Angriffe & Incidents

Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen

Henry Schein, ein in den Fortune 500 gelisteter US-amerikanischer Gesundheitskonzern mit Niederlassungen in 32 Ländern, wurde im Oktober 2023 zweimal innerhalb weniger Wochen von der Ransomware-Gruppe BlackCat (ALPHV) angegriffen. Der Fall zeigt, wie Angreifer nach einem ersten Einbruch im System verbleiben oder erneut eindringen können — und warum eine halbherzige Incident Response den Schaden vervielfacht.

Erster Angriff: 15. Oktober 2023

Henry Schein nahm mehrere Systeme als Reaktion auf den Angriff vom Netz. E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Das Unternehmen arbeitete teilweise mit Behelfsmitteln — tausende Bestellungen wurden per Telefon und Messenger entgegengenommen, was den Betrieb erheblich verlangsamte.

Die dreiwöchige forensische Untersuchung ergab, dass sich die Angreifer Zugang zu sensiblen Daten verschafft hatten: Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten. BlackCat bekannte sich zum Angriff und nahm Henry Schein auf ihre Leak-Site auf.

Zweiter Angriff: Die erneute Verschlüsselung

Henry Schein identifizierte die Ursache der Störung und begann mit der Wiederherstellung von Systemen und Daten. An diesem Punkt griff BlackCat erneut ein und verschlüsselte die Daten ein zweites Mal — die Wiederherstellungsbemühungen waren vergeblich.

Ob die Angreifer zwischen den beiden Angriffen im System verblieben waren oder sich erneut Zugang verschafften, blieb unklar. Beide Szenarien sind gravierend:

Persistenz: Die Angreifer waren nie vollständig entfernt worden — eine häufige Konsequenz unvollständiger Incident Response
Erneuter Einbruch: Die initialen Einfallstore wurden nicht ausreichend geschlossen, sodass ein zweiter Einbruch möglich war

BlackCat/ALPHV: Professionelle Ransomware-Gruppe

BlackCat (auch ALPHV genannt) war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service und war bekannt für die Double-Extortion-Methode: Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

Im Dezember 2023 führte das FBI eine Disruption-Operation gegen BlackCat durch und übernahm temporär deren Leak-Site. Die Gruppe stellte den Betrieb Anfang 2024 ein — allerdings nicht ohne einen letzten Exit-Scam gegen ihre eigenen Affiliates.

Lehren für Incident Response

1. Vollständige Bereinigung vor Wiederherstellung

Systeme wiederherstellen, bevor die Angreifer vollständig aus dem Netzwerk entfernt sind, ist der häufigste und teuerste Fehler in der Incident Response. Bevor ein System wieder online geht, muss sichergestellt sein, dass keine Backdoors, persistenten Zugänge oder kompromittierten Accounts verbleiben.

2. Compromise Assessment nach jedem Vorfall

Nach einem Ransomware-Angriff reicht es nicht, die verschlüsselten Systeme aus Backups wiederherzustellen. Ein vollständiges Compromise Assessment muss klären: Wie sind die Angreifer eingedrungen? Welche Systeme waren betroffen? Welche Persistenz-Mechanismen wurden installiert? Welche Daten wurden exfiltriert?

3. Isolierte Backup-Infrastruktur

Backups müssen offline oder in einem isolierten Netzwerksegment vorgehalten werden. Wenn Angreifer Zugriff auf die Backup-Infrastruktur haben, können sie Backups vor der Verschlüsselung löschen oder manipulieren — und eine Wiederherstellung unmöglich machen.

4. Getestete Recovery-Prozesse

Henry Schein brauchte Wochen für die Wiederherstellung — und wurde mittendrin erneut angegriffen. Disaster-Recovery-Prozesse müssen regelmäßig getestet werden — nicht nur dokumentiert. Die Recovery-Zeit (RTO) muss bekannt und realistisch sein.

