9 Minuten Lesedauer
i

IT - Cyber-Security

Wenn die Produktion plötzlich stillsteht

Ransomware klingt nach einem IT-Problem. Nach Servern, Firewalls, Bildschirmen mit roten Warnfenstern. In Wahrheit ist sie in einem produzierenden Fahrradunternehmen etwas anderes: Produktionsausfall, Lieferverzug, Vertragsrisiko, Reputationsschaden. Und vor allem: Zeitdruck. Jede Minute kostet Geld. Jede falsche Entscheidung kostet später noch mehr.

Wie so ein Cyber-Angriff abläuft, lässt sich am besten an einem fiktiven, aber realistischen Beispiel zeigen.

Freitag, 27. Dezember, 6:30 Uhr – Werk 2, Montagehalle von Turbobike

Die Halle ist hell und kalt. Zwischen Rahmenwagen und halbfertigen E-Bikes will der erste Mitarbeiter seinen Scanner anmelden. Nichts passiert. Kein Auftrag auf dem Display. Der Drucker für die Kommissionierscheine reagiert nicht. Am Computer neben der Linie erscheint nur ein schwarzer Bildschirm mit weißer Schrift. Darunter eine Frist. Und eine Bitcoin-Adresse.
Er ruft den Schichtleiter. Drei Minuten später steht die Linie. Siebzehn Minuten später weiß es der Produktionsleiter.

6:47 Uhr – Parkplatz vor dem Verwaltungsgebäude

Der Produktionsleiter sitzt noch im Auto, als er den IT-Leiter anruft.
»Bei uns läuft gar nichts. Keine Buchungen, keine Etiketten, keine Aufträge. Wenn das in zehn Minuten nicht wieder geht, verliere ich die Frühschicht.« Der IT-Leiter sagt den Satz, den in solchen Momenten niemand hören will und keiner braucht: »Wir schauen es uns an.« Der Produktionsleiter kennt das schon und legt nicht auf. »Schauen reicht nicht. Lösen.« Zwei Minuten später ruft er den Geschäftsführer an. Der ruft sofort in der IT an. »Ich will kein Technikseminar. Ich will, dass die Produktion läuft. Jede Minute kostet uns ein Vermögen.«
Druck von oben. Druck von unten. Dazwischen ein IT-Leiter, der kein CISO (Chief Information Security Officer) ist, also kein Informationssicherheitsbeauftragter, kein Krisenmanager. Turbobike hat eine große IT-Abteilung, ja. Einen geregelten Sicherheitsbetrieb mit klaren Rollen und Notfallplänen aber nicht.

7:05 Uhr – Serverraum

Der Infrastrukturadministrator braucht keine fünf Minuten, um zu verstehen, wie groß das Problem ist. Fast alle produktionskritischen Server sind verschlüsselt. Dateiserver. Domain Controller. Applikationsserver. Das SAP ist nicht mehr erreichbar. Auf mehreren Systemen liegt dieselbe Lösegeldnotiz.
Dann der zweite Schlag: Auch das Backup-Repository ist verschlüsselt. »Das kann nicht sein«, entfährt es ihm. »Das Backupnetz war doch getrennt.« War es nicht genug. Ein altes Admin-Konto, zu viele Berechtigungen, zu wenig Segmentierung – im Nachhinein sind die Gründe banal.
Im Augenblick sind sie nur teuer.

7:18 Uhr – Telefonkonferenz, ungeplant

Der Geschäftsführer wird umso lauter, je unsicherer die Lage wird. »Dann spielt eben das Backup zurück.«
»Das Backup ist ebenfalls betroffen.« Stille. Dann: »Dann holen Sie den Dienstleister. Starten Sie irgendwas neu. Aber ich will Ergebnisse.«
Genau hier beginnt der falsche Umgang mit Ransomware. In der ersten Panik wirkt Aktivität wie Kon­trolle. Server neu starten. Systeme wieder ans Netz nehmen. Logs löschen, weil sie »ohnehin voll«
sind. Jeder hektische Handgriff kann Beweise vernichten und den Schaden vergrößern.
Der IT-Mann stoppt den Produktionsleiter, der bereits zwei Systeme neu booten wollte. Ausnahmsweise tut er das Richtige: Er friert alles ein, was nicht unbedingt angefasst werden muss. Und dann macht er den wichtigsten Anruf des Tages.

