Bei diesem realen Vorfall, den Eye Security bei Move Intermodal untersucht hat, stammen die dargestellten Ereignisse, Angriffstechniken und gewonnenen Erkenntnisse direkt aus unserer Arbeit vor Ort. Die Inhalte werden mit ausdrücklicher Genehmigung von Move Intermodal veröffentlicht.
Move Intermodal mit Sitz in Genk ist eines der führenden europäischen Intermodal-Logistikunternehmen und sorgt täglich dafür, dass Tausende von Sendungen über Straße, Schiene und Wasser pünktlich unterwegs sind. CIO Tomas Tempelaars leitet eine IT-Abteilung, in der Timing und Kontinuität entscheidend sind, besonders, wenn Fracht termingerecht geliefert werden muss.
Der Anruf, der einen Freitag veränderte
Tomas war erst fünf Minuten auf dem Weg zur Arbeit, als sein Telefon klingelte. „Es gibt ein paar Nummern, bei denen man, wenn sie vor halb neun anrufen, sofort merkt, dass etwas nicht stimmt“, erinnert er sich. Der Managed Service Provider (MSP) hatte bereits erste Eindämmungsmaßnahmen eingeleitet. Als Tomas das Büro erreichte, waren weitere Schritte unternommen und die Analyse bereits gestartet. Kurz vor zehn Uhr kam das IT-Partnerunternehmen zu dem Schluss, dass der Vorfall außerhalb ihres Verantwortungsbereichs lag.
„Der MSP handelte schnell und isolierte sofort die ersten betroffenen Systeme“, erinnert sich Tomas. „Sie erkannten aber, dass dies nicht einfach nur eine weitere Warnung war. Deshalb wandten sie sich an Eye Security, ein Team, dem sie bereits vertrauten. Innerhalb von neunzig Minuten nahmen wir an einer gemeinsamen Intake-Call mit allen relevanten Beteiligten teil, was uns die Sicherheit gab, dass der Vorfall professionell gemanagt wurde.“
Auslöser für die Eskalation war die Telemetrie aus der Nacht zuvor. Die Endpoint Detection hatte verdächtige Aktivitäten erkannt: Versuche, Zugangsdaten zu sammeln, Dateien, die für den Diebstahl vorbereitet wurden, und ungewöhnliche administrative Verbindungen. Die schnelle Isolierung durch den MSP begrenzte den unmittelbaren Schaden, doch der tiefere Angriffspunkt war weiterhin aktiv. Das Muster entsprach dem klassischen Double-Extortion-Szenario: Daten wurden bereits gestohlen, und der Einsatz von Ransomware war wahrscheinlich die nächste Stufe.
Die Bedrohung eindämmen
Für Move Intermodal galt ein einfaches Prinzip: Assume Breach: nicht „wenn“, sondern „wann“. Die Angreifer hatten bereits das Backup-System erkundet und Konten in der Veeam-Umgebung erstellt. Wären sie nicht gestoppt worden, wäre der nächste Schritt gewesen, Backups zu deaktivieren und Ransomware zu starten.
„Kontinuität hat oberste Priorität“, betont Tomas. „Wir wussten schnell, dass die Kernserver nicht ausgefallen waren, stellten jedoch auf maximale Eindämmung um, um das Problem so klein wie möglich zu halten.“
Bas van den Berg, Principal Cyber Security Expert bei Eye Security, leitete die Reaktion und erinnert sich an den Druck in den ersten Stunden: „Als wir die Umgebung betraten, waren die Angreifer nur noch wenige Stunden davon entfernt, Ransomware einzusetzen. Unsere erste Aufgabe war, alle Persistenzen zu entfernen und die Ursache zu finden, bevor sie zurückkehren konnten. Wir beseitigten Backdoors, sammelten forensische Beweise und arbeiteten mit dem MSP zusammen, um alle Zugangsdaten zurückzusetzen und das anfällige VPN offline zu nehmen. Anschließend wurde die Umgebung an unser SOC angebunden, sodass jede Bewegung in Echtzeit überwacht werden konnte.“
Dank dieser Maßnahmen blieb die Geschäftskontinuität erhalten. „Einige Tage lang konnten wir den Fileserver nicht nutzen, und das Drucken war nicht möglich“, sagt Tomas, „aber die Kernprozesse liefen weiter.“
Lessons Learned für Logistikleiter
Der vermutete Einstiegspunkt war eine SonicWall SSL-VPN-Schwachstelle, die Wochen zuvor gepatcht worden war: gerade genug Zeit für opportunistische Angreifer. Ähnliche Aktivitäten wurden europaweit gemeldet, etwa von Ransomware-Gruppen wie Akira, die VPN-Zugänge ausnutzten.