Handlungsempfehlungen

Incident Response Plan testen: Mindestens einmal jährlich eine Tabletop Exercise durchführen, die ein Ransomware-Szenario simuliert
Forensik vor Recovery: Niemals Systeme wiederherstellen, bevor die forensische Analyse den Angriffsvektor und alle Persistenz-Mechanismen identifiziert hat
Backup-Isolation: 3-2-1-Regel konsequent umsetzen — mindestens eine Kopie offline und für Angreifer unzugänglich
24/7-Monitoring nach Vorfällen: In den Wochen nach einem Angriff ist erhöhte Wachsamkeit geboten — Angreifer kehren zurück

Juliane Heinen

Wie lassen sich solche Störungen vermeiden?

Um den Betrieb schnell wiederherstellen zu können, sollten Sie einen Plan für die Wiederherstellung des Betriebs haben. Er sollte für jedes Unternehmen zur Grundausstattung gehören. Während eines möglichen Einbruchs haben Sie eine Menge anderer Dinge zu tun. Und wie die Erfahrung von Henry Schein gezeigt hat, würden Hacker weiterhin versuchen, Ihnen das Leben schwer zu machen.

Daher sollten Sie im Voraus planen und alles Notwendige vorbereiten. Zuallererst sollten Sie Backups von allen Daten und Systemen erstellen. Je nach Bedarf können Sie verschiedene Backup-Strategien verfolgen, aber bewahren Sie Ihre Backups in jedem Fall getrennt von der Hauptinfrastruktur auf.

Um das Eindringen bösartiger Akteure in Ihre Systeme zu verhindern oder zu erkennen, sollte sich Ihr Unternehmen auf robuste Überwachungssysteme stützen, die idealerweise über Reaktionsmöglichkeiten verfügen. In den späten Stadien von Angriffen ist eine Abschwächung möglich, aber fast jeder Angriff, egal welcher Art, benötigt Zugang zum System, um einen bösartigen Code auszuführen und Schaden anzurichten.

Durch eine umfassende Überwachung werden Sie vor solchen Versuchen gewarnt oder können im Falle eines erfolgreichen Angriffs den Schaden begrenzen. Je früher Ihr Unternehmen die Überwachung einführt, desto mehr Informationen erhalten Sie darüber, wie Ihre Systeme normalerweise funktionieren. So können Sie bösartiges Verhalten leichter und schneller erkennen.

Wie kann Neosec Ihrem Unternehmen helfen?

Wir bewerten mögliche Risiken für Ihr Unternehmen und Ihre Branche, um sicherzustellen, dass Sie sich leicht erholen können, wenn sich einige dieser Risiken bewahrheiten. Danach weiß Ihr Unternehmen, in welchen Bereichen es wachsen kann, und hat einen Plan, wie es das erreichen kann.

Unsere Managed Detection and Response (MDR)-Lösung übernimmt für Sie die umfassende Überwachung und automatische Reaktion rund um die Uhr. MDR umfasst eine Reihe von Software, die Zuverlässigkeit und Vertrauenswürdigkeit gewährleistet. Außerdem wird die Software von einem Team von Cybersicherheitsexperten unterstützt, die ihre Arbeit routinemäßig überprüfen und im Falle aktiver Angriffe eingreifen.

Mit Neosec genießt Ihr Unternehmen robuste Sicherheit und kann sich auf die Erzielung neuer finanzieller Ergebnisse konzentrieren, anstatt gegen Cyber-Bedrohungen zu kämpfen!

https://www.bleepingcomputer.com/news/security/healthcare-giant-henry-schein-hit-twice-by-blackcat-ransomware/
https://investor.henryschein.com/static-files/d6b69e82-44ea-4ad4-b70b-0abd82d8e400
https://investor.henryschein.com/static-files/b61bf698-d8f7-45f6-ba99-70f6d86a76a0
https://www.databreaches.net/henry-schein-re-encrypted-by-blackcat-again/
https://www.hipaajournal.com/blackcat-ransomware-group-re-encrypts-henry-schein-data/

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?