7:26 Uhr – Büro des IT-Leiters

Die Cyber-Versicherung hebt nach dem zweiten Klingeln ab. Wenig später ist klar: Es kommt ein Incident-Response-Team, dazu Forensik und Krisenkoordination. Bis das Team zugeschaltet ist, gibt es nur eine Anweisung: nichts bereinigen, nichts wiederherstellen, nichts über das Firmennetz koordinieren.
Denn auch das begreift Turbobike jetzt zu spät: Wer E-Mail, Telefonanlage, Active Directory und VPN auf derselben kompromittierten Infrastruktur betreibt, verliert im Ernstfall nicht nur Systeme, sondern die eigene Sprache.

8:10 Uhr – Besprechungsraum »Kette«

Der Krisenstab entsteht improvisiert. Geschäftsführer, IT-Leiter, Produktionsleiter, Leiterin Finanzen, Leiter Personal. Kein Informationssicherheitsbeauftragter, weil es keinen gibt. Kein vorbereitetes Notfallhandbuch, nur Telefonnummern und steigende Pulsfrequenzen, wie sie sie sonst nur von ihrer Sonntagsrunde kennen.
Das Incident-Response-Team richtet einen externen Kommunikationskanal ein. Private Mobiltelefone. Separates Videomeeting. Klare Rollen. Eine Liste mit Prioritäten.
Zuerst: Schaden begrenzen.
VPN abschalten, privilegierte Konten sperren, Admin-Passwörter erneuern, Übergänge zwischen Office-IT und Produktion kappen. Der Webshop bleibt technisch erreichbar, aber Bestands- und Auftragsdaten sind nicht mehr belastbar. Also wird auch der Webshop auf Wartungsmodus gesetzt. Lieber kein Umsatz für ein paar Stunden als falsche Verfügbarkeiten und eine zweite Krise. Der Produktionsleiter protestiert. »Wir schalten auch noch den Shop ab? Seid ihr verrückt?«
Nein. Zum ersten Mal an diesem Tag ist jemand nicht verrückt.

10:35 Uhr – Forensik-Call

Die ersten Indikatoren zeigen: Die Angreifer waren nicht erst seit heute Nacht im Netz. Wahrscheinlich schon seit Wochen. Über Weihnachten hat niemand hingesehen. Jetzt liegen auf mehreren Systemen Hinweise auf Datendiebstahl vor. Noch ist unklar, was abgeflossen ist – Konstruktionsdaten, Personalunterlagen, Lieferantenverträge oder nur Dateinamen. Aber das Risiko ist da. Der Geschäftsführer stellt die Frage, die fast immer gestellt wird: »Sollen wir zahlen?«
Die Antwort des Incident-Response-Leiters ist kühl. »Heute entscheiden Sie gar nichts. Erst verstehen, dann handeln. Nicht aus Panik überweisen. Nicht blind verhandeln.«
Wieder ein richtiger Punkt. Ransomware ist kein Pannendienst. Auch mit Schlüssel bleibt ein kompromittiertes Netzwerk kompromittiert.

13:20 Uhr – Rundgang durch die Produktion

Ohne SAP keine Buchungen. Ohne MES keine saubere Reihenfolge. Ohne Etiketten keine Rückverfolgbarkeit. Ohne Freigaben keine Auslieferung.
Zwischen den stillstehenden Linien wirkt selbst das Klappern eines Werkzeugs plötzlich unangemessen laut. Einige Maschinen könnten theoretisch manuell weiterlaufen. Praktisch entscheidet Turbobike sich dagegen. Solange unklar ist, ob Prüfpläne oder Parametrierungen manipuliert wurden, ist Improvisation in der Produktion kein Heldentum, sondern Haftungsrisiko.

Samstag, 28. Dezember, 9:00 Uhr – Lagezentrum

Jetzt beginnt die mühselige Phase, die von außen wie Stillstand aussieht und intern die eigentliche Rettung ist.
Betroffene Systeme priorisieren. Saubere Identitäten schaffen. Domäne neu aufsetzen, statt alte Reste anzuflicken. Lieferanten anrufen. Hersteller der Produktionsanlagen einbinden. Prüfen, welche Daten sich aus Exporten, lokalen Engineering-Stationen, EDI-Partnern, dem Webshop und den Laptops einzelner Fachbereiche rekonstruieren lassen.
Kein Wunderheilmittel. Kein Knopfdruck. Nur forensisch sauberes Arbeiten.
Erst jetzt wird sichtbar, was Turbobike jahrelang nicht aufgebaut hat: kein ISMS, keine getesteten Notfallpläne, keine Offline-Kopien außerhalb der Reichweite produktiver Admin-Konten, keine geübte Krisenstruktur.

