-Have in Sachen IT-Sicherheit: Ob als Schutzschild gegen Ransomware, Datendiebstahl oder Insider-Bedrohung.
„Das mit Varonis“ startete im Hause Kronen mit den neuen Anforderungen der DSGVO ab 2018. Der Kundendienstleiter und hausinterne Datenschutzbeauftragte Gunter Herbert sah sich in diesem Zusammenhang mit einer Mammutaufgabe konfrontiert. Denn schließlich galt es mit Einführung der neuen Verordnung, Speicherung, Ablageort sowie Inhalt personenbezogener Daten bis ins Detail zu dokumentieren und deren sichere Aufbewahrung zu garantieren. Darüber hinaus musste nun sichergestellt werden, dass diese Daten auch direkt auffindbar waren, wenn die jeweilige Person Einsicht oder Löschung derselben einforderte.
Was sich für Außenstehende einfach und richtig anhört, stellte Unternehmen wie die Kronen GmbH vor eine gewaltige Herausforderung.
Schließlich waren massenhaft Daten in einem über Jahre gewachsenen Konstrukt an Ordnern, Servern und Festplatten verteilt und entsprechend schwer zu überblicken. Zumindest nicht ohne entsprechende Hilfsmittel. Herbert war klar, er benötigte etwas, was ihm half, klare Strukturen im Daten-Dschungel zu schaffen und damit den Anforderungen der Nachweispflicht laut DSGVO nachkommen zu können.
So beschloss er, sich nach einer technischen Lösung umzuschauen. In einem Seminar zum Thema Datenschutz wurde ihm die Software von Varonis vorgestellt, die er direkt als brauchbar erachtete. Unsicher, ob er damit tatsächlich die richtige Lösung zur Hand hatte, ging er mit der Idee auf IT-Leiter Frank Wickersheim zu. Diesem war die Dringlichkeit der Thematik durchaus bewusst. „Dennoch wollte ich wissen, was bringt uns diese Software wirklich?“, erinnert sich Wickersheim.
Um den Nutzen besser abwägen zu können, luden sie die Security-Experten von Varonis zu einer Präsentation ein, in der diese letztendlich überzeugen konnten: Die Chefetage gab grünes Licht. „In Bezug auf die Anforderungen der DSGVO war das ein notwendiger Schritt.“, meint Wickersheim zur damaligen Entscheidung. „Welche Vorteile uns diese Lösung für die gesamte IT-Security des Unternehmens bringen würde, war für mich damals aber noch nicht klar. Varonis schien mir zunächst einmal ein Datenschutz-Tool zu sein, allenfalls eine Art Monitoring-Software. Erst später wurden mir all die Vorteile bewusst, die ich heute so schätze, wie beispielsweise die Abwehr von Hacker-Angriffen oder die Transparenz über sämtliche Datenstrukturen und Berechtigungen – auch in Sachen Clouds und Online-Datentransfers. Schließlich hat auch das heutzutage einen nicht zu vernachlässigenden Umfang angenommen, der ohne Tools wie Varonis nicht mehr zu überblicken wäre.“
Laufen lernen mit Varonis
Nach Beauftragung des Systemspezialisten Consulting4IT GmbH, einem der wenigen Platinum-Partner von Varonis Deutschland, ging es direkt ans Eingemachte. Der erste Schritt: Die Schaffung einer Grundlage für den korrekten Datenschutz nach DSGVO mittels Aufarbeitung und Auswertung der Daten- und Berechtigungsstrukturen durch die Varonis-Software.
