So erlebte die Brauerei Rugenbräu den Cyberangriff
Aus dem Alltag gerissen: Nach einem Hackerangriff auf ihren IT-Dienstleister geht nichts mehr. E-Mail-Server, Buchhaltung, Drucker und Zeiterfassung; das gesamte Netzwerk ist betroffen. Die Brauerei Rugenbräu AG aktiviert daraufhin Notfallmassnahmen.
«In kurzer Zeit fühlte ich mich zurück in die 90er-Jahre versetzt». Damit beschreibt Remo Kobluk, CEO der Rugenbräu AG, den Hackerangriff auf einen vertraglich verbundenen IT-Dienstleister. Zusammen mit Christian Schneiter, dem Leiter Finanzen & Human Resources, steht Remo Kobluk vor lahmgelegten Computersystemen. «An diesem Tag ging nur noch die Arbeit mit Stift und Papier», blickt Remo Kobluk zurück. Nicht einmal das Telefon funktioniert, denn auch dieses ist netzabhängig.
Einzig Stift und Papier funktionierten noch.
Notfallplan anwenden
Im Krisenstab prüft die Geschäftsleitung, welche Tätigkeiten manuell oder ohne Netz ausgeführt werden können. Zum Beispiel aktiviert sie ein Notfallhandy. Dank der Umleitung auf das Privathandy des Disponenten bleibt damit wenigstens eine Aussenschnittstelle aktiv. Die Sofortmassnahmen verhindern massgeblich einen Ertragsausfall. Bestellungen und Lieferungen sind trotz Systemausfällen weiterhin möglich.
Wir ziehen die richtigen Lehren aus dem Vorfall und bleiben weiterhin gut vorbereitet.
Datenverlust melden
Bisher gibt es keine Hinweise dazu, ob personenbezogene Daten betroffen sind. Weil bei Rugenbräu auch Mitarbeitende aus dem EU-Raum arbeiten, gilt das europäische Datenschutzrecht. Und damit eine Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, sobald Daten betroffen sein könnten. «Die Mobiliar hat uns bei der Schadenerledigung speziell darauf hingewiesen.»
Info: Datensicherheit verletzt? Meldung machen!
Seit 1. September 2023 ist das revidierte Datenschutzgesetz (DSG) in Kraft. Damit besteht neu auch in der Schweiz eine gesetzlich vorgeschriebene Meldepflicht, wenn potenziell persönlichkeitsverletzende Daten von einem Verlust betroffen sind. Falls die Datensicherheit verletzt wird, muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) informiert werden.
Mitarbeitende schulen
Seit Rugenbräu vor drei Jahren eine Cyberversicherung abgeschlossen hat, schult die Geschäftsleitung auch ihre Mitarbeitenden. Das von der Mobiliar zur Verfügung gestellte Sensibilisierungstraining beinhaltet den Versand von fingierten E-Mails. «Wir sind bisher zufrieden. Kaum jemand hat die Nachrichten angeklickt», sagt Christian Schneiter.
Der Cyberangriff auf den IT-Dienstleister hat bei CEO Remo Kobluk einiges ausgelöst: «Es kann jeden treffen. Das hat uns dieser Angriff brutal gezeigt.» Schlechtreden will er die Digitalisierung nicht. Auch bei der Bierherstellerin sind die Abläufe einfacher und effizienter geworden.
Wir unterstützen Sie
Mit dem Cyber-Sensibilisierungstraining bieten wir Ihnen neben den Online-Trainingssequenzen auch die Simulation von Phishing-Attacken an. Nach der Durchführung einer solchen Simulation, erhalten Sie eine Auswertung und sehen so, wo Sie und Ihre Mitarbeitenden sich verbessern können.