Trotz ihres Expertenwissens in Sachen Versicherungsschutz gegen Cyber-Attacken und bestehender, überdurchschnittlicher Sicherheitsstandards wurde die SCHUNCK GROUP selbst zum Opfer eines solchen Angriffs (siehe Teil 1 der Reportage).
Dieses Ereignis zwang das Management und die komplette Belegschaft, den Tagesablauf grundlegend anzupassen. Wie arbeitet man im Krisenmodus? Wie stellt man die beschädigte IT-Landschaft wieder her und wie handhabt man die Auseinandersetzung mit den Cyber-Angreifern? Es folgt ein zweiter Blick hinter die Kulissen.
Null Normalität: Management im Ausnahmezustand
In den ersten sechs Wochen nach dem Cyberangriff erlebte das Management eine außergewöhnlich intensive Phase. „Es waren definitiv die härtesten Wochen meiner Karriere“, gesteht CEO Richard Renner. „Mein normaler Tagesablauf war völlig durcheinander.“ In dieser kritischen Zeit stellte das Management umgehend auf Krisenmodus um. Externe Termine wurden nur wahrgenommen, wenn sie absolut notwendig waren, während interne Angelegenheiten größtenteils abgesagt wurden. „Ich war tief in die Projektarbeit eingebunden, führte zahlreiche telefonische Meetings und konzentrierte mich intensiv auf spezifische Themen. Die Routinearbeit, wie wir sie kannten, gab es nicht mehr“, erläutert der CEO.
Besonders herausfordernd war auch die Terminorganisation. Richard Renner beschreibt die neue Situation: „Mein Kalender auf dem Handy stimmte nicht mit dem auf dem iPad oder Laptop überein. Neben mir lag stets ein Zettel mit den wichtigsten Terminen, um nichts zu vergessen.“ Dieses organisatorische Chaos und die ständige Unsicherheit über Termine und zugehörige Informationen waren für ihn besonders belastend. „Für jemanden wie mich, der gewohnt ist, die Kontrolle zu haben und alles gut organisiert, war diese ungewohnte Situation extrem herausfordernd.“
Sein Geschäftsführer-Kollege, Chef-Justiziar Peter Kollatz erlebte die Situation ähnlich stressig: „Nie hätte ich gedacht, dass wir in eine solche Situation geraten könnten – bis es dann wirklich geschah und wir weder auf Daten zugreifen noch kommunizieren konnten.“ Er fügt hinzu: „Die Krise machte uns schmerzlich bewusst, wie wichtig effiziente Kommunikationswerkzeuge sind. Wir waren auf ein sehr rudimentäres Mailprogramm angewiesen, was das Versenden von E-Mails mühsam machte und die Arbeitsproduktivität stark beeinträchtigte – alles dauerte gefühlt etwa drei- bis viermal so lange.“
Weitere Informationen
Unser Experte
Robert Drexler
Für Presseanfragen
Philip Kobel
Strukturiertes und fokussiertes Arbeiten im Krisenteam
Etwas Struktur in den Tag brachten die zwei täglichen Krisenmeetings. Das Krisenteam der SCHUNCK GROUP, bestehend aus bis zu 14 Personen, hatte die Aufgabe, so viel Normalität wie möglich wiederherzustellen. Die Hauptthemen, die es zu adressieren galt, umfassten die Recovery der Systeme, das Monitoring im Darknet, die Cyber-Forensik, Incident Response, IT-Sicherheit, Datenschutz sowie interne und externe Kommunikation. Im Fokus stand zudem die umfangreiche Dokumentation aller Entscheidungen des Krisenstabs. Um diese Aufgaben zu bewältigen, zog das Team insgesamt 12 Krisen-Dienstleister heran, die über das Partnernetzwerk koordiniert wurden.