„Wir starteten also mit der Indizierung von Dateien und deckten auf, wo was lag und wer darauf Zugriff hatte. Dabei kamen zum Teil Dinge ans Licht, bei denen wir ganz schön schlucken mussten.“, erinnert sich Wickersheim. Beispielsweise entdeckten sie auf einem File-Server ein Excel-File mit sämtlichen Kreditkarteninformationen der laufenden Geschäftskreditkarten – theoretisch zugänglich für jeden Mitarbeiter. „Da uns klar war, welches Risiko und welchen Anreiz zum Missbrauch das darstellt, änderten wir den Ablageort und schränkten die Zugriffsrechte ein. Damit und mit dem Durchspielen diverser Szenarien der Art ‚Was passiert, wenn…‘ haben wir quasi Laufen gelernt und konnten unter anderem sicherstellen, dass wir personenbezogene Daten DSGVO-konform handhaben. “, erklärt er. „Es machte mich aber bereits zu diesem Zeitpunkt nachdenklich. Denn es wurde offensichtlich, welches Einfallstor wir mit solchen Überberechtigungen auch für externe Angriffe öffneten.“
Umso weiter die Software-Integration fortschritt, desto mehr wurde Wickersheim klar, dass er vorher gar nicht so genau gewusst hatte, was auf seinen Servern und in den Clouds los war. „Ich bin seit über 22 Jahren in dem Job und wusste lange auswendig, wo was liegt. Ich kannte die File-Server quasi mit Vornamen. Mittlerweile sieht das jedoch anders aus. Heutzutage wird so vieles digitalisiert, dass wir viele Terabyte an Daten auf unseren Servern liegen haben. Außerdem wird vieles online geteilt und über Clouds und Chats verschickt. Da hat kein Mensch mehr den Überblick, auch ich nicht. Erst nach der Implementierung von Varonis habe ich verstanden, was für ein cooles Werkzeug die Software ist und wie wichtig es ist, in Sachen Daten Transparenz zu haben.“
Aus ersten Tapsern mit der Lösung von Varonis wurden mit der Zeit große Fortschritte. Und doch lief es - wie bei so gut wie allen größeren IT-Projekten - nicht immer so reibungslos, wie anfangs erhofft.
KI trifft Mensch - Von Alerts, Missverständnissen und Verdachtsfällen
Denn, auch eine KI will trainiert werden.
„Und das war anfangs sehr mühselig. Man musste der KI quasi bei jedem Datenzugriff sagen: Ja, der darf das und nein, der darf das nicht.“, so Wickersheim. Doch nach etwa sechs Monaten war das Gröbste geschafft. „Varonis meldet sich jetzt nur noch, wenn ein neuer Server eingerichtet wird oder ein neuer Mitarbeiter anfängt, da beides anfangs unbekannt ist. Auch in der Urlaubszeit gibt es häufiger mal eine Alarmmeldung, was dann in der Regel daran liegt, dass sich einzelne Mitarbeiter aus dem Ausland einloggen.“
Wickersheim entdeckte darüber hinaus Vorteile, die sich teilweise auch auf die Aufklärung von internen Sachverhalten positiv auswirken. „Beispielsweise in der Entwicklungsabteilung“, erläutert der IT-Leiter. „Hier gibt es einen gemeinsamen Pool an Dateien mit technischen Inhalten. Ab und zu kommt es vor, dass etwas an einer Datei verändert wird, sodass nachher hinten und vorne nichts mehr stimmt. In der Regel ist es recht unwahrscheinlich, dass es der Server ist, der nachts beschließt, aus einem Rohr ein Blech zu machen. Mit Varonis kann ich lückenlos belegen, was wann von wem an einer Datei verändert wurde. So können Fehlkonfigurationen recht schnell gefunden und Missverständnisse aus der Welt geräumt werden.“
Noch wichtiger ist für ihn jedoch, dass auf diese Weise auch Insiderbedrohungen wirksam der Riegel vorgeschoben werden kann. Denn sollte doch einmal jemand absichtlich Unterlagen sabotieren oder entwenden wollen, kann dies im Verdachtsfall nachvollzogen und aufgeklärt werden. „Es geht hierbei nicht um das Ausspionieren von Mitarbeitern.“, betont Wickersheim. „Der Vorteil ist einfach der, dass man bei konkreten Verdachtsfällen direkt feststellen kann, ob hier was dran ist oder eben nicht, anstatt einem Mitarbeiter wochenlang misstrauisch über die Schulter schauen oder ihn zu einem unangenehmen und möglicherweise ungerechtfertigten Gespräch bitten zu müssen.“
Feuerprobe bestanden - Geo-Hopping-Angriff entlarvt
Neben den Möglichkeiten zur internen Verbesserung von Prozessen und einer transparenten Datenstrukturierung bekam Varonis Anfang des Jahres 2022 die Gelegenheit, sich auch hinsichtlich eines Angriffs von außen aktiv zu bewähren. Wickersheim nickt nachdrücklich, als er sich daran erinnert: „Ein Kollege hat sich morgens am Standort in Kehl eingeloggt. Und 20 Minuten später plötzlich aus Lagos. Solange es noch keine Beam-Technologie gibt, die eine Person innerhalb weniger Minuten von einer Seite des Erdballs auf die andere befördern kann, ist das einfach nicht möglich. Varonis hat das sofort erkannt und den Account gesperrt. Mithilfe des Varonis Incidence Teams rekonstruierte ich den Vorgang und fand auf Grundlage der Logfiles heraus, dass der Angreifer nicht einmal in die Nähe sensitiver Daten gekommen ist. Außerdem konnte ich lückenlos belegen, was wann wo passiert ist. Das ist ein Riesenpluspunkt, der die Kosten für die Software komplett rechtfertigt.“, konstatiert er.
