In unserer dreiteiligen Reportage beleuchten wir den Tag des Hackerangriffs, die unmittelbaren Reaktionen und den langwierigen Prozess des Wiederaufbaus der IT-Systeme. Wir werfen einen Blick auf die tiefgreifenden Erfahrungen des Managements, die heute die Gespräche mit Kunden entscheidend prägen und zeigen, wie existenziell ein umfassender Cyberschutz mit den richtigen Partnern für jedes Unternehmen ist.
„Die Frage ist nicht, OB ein Cyberangriff passiert, sondern WANN es passiert“, erklärt Daniel Ahrend, COO bei der SCHUNCK GROUP, die als Versicherungsmakler selbst Cyberpolicen für ihre Kunden anbietet. Als der Ernstfall dann in der eigenen Organisation eintritt, ist die Überraschung dennoch groß.
Alarmanruf am Sonntag: Wie ein Cyberangriff das Unternehmen stilllegt
Es war Sonntagmorgen, 1. Oktober 2023, der Beginn eines verlängerten Wochenendes. Um 11:20 Uhr wurde die sonntägliche Ruhe abrupt unterbrochen, als das Telefon des COO Daniel Ahrend klingelte, während er entspannt mit seiner Frau Kaffee trank. Am anderen Ende der Leitung war ein IT-Kollege aus der Systemüberwachung. Die besorgte Stimme ließ Daniel sofort aufhorchen.
Die IT-Systeme waren ausgefallen – das Rechenzentrum, die IT-Tools und Kundenportale waren nicht mehr zugänglich. „Nichts ging mehr! Nur unsere extern gehostete Website war noch erreichbar“, berichtet Ahrend und fügt hinzu: „Ab diesem Zeitpunkt switchte ich sofort in den Krisenmodus und der Notfallplan wurde eingeleitet.“
Weitere Informationen
Schnelles Handeln ist unabdingbar
Die IT-Verantwortlichen kontaktierten sofort die Krisenhotline des Cybersicherheits-Partners Defency des SCHUNCK-eigenen Competence Centers Cyber. Innerhalb kürzester Zeit informierte IT-Leiter Ahrend die gesamte Geschäftsführung der SCHUNCK GROUP und die Verantwortlichen der Konzernmutter, der Ecclesia Gruppe.
Für 13:30 Uhr desselben Tages berief er eine Krisensitzung ein. Die Teilnehmer*innen waren: die Geschäftsführer, interne IT-Spezialisten, der Cyber-Risikomanager, Vertreter der Rechtseinheit und Datenschutz sowie die Kommunikationsexperten. Die Krisenkoordination übernahm der COO, Daniel Ahrend. In der Krisensitzung verschafften sie sich ein vollständiges Bild der Lage. „Wir mussten schnell erfassen, was genau passiert ist, welche Systeme betroffen sind und welche ersten Schritte notwendig sind“, erklärt Ahrend. Sie beauftragten ein Cyber-Forensik-Unternehmen, das auf allen Endpunkten – von Laptops über Desktop-Computer bis hin zu Servern – eine spezielle Systemmanagement bzw. EDR- Software (Endpoint Detection and Response) installierte, um erste Daten über den Zustand und die Betroffenheit der Systeme zu sammeln. Zudem wurden alle Systeme vom Netz genommen. Über diese Software konnten dann unter anderem Incident Response Werkzeuge zur schnellen Reaktion auf erkannte Bedrohungen und zur Durchführung von forensischen Analysen und zur Datenanalyse sowie zur proaktiven Bedrohungssuche eingesetzt werden.