Die IT-Mitarbeiter*innen, die speziell für die Recovery der Systeme zuständig waren, arbeiteten unter extrem isolierten Bedingungen. Diese Isolation vom Rest der Belegschaft ermöglichte es ihnen, sich ungestört und konzentriert ihrer Aufgabe zu widmen. „Unsere IT-Kolleg*innen waren oft Tag und Nacht im Einsatz und wurden von allen sonstigen Anfragen entbunden“, erklärt der Krisenleiter und COO Daniel Ahrend. „Wir haben der Belegschaft strikte Anweisungen erteilt, an die IT-Kolleg*innen keine E-Mails zu senden, keine Anrufe zu tätigen und keine Fragen zu stellen. Das war entscheidend, um sicherzustellen, dass sich die IT-Einheiten voll und ganz auf die Wiederherstellung der IT-Infrastruktur konzentrieren konnten.“
Die Erstellung eines umfassenden Recovery-Plans sah nach einer detaillierten Analyse eine gestaffelte Wiederherstellung der IT-Infrastruktur vor, alle Systeme wurden dabei in 3 Sicherheits-Zonen, „Red Zone“, „Grey Zone“ und „Green Zone“, eingeteilt.
Um die IT-Mitarbeiter*innen zusätzlich zu unterstützen, sorgte das Krisenteam dafür, dass regelmäßig Essen und Getränke bereitgestellt wurden. „Diese Feel-Good-Maßnahmen waren entscheidend, um die Mitarbeiter*innen unter diesem extremen Stress sowohl physisch als auch mental zu stützen“, so Ahrend.
Meilensteine der Cyber-Krise bei SCHUNCK
- Krisenstab installieren
- Projektstruktur implementieren
- Klare, konsistente Strategie für die interne und externe Kommunikation sicherstellen
- Kommunikationssysteme wiederherstellen
- Recovery-Plan für IT-Infrastruktur erstellen nach „Red Zone“ über „Grey Zone“ bis zur „Green Zone“
- Wiederaufbau der Serverinfrastruktur
- Betrieb kritischer Systeme sichern
- Neuanschaffung und Verteilung sicherer Endgeräte
Versicherungsschutz sichern – präzise Dokumentieren
In der Akutphase des Cyberangriffs war die enge Zusammenarbeit und detaillierte Dokumentation mit dem Versicherer ein Schlüsselelement des Krisenmanagements – vor allem im Hinblick auf die spätere Bearbeitung des Cyberschadens. „Wir haben alle wichtigen Entscheidungen in enger Abstimmung mit unserem Versicherer getroffen, um die Konformität mit unserer Versicherungspolice zu gewährleisten“, erklärt Robert Drexler, Head of Cyber bei der Ecclesia Gruppe, der Muttergesellschaft der SCHUNCK GROUP.
In seinem Team wird der Kontakt zum Risikoträger gemanagt und die Entscheidungen verschriftlicht. „Die Dokumentation ist entscheidend, um alle Schritte gegenüber Versicherern und Risikoträgern lückenlos nachzuweisen und sicherzustellen, dass sie den Anforderungen des Versicherungsschutzes entsprechen.“
Die Bedeutung des Versicherungswesens beim Cybervorfall überraschte selbst erfahrene Fachleute wie den Cyberexperten Drexler: „Ein Cyberangriff ist nicht nur ein technisches, sondern auch ein kaufmännisches Problem. Daher muss der kaufmännische Part unbedingt Teil des Krisenstabs sein.“
Allerdings gab es auch Situationen, in denen Entscheidungen getroffen werden mussten, die nicht vollständig von der Versicherung abgedeckt waren, um die Sicherheit und das operative Geschäft zu gewährleisten. „Solche Entscheidungen wurden dann im Krisenstab bzw. in der Geschäftsführung getroffen und gründlich dokumentiert, um die Gründe und Notwendigkeiten klar darzulegen“, erläutert der Krisenleiter und IT- Verantwortliche Ahrend.

Das Erpressungs-Dilemma – gesetzliche Regelung fehlt
Zu diesen schweren Entscheidungen gehört auch der Austausch mit den Cyber-Angreifern, die den Zugriff auf kritische Unternehmensdaten blockierten und dafür hohe Lösegeldforderungen stellten. CEO Richard Renner, der die Verantwortung für die mehr als 350 Mitarbeiter*innen trägt, nimmt klar Stellung zu dem Dilemma: „Grundsätzlich ist es gesamtgesellschaftlich inakzeptabel, Kriminellen nachzugeben. Damit würden wir die organisierte Kriminalität finanzieren und deren Strukturen stärken.“
Dennoch verschärfte sich die Lage dramatisch, als die Existenzgrundlage des Unternehmens akut bedroht schien. Jedes Unternehmen muss in diesem Kontext abwägen, wie es mit solchen Forderungen umgeht, um den Schaden für den laufenden Betrieb, das Unternehmen im Allgemeinen und die Sicherheit der Daten so gering wie möglich zu halten.