Sofern es bis zu diesem Zeitpunkt noch Zweifel oder Vorbehalte gegen die Software von Varonis gegeben hätte, wären diese damit sehr wahrscheinlich endgültig zerschlagen worden. Denn ohne das automatische Eingreifen der Varonis-KI und dem sofortigen Sperren des Accounts hätte aus diesem Geohopping-Ereignis durchaus ein kritischer Vorfall werden können. Wickersheim ist deshalb - und hinsichtlich der weltweit angespannte IT-Sicherheitslage - heilfroh, dass die Kronen GmbH sich bereits frühzeitig für Varonis entschieden und damit ein solides Sicherheitsnetz für ihre IT-Infrastruktur geschaffen hat, auch wenn das ursprünglich gar nicht direkt im Fokus gestanden hatte.
Wie Kronen sich mit Varonis weiter schützt und strukturiert
Mit der vereitelten Attacke aus Lagos wurde der Kronen GmbH eindrücklich bewiesen, dass Varonis auch bei der proaktiven Sicherung gegen Ransomware-Attacken Gold wert ist. Um das Schutzschild weiter zu verstärken und für noch mehr Sicherheit zu sorgen, hat Wickersheim weitere Maßnahmen ergriffen und beispielsweise jüngst die Regel eingerichtet, dass bei einer bestimmten, stark gehäuften Anzahl an Datenänderungen in einem definierten Zeitraum oder bei Datenzugriffen zu unüblichen Zeiten der ausführende Account gesperrt wird oder eine entsprechende Alarmierung stattfindet. Schließlich liegt bei solch unüblichen Aktivitäten der Verdacht nahe, dass Ransomware zugange ist. Handelt es sich um Fehlalarm, kann der entsprechende Account jederzeit wieder entsperrt werden. Doch Sicherheit geht hier für Wickersheim einfach vor.
Was er mittlerweile ebenfalls sehr zu schätzen weiß: Die Erkennung und Bewertung von Online-Vorgängen durch Varonis. Denn auch bei Kronen laufen längst nicht mehr alle Datenströme nur intern. Daten und Informationen werden über Chats und diverse Clouds auch mit externen Personen geteilt, was durchaus riskant sein kann. „Davon würde ich ohne Varonis gar nichts mitbekommen.“, gibt er zu Bedenken. „Mit der Software kann ich hingegen alles einsehen und erkenne auch, wie die Berechtigungsstrukturen in diesem Umfeld aufgebaut sind. So kann ich mittels definierter Regeln steuernd eingreifen und auch hier gewisse Sicherheitsstandards umsetzen.“
Laut Wickersheim sind das lediglich einige Beispiele der Nutzbarkeit von Varonis. „Mit der Software wird einfach alles transparent und das ist gut so, denn sonst würde ich viele Dinge nie erfahren.“, fasst er zusammen. „Deshalb bauen wir die aktive Arbeit mit dem Tool weiter aus. Anfangs ging es darum, die DSGVO umzusetzen. Dann wollten wir die ‚Kronjuwelen‘ des Unternehmens zu schützen. Jetzt gehen wir in die Details und stricken das Netz immer dichter. Auch hinsichtlich unseres Außenstandorts in Achern ist das enorm hilfreich. Denn hier habe ich noch weniger Übersicht über Datenzugriffe als ich sie vor Ort habe. Mit Varonis ist das alles kein Problem mehr.“
Warum es besser ist, klein anzufangen
Auf die Frage, was Wickersheim heute bei der Implementierung von Varonis anders machen würde, antwortet er: „Wir haben direkt mit dem großen Datenserver angefangen, den wir bezeichnenderweise ‚Nirvana‘ getauft hatten, weil hierauf einfach alles verschwunden ist. Das würde ich so nicht mehr tun, da das Anlernen der KI aufgrund der Datenmenge recht lange gedauert hat und es alles in allem einfach recht viel auf einmal war. Stattdessen macht es Sinn, mit einem kleinen Server zu starten, weil so die KI effektiver lernen und schnellere Fortschritte erzielen kann. Sie lernt so einfach besser laufen mit dem Tool, ohne von der Anzahl der Ergebnisse überfordert zu sein.“