Sonntag, 29. Dezember, 16:40 Uhr – Geschäftsführung

Der Ton ist ein anderer geworden. Nicht ruhiger, aber präziser. Der Geschäftsführer hat aufgehört, nach Stunden zu fragen. Jetzt fragt er nach Prioritäten.
Identitäten und Administratorzugänge sauber neu aufsetzen. Produktionsnahe Kernsysteme in definierter Reihenfolge wiederherstellen. SAP erst dann anbinden, wenn die Vertrauenskette steht. Kommunikation nach innen und außen zentral freigeben. Alle Kosten und Entscheidungen dokumentieren.
So hört sich professioneller Umgang an: nicht schnell wirken, sondern kontrolliert wirksam sein.
Parallel werden Lieferanten, Partner und Schlüsselkunden aktiv informiert, bevor sie die Ausfälle selbst bemerken. Auch das ist Cyberresilienz: die Krise nicht kleinreden,
sondern führbar machen.

Montag, 30. Dezember, 7:15 Uhr – Wiederanlauf, Phase 1

Die ersten sauberen Systeme stehen. Neue Admin-Konten. Frische Authentisierung. Separierte Netzsegmente. Ein minimaler Produktionsbetrieb wird vorbereitet, eng überwacht, ohne Komfort, ohne Altlasten.
Der Administrator sieht seit drei Tagen aus, als hätte jemand ihm den Dezember aus dem Gesicht gelöscht. Er sagt den entscheidenden Satz leise in seinen Bildschirm hinein: »Wenn wir das vorher einmal geübt hätten, wären wir jetzt schon weiter.«
Später zeigt die forensische Auswertung einen wahrscheinlichen Einstiegsweg: ein altes Fernzugangssystem ohne ausreichende Absicherung. Kein spektakulärer Zero-Day. Eher die übliche Mischung aus Nachlässigkeit, gewachsener Komplexität und dem trügerischen Gefühl, dass schon nichts passieren werde.

Freitag, 10. Januar, 11:00 Uhr – erste Bilanz

Turbobike produziert wieder, aber noch nicht mit voller Leistung. Der Schaden ist trotzdem gewaltig: Ausfalltage, externe Spezialisten, Wiederaufbau, Überstunden, Kommunikationsaufwand, Vertragsdiskussionen. Die Cyber-Versicherung federt Teile davon ab. Sie ersetzt jedoch weder verlorene Zeit noch verlorenes Vertrauen.
Im Abschlussgespräch fragt der Geschäftsführer, was man aus alledem lernen müsse. Der Incident-Response-Leiter antwortet nüchtern: »Es scheitert selten an der Ransomware selbst. Meist scheitern Unternehmen vorher, an der fehlenden Vorbereitung und dem fehlenden Verantwortungsbewusstsein, um eine Ransomware abzuwehren aber auch im Falle des Falles richtig damit umzugehen.« Bei Turbobike heißt das konkret: ein echter Sicherheitsverantwortlicher, klare Zuständigkeiten, ein ISMS, segmentierte Netze, starke Absicherung der Fernzugänge, unveränderbare Offline-Backups, ein Notfall- und Krisenplan inklusive Übungen.
Die teuerste Erkenntnis aber ist eine andere: Nicht der Angriff am 27. Dezember hat Turbobike in die Knie gezwungen. Sondern alles, was bis zum 26. Dezember nicht getan wurde. //


Hermann Maurer ist Geschäftsführer der SC&E Advisory GmbH und fungiert als Berater und externer CISO. Er ist Cybersecurity Experte mit über zehn Jahren Erfahrung auf diesem Gebiet in unterschiedlichen Rollen und war drei Jahre lang der Informationssicherheitsbeauftragte von Canyon Bicycles. Seine Schwerpunkte sind ISO27001/ISMS, Cloud & Microsoft Security und der Cyber Resilience Act.

28. Mai 2026 von Sebastian Gengenbach
Velobiz Plus
Die Kommentare sind nur
für unsere Abonnenten sichtbar.
Jahres-Abo
115 € pro Jahr
  • 12 Monate Zugriff auf alle Inhalte von velobiz.de
  • täglicher Newsletter mit Brancheninfos
  • 10 Ausgaben des exklusiven velobiz.de Magazins
Jetzt freischalten
30-Tage-Zugang
Einmalig 19 €
  • 30 Tage Zugriff auf alle Inhalte von velobiz.de
  • täglicher Newsletter mit Brancheninfos
Jetzt freischalten
Sie sind bereits Abonnent?
Zum Login
Seite ausdrucken
Artikel als PDF
Per E-Mail versenden
ImpressumNutzungsbedingungenDatenschutzerklärungKontaktWerben auf velobiz.de