Unser Experte
Robert Drexler
Für Presseanfragen
Philip Kobel
Direkt in der ersten Sitzung setzte das Krisenteam den Notfallplan um und eine Projektorganisation auf. Im Rahmen dieser wurden Hauptprojekte wie IT-Infrastruktur, Recht, Datenschutz sowie Business Operation für das Tagesgeschäft definiert. Jedes Projekt erhielt einen Projektleiter und ein unterstützendes Projektmanagementbüro (PMO). „In unserer IT haben wir Mitarbeiter*innen, die weitreichende Erfahrungen mit Projektarbeit und Projektorganisation besitzen. Wir starteten sofort mit klassischer Projektarbeit: Problemanalyse und Erörterung der Möglichkeiten, um aus dieser Situation herauszukommen“, fügt der Krisenleiter hinzu. Um schnelle Abläufe und Entscheidungswege zu gewährleisten, fand schon am Nachmittag des gleichen Tages, um 17:30 Uhr, die zweite Krisensitzung statt. Dieser Turnus, die zweimal tägliche Sitzung des Krisenstabs, wurde in den nächsten Wochen beibehalten.
Emotionen mäßigen und Sicherheit bieten
Besonders in der akuten Phase war für das SCHUNCK-Team die Führungsstärke entscheidend. „Zunächst einmal war es wichtig, Ruhe zu bewahren und Sicherheit auszustrahlen“, reflektiert CEO Richard Renner rückblickend. „Wir mussten die emotionale Aufregung, die natürlich enorm war, bei allen Beteiligten etwas herunterfahren.“
Um den Mitarbeiter*innen Stabilität zu vermitteln, erläuterte er, dass die Situation ernst sei und dass die starke Muttergesellschaft im Hintergrund Unterstützung bietet. „Ich habe immer wieder klargestellt, dass wir gemeinsam da durchkommen und sich niemand aufgrund der Krisensituation sorgen muss.“
Diese beruhigenden Worte waren besonders für die IT-Abteilung von Bedeutung, deren Mitarbeiter*innen sich sorgten, möglicherweise Fehler gemacht zu haben. „Es war wichtig, persönliche Ängste zu nehmen und eine Art emotionale Stabilisierung durchzuführen, um den Fokus auf die Lösung des Problems zu lenken“, erklärt Renner.
Ad-hoc-Maßnahmen nach dem Cyberangriff auf SCHUNCK
- Krisenstab mit internen Experten, Entscheidern und externen IT-Dienstleistern unmittelbar nach Kenntnis
- Regelmäßige Krisen-Meetings (2 x tgl.) und Aufbau einer Projektstruktur im Krisenstab
- Tiefenanalyse, kontinuierliche Dokumentation und Aufsetzen geeigneter Abwehrmaßnahmen
- Transparente und konsistente Kommunikation
- Kommunikation und Erreichbarkeit zu den Kunden her- und sicherstellen
- Aufbau einer internen Kommunikations- und Arbeitsplattform für Mitarbeiter*innen und Krisenteam (innerhalb von 48 h)
Das Lagebild
Nach und nach wurde deutlich, dass es sich nicht nur um einen akuten IT-Ausfall handelte, sondern dass die SCHUNCK GROUP Ziel eines gravierenden und professionell geplanten Cyberangriffs war. Die Daten waren verschlüsselt worden – ein Fall von Ransomware. Die Analyse der IT offenbarte das professionelle Vorgehen der Hacker. Im Laufe der forensischen Ermittlungen konnte festgestellt werden, dass fast alle, digitalen Spuren beseitigt wurden, bzw. die Täter vorhatten diese zu beseitigen. Der Beginn der Verschlüsselung der Daten konnte auf den frühen Morgen des 1. Oktober um etwa 2:00 Uhr datiert werden.
Ein glücklicher Umstand war, dass der darauffolgende Tag ein Brückentag war, den viele Mitarbeiter*innen bereits frei genommen hatten. Dennoch war es notwendig, die Kommunikation an die Belegschaft, Kunden, Partner und Stakeholder sofort zu starten.