Durch das Engagement von Verhandlungsexperten gelang es, den Zugang zu den Daten wiederherzustellen und damit die Recovery entscheidend zu beschleunigen und erhebliche Schäden zu vermeiden. Trotz der Schadensbegrenzung bleibt der CEO kritisch: „Ich setze mich im Hinblick auf Lösegelder für eine generelle Regelung durch den Staat ein. Der Konflikt zwischen dem Überlebenskampf eines Unternehmens und dem generellen Bedürfnis organisierte Kriminalität nicht zu unterstützen, kann nicht auf die Unternehmen abgewälzt werden.“ Er appelliert an politische Entscheidungsträger, entsprechende Gesetzesänderungen voranzutreiben, um das Geschäftsmodell der Cyberkriminellen zunichtemachen.
Handbuch: Cyber-Risiken ab- und versichern
Wie gut sind Sie gegen Cyber-Gefahren abgesichert? Erhalten Sie in unserem Handbuch konkrete Tipps und Tricks: Wie sichern Sie sich gegen Cyber-Risiken ab?
Über Geld spricht man doch – mehr als 80 % der Kosten abgedeckt
Glück im Unglück: Die Cyberversicherung deckt einen Großteil der Kosten ab. Auch wenn die Verhandlungen mit dem Versicherer noch nicht ganz abgeschlossen sind, kann man davon ausgehen, dass etwa 80 bis 90 % der Kosten durch den umfassenden Versicherungsschutz abgedeckt sind. Dennoch gibt es einen Teil des Schadens, den das betroffene Unternehmen selbst tragen muss – dies betrifft insbesondere Opportunitätskosten. „Unsere Teams haben während der zwei bis drei Monate, in denen sie telefoniert und Kunden beruhigt haben, keine reguläre Arbeit geleistet. Das bedeutet, dass wir große Rückstände aufgebaut haben“, erläutert der SCHUNCK-Chef Richard. Die Versicherung kommt zwar für Überstunden, die im Rahmen der Behebung des Cybervorfalls geleistet wurden auf, allerdings nicht für entgangenes Neugeschäft, das nicht beziffert werden kann. Renner: „Der Schaden entspricht weniger als 10 % unseres Umsatzes.“
Vertrieb unter Druck: Bewältigung von Kundenbeziehungen in der Krise
In den ersten zwei Wochen nach dem Cyberangriff zeigten sich die Kunden verständnisvoll, wie Geschäftsführer Thomas Wicke berichtet: „Sie ließen uns das Problem in Ruhe lösen. Wir erhielten viele ‚Beileidsbekundungen‘ und unsere Stakeholder und Kunden zeigten Verständnis.“ Die Geduld der Kunden schwand jedoch nach dieser „Schonfrist“, als sie weiterhin nicht auf ihre gewohnten IT-Tools zugreifen konnten und viele der bekannten Prozesse immer noch nicht ausgeführt werden konnten. „Ab der dritten Woche kippte die Stimmung teilweise, und es entstanden Stresssituationen in einigen Kundenbeziehungen“, fügt Wicke hinzu.
Das Team musste schnell handeln, oft mit provisorischen Lösungen wie Excel-Listen oder Word- Briefen, um die dringendsten Probleme zu adressieren. Diese Maßnahmen waren zeitaufwändig und verursachten zusätzliche Arbeit, doch es gelang der SCHUNCK GROUP, keine wichtigen Kunden zu verlieren. Dennoch entstanden Verluste in umsatzabhängigen, onlinebasierten Geschäften, die normalerweise automatisiert ablaufen. Diese Verluste sind in der Regel aber durch den Cyber-Versicherungsschutz abgedeckt.
