CIO des Jahres 2020 – Cybersecurity Award
Marabu-CIO bewältigt große Cyberattacke und gibt Tipps
"Innerhalb von sechs Stunden waren alle Serversysteme unbrauchbar und verschlüsselt," erinnert sich Stefan Würtemberger an den 29. November 2019. Knapp zwei Monate nach seinem Antritt als CIO von Marabu sah er sich mit einer massiven CyberattackeCyberattacke auf die IT-Infrastruktur des Druckfarbenherstellers konfrontiert. Es sollte vier Monate dauern, bis alles wieder voll funktionsfähig war. Alles zu Hacker auf CIO.de
Die Jury sagt:
"Würtemberger hat nicht nur einen Ransomware-Angriff auf sein Unternehmen erfolgreich bewältigt, sondern auch eine Best-Practice-Handlungsanleitung für Betroffene erstellt. Seine Offenheit verdient genauso viel Anerkennung wie seine Professionalität." |
Der Angriff legte alles lahm, darunter E-Mail, Internetzugang, Fileservices, ERP-System oder die Telefonanlage. Der sehr hohen Lösegeldforderung der Kriminellen wollte Marabu nicht nachkommen. Würtemberger gründete schnell ein Notfallteam und einen Krisenstab. Spezialisten eines externen Dienstleisters wurden herangezogen. Zum Glück funktionierten Smartphones und WhatsApp noch, auch wenn das für Datenschützer nicht das optimale Medium ist," sagt der CIO. Immerhin konnten so alle miteinander kommunizieren. Nach zwei Tagen wusste die IT, wie groß der Schaden war. Viele Daten waren verloren, da auch die Backups verschlüsselt worden waren. Einige Terabyte ließen sich durch eine Spezialsoftware wiederherstellen.
Alle Werke mussten für einige Tage geschlossen werden, bis Produktionsdaten auf Papier beschafft waren. Damit konnte die Fertigung wieder anlaufen. Nach fünf Tagen schaffte es die IT, das Hauptwerk samt ERP-System wieder in Betrieb zu nehmen. Im Tagesrhythmus wurden die übrigen Werke in den Ländern reaktiviert. Nach neun Wochen waren die IT-Systeme zu 95 Prozent wieder intakt.
Zeitgleich arbeiteten Würtemberger und sein Team an ihrer eigentlichen Hauptaufgabe: ein neues ERP-System sollte in den Produktivbetrieb überführt werden. Am 16. Dezember 2019, also mitten in den Aufräumarbeiten nach der Cyberattacke, starteten die Vorbereitungen für den Go-Live. Die Daten aus dem Altsystem migrierte die IT über die Weihnachtsfeiertage und stellte am 1. Januar 2020 auf das neue ERPERP um. Sieben Wochen nach der Cyberattacke brach in China das Coronavirus aus, sodass alle Mitarbeiter dort ins Home Office überführt werden mussten. Bis zum 26. März waren dann alle Standorte weltweit auf Heimarbeit umgestellt. Alles zu ERP auf CIO.de
Ransomware-Attacke: 10 Tipps von Würtemberger
|