Kommunikationsstrategie im Krisenmodus
Die Herausforderungen für die Kommunikationsabteilung waren immens, da der Cyberangriff die regulären Arbeitsmittel lahmlegte. „Wir nutzten Privatrechner, iPads und Mobiltelefone für unsere Textarbeiten und waren zunächst auf private Mailaccounts angewiesen“, erklärt Philip Kobel, Leiter der Kommunikationsabteilung der SCHUNCK GROUP. Auch der Aufbau eines Verteilers via WhatsApp war notwendig, da die üblichen Kommunikationskanäle nicht verfügbar waren. „Die Ausgangslage war schwierig. Wir konnten anfangs nur begrenzt Informationen weitergeben, da wir ja selbst noch in der Problemanalyse steckten“, fügt er hinzu. Das Team legte immerzu großen Wert darauf, die Kommunikation stets offen, transparent und einheitlich zu gestalten – sowohl nach innen als auch nach außen.
Tagesgleich lag auch der erste Vorschlag für die Informationen an die Mitarbeiter*innen und externe Stakeholder vor. Diese wurde über die Website verbreitet, die extern gehostet wird, daher nicht betroffen war und zunächst als einzig offener und sicherer Kommunikationskanal diente. Die Mitarbeiter*innen wurden über dienstliche und private Mobilgeräte kontaktiert und angewiesen, am Montag nicht ins Büro zu kommen und keine Rechner zu aktivieren. Zudem wurden die Telefone zentral zu einem Dienstleister umgeleitet, um die telefonische Erreichbarkeit zu gewährleisten.
Mit dem Aufbau alternativer Kommunikationswege gelang es der SCHUNCK GROUP, nach außen kurzfristig sprechfähig zu werden. Intern war die Situation enorm angespannt, da weiterhin die Systeme nicht funktionierten. Thomas Wicke, Geschäftsführer der SCHUNCK GROUP, betont die Wichtigkeit der transparenten Kommunikation: „Es ging darum, die Balance zu halten. Wir mussten klar kommunizieren, dass es ein ernstes Thema ist. Wir sind betroffen, die Situation ist noch nicht vollständig lokalisiert, aber wir haben sie im Griff. Wir arbeiten eng mit den zuständigen Behörden zusammen, überprüfen unsere Datenschutz- und Sicherheitsmaßnahmen und versuchen, den Betrieb aufrecht zu erhalten. Wir sind für euch da – sei es für Versicherungspartner oder für die Kunden.“
Zugleich ging es dem Vertriebschef darum, sein Team zu motivieren, das Handy stets griffbereit zu halten und proaktiv auf die Stakeholder zuzugehen. Innerhalb von nur zwei Tagen nach dem Cyberangriff richtete die SCHUNCK GROUP ein neues, webbasiertes Intranet ein. Dieses wurde zur zentralen Plattform für die Mitarbeiter*innenkommunikation und das Projekt- und Krisenmanagement. Somit gelang es dem Team, die Projektarbeit zu strukturieren und die Kommunikationswege innerhalb der gesamten Organisation neu zu orchestrieren.
Handbuch: Cyber-Risiken ab- und versichern
Wie gut sind Sie gegen Cyber-Gefahren abgesichert? Erhalten Sie in unserem Handbuch konkrete Tipps und Tricks: Wie sichern Sie sich gegen Cyber-Risiken ab?