Für Tomas liegt die größere Lektion in der Natur der Logistik: „Ein ganzer Tag Störung kann aus Planungsperspektive dramatisch sein. Transporte würden ins Stocken geraten, und die Wiederherstellung der Übersicht wird exponentiell schwieriger. Das kostet Umsatz und kann vertragliche Risiken auslösen.“
„Die Updates waren kurz und klar, es blieben keine offenen Fragen“, sagt Tomas. „Die Zusammenarbeit mit Eye Security gab uns Sicherheit. Sie brachten Struktur mitten in den Vorfall und halfen uns, schnell die richtigen Entscheidungen zu treffen.“
Der schnelle Wiederherstellungsprozess war kein Zufall. Cybersecurity war bei Move Intermodal bereits priorisiert: EDR war implementiert, eine dedizierte Taskforce arbeitete regelmäßig an der Verbesserung der Sicherheitslage, und Schlüsselprozesse wie Patch-Management und Zugriffskontrolle waren lange vor diesem Vorfall etabliert. Diese Grundlage ermöglichte es dem Unternehmen, den Schock abzufangen und sich schnell zu erholen, sobald Eye Security eingriff.
Bas unterstreicht, warum das entscheidend war: „Vorbereitung macht den Unterschied. Da Move Intermodal bereits EDR und ein Sicherheitsprogramm hatte, konnten wir darauf aufbauen, statt bei Null anzufangen. Unsere Aufgabe war es, zu enthalten, zu beseitigen und zu überwachen, damit die Angreifer nicht zurückkehren konnten. Ohne EDR wäre dies sehr wahrscheinlich in einen großangelegten Ransomware-Angriff eskaliert. Die Kombination aus interner Vorbereitung und sofortiger externer Unterstützung verhinderte den Stillstand.“
Über Incident Response hinaus
Der Ransomware-Angriff wurde rechtzeitig gestoppt, doch die Bedrohung bleibt bestehen. Deshalb entschied sich Move Intermodal, Eye Security weiterhin als Managed Detection & Response (MDR)-Kunden zu nutzen.
Bas erklärt: „MDR bedeutet kontinuierliche Wachsamkeit. Wir reagieren nicht nur, wenn etwas passiert, sondern beobachten, jagen und reagieren kontinuierlich. In einem Sektor, in dem jede Stunde Ausfallzeit direkte finanzielle und vertragliche Folgen hat, ist dieses Maß an Monitoring und Reaktion unverzichtbar.“
Für Tomas ist der Nutzen klar: „Unsere Systeme werden nun rund um die Uhr überwacht. Sollte erneut etwas passieren, wissen wir, dass es erkannt und eingedämmt wird, bevor es außer Kontrolle gerät. So können wir uns auf das Wesentliche konzentrieren.“
Über Move Intermodal
Seit über 35 Jahren liefert Move Intermodal intermodale Logistik in ganz Europa über ein Netzwerk- und Partnerschaftsmodell. Das Unternehmen beschäftigt rund 300 Mitarbeitende in neun Ländern, betreibt etwa 3.000 Ladeeinheiten und 200 Lkw sowie circa 60 eigene Züge pro Woche und ermöglicht so täglich über 1.000 Sendungen.
Für Logistikunternehmen zählt Kontinuität über alles. Move Intermodal vermied eine Katastrophe, weil sie schnell handelten und die richtigen Experten einbezogen.
Sie können dasselbe tun. Sprechen Sie mit Eye Security und stellen Sie sicher, dass Ihr Unternehmen geschützt ist, bevor Angreifer die Chance bekommen.