Das Thema Akzeptanz bei den Mitarbeitern ist laut Wickersheim auch nicht zu vernachlässigen, insbesondere bei einer Software, bei der es um Transparenz in Berechtigungen und Datenströmen geht. Sein Tipp dazu: „Man muss den Leuten die Sinnhaftigkeit der Lösung nahebringen, sie von Anfang an zum Thema abholen und klarstellen, dass die Lösung von Varonis das Unternehmen und damit auch seine Mitarbeiter vor kriminellen Cyber-Machenschaften schützt.“
Kronen und Varonis - Liebe auf den zweiten Blick
Was Wickersheim lobend hervorhebt, sind Kompetenz und Engagement der Ansprechpartner bei Varonis. „Ich weiß nicht, ob es die Software durch die Anfangsphase des Projekts geschafft hätte, wenn die Kollegen von Varonis nicht immer wieder so hervorragende Arbeit geleistet hätten.“, gibt er zu. In Kombination mit der Implementierung durch den erfahrenen Systemintegrator Consulting4IT wurde damit die erfolgreiche Etablierung von Varonis bei Kronen sichergestellt. „Bei der Consulting4IT kann ich mich auf getroffene Aussagen und eine ehrliche Kommunikation stets verlassen und weiß beispielsweise, dass mir nichts aufgedrängt wird, was nicht wirklich Sinn macht.“
Außerdem betrachtet er die Vermittlung des nötigen Wissens durch deren hauseigene Academy als echten Mehrwert. „Was nutzt mir schließlich die beste Software, wenn ich nicht weiß, wie ich sie bedienen muss.“ Die Zusammenarbeit mit Consulting4IT wurde deshalb stetig weiter ausgebaut und umfasst mittlerweile auch Produkte von deren Partner Matrix42 sowie das neue Eigenprodukt F4SD.
Wickersheim resümiert: „Am Anfang habe ich in Varonis nicht viel mehr als ein Tool für den Datenschutz gesehen. Doch mit der Zeit hat es mich immer wieder aufs Neue positiv überrascht und immer mehr Möglichkeiten offenbart. Jetzt gibt mir Varonis als solider IT-Security-Baustein Sicherheit im Arbeitsalltag. Mit der Software kann ich einen extrem hohen Sicherheitsstandard gewährleisten und dafür sorgen, dass es Personen mit unlauteren Absichten so schwer wie möglich haben – ein entscheidender Vorteil im Kampf gegen Cyber-Kriminelle.“
Wie das Projekt von Kronen mit Varonis zeigt, braucht es manchmal etwas Zeit, bis die Arbeit Früchte trägt. Oder - anders ausgedrückt - ab und zu ist es eben Liebe auf den zweiten Blick, die zu einer erfolgreichen Beziehung führt. Man kann es sehen, wie man will. Varonis wurde auf jeden Fall zu einem echten Bollwerk der IT-Verteidigung für die Kronen GmbH, quasi zum Verteidiger der Krone.
Und Wickersheim schließt im Brustton der Überzeugung: „Ich möchte Varonis nicht mehr missen.“
Über die Kronen GmbH:
Das 1978 gegründete Unternehmen KRONEN GmbH mit Sitz im süddeutschen Kehl zählt zu einem der führenden Maschinenbauer in der Freshcut-Industrie. Dabei hat sich die Kronen GmbH auf die Entwicklung, Produktion und Lieferung von Einzel- und Sondermaschinen sowie hochtechnisierten Prozessanlagen im Bereich der Salat-, Gemüse- und Obstverarbeitung spezialisiert. Mit Vertretungen in über 80 Ländern weltweit und Lieferungen in mehr als 120 Länder hat sich das Unternehmen in der Lebensmittelbranche einen Namen gemacht und erreichte 2021 trotz pandemiebedingt angespannter Marktlage einen Rekordumsatz von 18,5 Millionen Euro.
Erster Diamond Partner!
Führender Spezialist für Matrix42
Seit Jahren sind wir führender Partner für Matrix42! Profitieren Sie von unserem Know-how und lassen Sie sich in einem unverbindlichen Termin zeigen, wie wir Ihre Mitarbeiter zu echten Helden machen!