Do’s and Dont’s in der Cyberkrise
Do‘s
- Cyber-Partnernetzwerk oder Krisendienstleister aktivieren Ruhe bewahren & Struktur aufsetzen
- Priorisieren & Entscheiden Sicherheit vor Schnelligkeit
- Dokumentieren, dokumentieren, dokumentieren
Dont’s
- Unterschätzen der Cybergefahr
- Nur eingeschränkt informieren oder sich abschotten – ob Behörden, Versicherer, Belegschaft oder Stakeholder, diese sollten transparent informiert werden
- Versuchen, alles auf einmal aufzubauen Entscheidungen im stillen Kämmerlein
Der mühsame Weg zurück zur Normalität
Einige Wochen nach dem Cyberangriff erreichte die SCHUNCK GROUP erste Meilensteine zur IT-Wiederherstellung. Dazu zählten unter anderem der (Wieder-)Aufbau des Rechenzentrums, die Wiederherstellung der Kommunikationssysteme wie E-Mail und Telefonie, sowie des Netzwerkes. „Gleichzeitig mit dem Aufbau der Green-Zone haben wir von sämtlichen Endgeräten der Mitarbeiten*innen die Daten evakuiert, die Rechner neu aufgesetzt und wieder bereitgestellt. Dies war eine umfangreiche und intensiv orchestrierte Maßnahme über 10 Standorte für 350 Mitarbeiter.“, erklärt Ahrend.
Die ersten reaktivierten Systeme dienten der Sachbearbeitung von Schadenfällen – ein wichtiger, aber vorsichtiger Schritt. „Wir mussten sicherstellen, dass alles reibungslos funktioniert, bevor weitere Systeme online gingen“, führt Ahrend weiter aus.
Anfang November, also einen Monat nach dem Vorfall, waren diese ersten wichtigen Schritte vollzogen. Doch der Weg zur Normalität war noch lange nicht abgeschlossen. Wie die SCHUNCK GROUP diesen Weg meistert, welche Lehren sie daraus zieht und was sie inzwischen an ihre Kunden und Partner weitergibt, erfahren Sie im dritten Teil dieser Reportage.
Im dritten Teil unserer Reportage blicken auf unsere Learnings zurück. Stay tuned!
Was Sie bei einer Cyberversicherung beachten sollten
Cyberversicherungen fungieren wie eine digitale Feuerwehr, wobei ein Notfallteam aus Experten, darunter Juristen, IT-Sicherheits- und Kommunikationsspezialisten, bereitsteht, um schnell und effektiv zu helfen, Systeme wiederherzustellen und die Unternehmensreputation zu schützen. Diese Spezialisten verkürzen nicht nur die Ausfallzeiten, sondern eine Cyberversicherung deckt auch materielle und finanzielle Schäden ab, inklusive Regressansprüche von Kunden und Aufwände für IT-Forensik, Wiederherstellung sowie Verluste durch Ertragsausfall.
- Anpassung an Ihre Bedürfnisse: Stellen Sie sicher, dass der Versicherungsvertrag speziell auf Ihre Bedürfnisse zugeschnitten ist und nicht nur aus Sicht des Versicherers entwickelt wurde.
- Expertise in der Vertragsgestaltung: Überprüfen Sie, ob das Vertragswerk auf dem Wissen von Informationssicherheitsexperten basiert oder nur ein angepasstes Standarddokument ist.
- Klarheit der Police: Achten Sie darauf, dass die Police klar und verständlich formuliert ist, um unnötige Diskussionen im Schadensfall zu vermeiden.
- Deutliche Obliegenheiten: Sorgen Sie dafür, dass Ihre Pflichten vor, während und nach einem Schadensfall klar definiert sind.
- Versteckte Ausschlüsse und mehrdeutige Bedingungen: Suchen Sie nach versteckten Ausschlüssen oder mehrdeutigen Formulierungen und seien Sie skeptisch, falls diese vorhanden sind.
- Deckung bei Verdachtsfällen: Prüfen Sie, ob die Versicherung auch bei Verdachtsfällen greift, da oft unklar ist, ob es sich um einen echten Angriff oder eine technische Störung handelt.
- Keine Sublimitierung bei Kernleistungen: Achten Sie darauf, dass keine Sublimitierungen für wesentliche Deckungsbestandteile wie Ertragsausfall, Schäden durch Ransomware oder Forensik-Leistungen bestehen.
- Zugang zu Expertennetzwerk und Krisenmanagement: Stellen Sie sicher, dass der Versicherer Zugang zu einem erfahrenen Dienstleisternetzwerk und aktivem Krisenmanagement bietet.