Notwendiges Datenschutzmanagement
In der Ad-hoc-Phase des Cyberangriffs war auch die Kommunikation im Hinblick auf den Datenschutz entscheidend. Geschäftsführer und Chef-Justiziar Peter Kollatz beschreibt die Interaktion mit den Behörden: „Die Meldung an die Datenschutzbehörden muss unmittelbar und gemäß den spezifischen Anforderungen der jeweiligen Bundesländer erfolgen. Für uns waren dabei unsere Standorte München und Hamburg ausschlaggebend.“ Er fügt hinzu, dass die Behörden hauptsächlich darauf abzielten, Informationen zu sammeln, um die Angreifer zu identifizieren, obwohl solche Gruppen selten gefasst werden. „Direkte Unterstützung oder einen unmittelbaren Mehrwert haben wir von den Behörden nicht erfahren. Der Fokus lag darauf, sicherzustellen, dass keine Datenschutzverstöße vorlagen.“
In enger Zusammenarbeit mit den hauseigenen Datenschutzbeauftragten nahm das Unternehmen Kontakt zu möglicherweise betroffenen Personen wie Kunden und Geschäftspartnern auf. „Wir haben diese Gruppen umgehend informiert, dass wir prüfen, ob ein Datenrisiko besteht.“, erklärt Kollatz. Zugleich lief das Darknet-Monitoring auf Hochtouren, das aufzeigte, dass keine sensiblen Daten öffentlich gemacht wurden. Kollatz betont: „Bis heute können wir festhalten, dass wir nie einen konkreten Nachweis für einen tatsächlichen Datenabfluss hatten.“

Arbeiten im Krisenmodus – zweiter Teil der Reportage folgt
Die Priorität lag zunächst auf der Wiederherstellung der Erreichbarkeit und der Stabilisierung der Systeme und Services. Doch wie organisiert man die tägliche Arbeit in solch einem Ausnahmezustand? Wie navigiert die IT im verborgenen Netz, im Darknet, um die Spuren der Angreifer zu verfolgen? Und wie gelingt es der SCHUNCK GROUP, wieder in den Normalbetrieb zurückzukehren?
Im zweiten Teil unserer Reportage tauchen wir tiefer in den Krisenmodus ein.
Faktencheck zur Cybergefahr
- Cybervorfälle sind das TOP-Geschäftsrisiko 2024
Ransomware-Attacken, Datenpannen und IT-Ausfälle sind für Unternehmen in Deutschland und weltweit das größte Risiko (36 %) – mit deutlichem Abstand zu den Gefahren der Betriebsunterbrechung und dem Klimawandel (Quelle: Allianz Risk Baromenter 2024). - Schadenfälle infolge von Cybervorfällen steigen rasant an.
2023 ist die Zahl der Schadenfälle gegenüber dem Vorjahr um mehr als 50 % gestiegen – insbesondere durch neue Technologien, wie Generative AI, zur Automatisierung von Angriffen mit effektiver Malware und Phishing (Quelle: Allianz ebd.). - Mehr als die Hälfte der Unternehmen waren bereits Cyberopfer.
Rund 58 % der Unternehmen in Deutschland waren mindestens einmal Opfer einer Cyber-Attacke. Dabei kommt es zu Gesamtschäden von über 200 Milliarden Euro (Statista 2024). - Manager*innen sind besorgt um ihre Cybersicherheit.
87 % der Manager*innen bezweifeln, dass ihr Unternehmen ausreichend gegen die digitale Bedrohung gewappnet ist. Diese Besorgnis ist auf die weltweite Zunahme von Ransomware und Datenmissbrauch zurückzuführen (Quelle: Global Cyber Risk and Insurance Studie von Munich Re 2024). - Cybersicherheit hat oberste Priorität in der Supply Chain.
Im Supply Chain Management gilt Cybersicherheit als der entscheidende Faktor für den Erfolg von Unternehmen. 43 % der Studienteilnehmer*innen hat in den letzten 12 Monaten bereits einen Cyberangriff erlebt, während fast zwei Drittel befürchteten, dass ihre Lieferkette im Jahr2024 durch einen solchen Angriff behindert werden könnte (Quelle: Supply-Chain-Pläne 2024 von Software Advice). - 4,18 Mio. $ kostet ein Dateneinbruch ein Logistik-Unternehmen im Durchschnitt.
Die Logistik-Branche steht auf Rang 3 der am stärksten Branchen (Quelle: Hornetsecurity, Cyber Threat Report 2021/22). Ein Datenverstoß kostet im Transportwesen durchschnittlich 4,18 Millionen Dollar (Quelle: IBM Security, Bericht über die Kosten einer Datenschutzverletzung 2023).