CIO des Jahres

CIO des Jahres 2020 – Cybersecurity Award

Marabu-CIO bewältigt große Cyberattacke und gibt Tipps

26.11.2020
Von 
Jens Dose ist Redakteur des CIO Magazins. Neben den Kernthemen rund um CIOs und ihre Projekte beschäftigt er sich auch mit der Rolle des CISO und dessen Aufgabengebiet.
Marabu wurde Ende 2019 Opfer einer großangelegten Cyberattacke – die Feuertaufe für das Team um dem neuen CIO Stefan Würtemberger. Für sein vorbildliches Krisenmanagement erhält der IT-Chef den Cybersecurity-Sonderpreis beim Wettbewerb "CIO des Jahres".
Stefan Würtemberger, CIO bei Marabu, fiel mit seiner Bewerbung aus dem Rahmen: Er berichtete offen über eine Cyber-Attacke auf sein Unternehmen und darüber, wie diese bewältigt werden konnte.
Stefan Würtemberger, CIO bei Marabu, fiel mit seiner Bewerbung aus dem Rahmen: Er berichtete offen über eine Cyber-Attacke auf sein Unternehmen und darüber, wie diese bewältigt werden konnte.
Foto: Marabu

"Innerhalb von sechs Stunden waren alle Serversysteme unbrauchbar und verschlüsselt," erinnert sich Stefan Würtemberger an den 29. November 2019. Knapp zwei Monate nach seinem Antritt als CIO von Marabu sah er sich mit einer massiven Cyberattacke auf die IT-Infrastruktur des Druckfarbenherstellers konfrontiert. Es sollte vier Monate dauern, bis alles wieder voll funktionsfähig war.

Die Jury sagt:

"Würtemberger hat nicht nur einen Ransomware-Angriff auf sein Unternehmen erfolgreich bewältigt, sondern auch eine Best-Practice-Handlungsanleitung für Betroffene erstellt. Seine Offenheit verdient genauso viel Anerkennung wie seine Professionalität."

Der Angriff legte alles lahm, darunter E-Mail, Internetzugang, Fileservices, ERP-System oder die Telefonanlage. Der sehr hohen Lösegeldforderung der Kriminellen wollte Marabu nicht nachkommen. Würtemberger gründete schnell ein Notfallteam und einen Krisenstab. Spezialisten eines externen Dienstleisters wurden herangezogen. Zum Glück funktionierten Smartphones und WhatsApp noch, auch wenn das für Datenschützer nicht das optimale Medium ist," sagt der CIO. Immerhin konnten so alle miteinander kommunizieren. Nach zwei Tagen wusste die IT, wie groß der Schaden war. Viele Daten waren verloren, da auch die Backups verschlüsselt worden waren. Einige Terabyte ließen sich durch eine Spezialsoftware wiederherstellen.

Das 1859 gegründete Familienunternehmen Marabu mit Hauptsitz in Tamm bei Stuttgart stellt Sieb-, Digital- und Tampondruckfarben her.
Das 1859 gegründete Familienunternehmen Marabu mit Hauptsitz in Tamm bei Stuttgart stellt Sieb-, Digital- und Tampondruckfarben her.
Foto: Marabu

Alle Werke mussten für einige Tage geschlossen werden, bis Produktionsdaten auf Papier beschafft waren. Damit konnte die Fertigung wieder anlaufen. Nach fünf Tagen schaffte es die IT, das Hauptwerk samt ERP-System wieder in Betrieb zu nehmen. Im Tagesrhythmus wurden die übrigen Werke in den Ländern reaktiviert. Nach neun Wochen waren die IT-Systeme zu 95 Prozent wieder intakt.

Zeitgleich arbeiteten Würtemberger und sein Team an ihrer eigentlichen Hauptaufgabe: ein neues ERP-System sollte in den Produktivbetrieb überführt werden. Am 16. Dezember 2019, also mitten in den Aufräumarbeiten nach der Cyberattacke, starteten die Vorbereitungen für den Go-Live. Die Daten aus dem Altsystem migrierte die IT über die Weihnachtsfeiertage und stellte am 1. Januar 2020 auf das neue ERP um. Sieben Wochen nach der Cyberattacke brach in China das Coronavirus aus, sodass alle Mitarbeiter dort ins Home Office überführt werden mussten. Bis zum 26. März waren dann alle Standorte weltweit auf Heimarbeit umgestellt.

Ransomware-Attacke: 10 Tipps von Würtemberger

  • Sichern Sie sich umgehend die Unterstützung externer Cyber-Spezialisten.

  • Erstatten Sie Anzeige bei der Polizei.

  • Eine gut dokumentierte Infrastruktur hilft externen Kräften, sich zu orientieren.

  • Professionelle Netzwerkspezialisten spielen eine Schlüsselrolle bei der Abwehr von Cyber-Angriffen.

  • Aktualisieren Sie unbedingt regelmäßig Ihre Notfallpläne und führen Sie Tests durch.

  • Legen Sie Backups so ab, dass sie nicht an die Infrastruktur gebunden sind.

  • Überlegen Sie, wie die interne Kommunikation im Ernstfall aussehen sollte.

  • Schließen Sie eine gute Cyberversicherung ab.

  • Denken Sie nie: "Wir sind sicher!" Einen 100-prozentigen Schutz gibt es nicht.

  • Verlieren Sie nie den Humor in der Krise!