Am 7. August 2025 konnte die MORGENSTERN-Gruppe einen versuchten Cyberangriff erfolgreich stoppen. Durch schnelles Eingreifen der Sicherheitsteams wurde Schlimmeres verhindert. Dennoch arbeitet das Unternehmen aktuell im Notbetrieb, um alle Systeme gründlich zu prüfen und Risiken vollständig auszuschließen.
Gemeinsam mit externen IT-Dienstleistern, IT-Forensikern und der Kriminalpolizei Esslingen wird der Angriff aufgearbeitet.
Das interne IT-Team kontrolliert sämtliche Systeme, bevor die gewohnten Dienstleistungen wieder in vollem Umfang verfügbar sind.
Transparenz hat dabei höchste Priorität: Kunden werden offen informiert und können sich jederzeit über Hotline, E-Mail oder persönliche Ansprechpartner melden.
Dieser Vorfall zeigt deutlich: Cyberangriffe sind keine theoretische Gefahr mehr, sondern tägliche Realität – und jedes Unternehmen, unabhängig von Größe oder Branche, kann betroffen sein.
Angreifer nutzen Schwachstellen, gestohlene Zugangsdaten oder ungeschützte Schnittstellen, um Systeme zu kompromittieren.
Schon ein einzelnes Einfallstor reicht aus, um Schaden in Millionenhöhe zu verursachen – von Datenverlust über Produktionsstillstand bis hin zu Reputationsschäden.
Präventiver IT-Schutz, regelmäßige Sicherheitsüberprüfungen und Notfallpläne sind daher unverzichtbar, um handlungsfähig zu bleiben.
Die MORGENSTERN-Gruppe macht vor, wie verantwortungsvoller Umgang mit einem Cybervorfall aussieht:
Schnelles Handeln im Ernstfall
Offene Kommunikation gegenüber Kunden und Partnern
Klare Priorität auf Sicherheit, auch wenn dies vorübergehend Einschränkungen bedeutet
2025 entwickelt sich zum Rekordjahr für Kryptodiebstähle. Nach dem spektakulären Angriff auf Bybit im Frühjahr trifft es nun die Kryptobörse BigONE: Bei einem gezielten Angriff auf die Hot Wallets der Plattform entwendeten Unbekannte digitale Währungen im Wert von rund 27 Millionen US-Dollar. Der Angriff wurde laut aktuellen Berichten durch eine Supply-Chain-Schwachstelle ermöglicht – eine immer häufiger genutzte Angriffsform mit hohem Schadenspotenzial.
Am 16. Juli 2025 entdeckte BigONE „ungewöhnliche Aktivitäten“ auf der Plattform. In der Folge wurde der Handel ausgesetzt. Wenig später bestätigte das Unternehmen den Verlust von Kryptowährungen, darunter:
120 Bitcoin (BTC)
350 Ethereum (ETH)
über 500.000 Dogecoin (DOGE)
sowie verschiedene Token wie USDT, SOL, SHIB, UNI und andere
Laut ersten forensischen Untersuchungen, durchgeführt mit der Cybersicherheitsfirma SlowMist, handelt es sich um einen Lieferkettenangriff. Das bedeutet: Nicht BigONE direkt wurde kompromittiert, sondern ein externer Bestandteil der Infrastruktur – etwa ein Softwaredienst oder ein angebundener Anbieter. Genau hier liegt eine der größten aktuellen Schwachstellen in der IT-Security vieler Unternehmen.
Positiv hervorzuheben ist: BigONE übernimmt die vollständige Verantwortung für den Vorfall. Die gestohlenen Vermögenswerte sollen vollständig ersetzt werden. Auch die sensiblen Daten und privaten Schlüssel der Kunden seien nicht betroffen, betont das Unternehmen. Laut eigenen Angaben stammen die Mittel für den Ausgleich aus internen Sicherheitsreserven.
Laut der Blockchain-Analysefirma Chainalysis summieren sich die Krypto-Verluste 2025 schon zur Jahresmitte auf über 2,17 Milliarden US-Dollar – mehr als im gesamten Jahr 2024. Und der Trend zeigt weiter nach oben: Branchenexperten erwarten, dass der Wert bis Jahresende 4 Milliarden US-Dollar überschreiten könnte.
Insbesondere staatlich unterstützte Hackergruppen wie "TraderTraitor", die mit Nordkorea in Verbindung gebracht werden, stehen im Fokus der Ermittlungen. Sie nutzen ausgeklügelte Angriffsvektoren und Tools, um sich Zugriff auf sensible Wallet-Infrastrukturen zu verschaffen – oft mit Erfolg.
Der Fall BigONE zeigt deutlich: Supply-Chain-Angriffe sind längst keine Ausnahme mehr. Statt direkt das Zielunternehmen zu attackieren, suchen Angreifer gezielt nach Schwachstellen bei Dienstleistern, Software-Providern oder Integrationslösungen. Durch die zunehmende Vernetzung in IT-Umgebungen werden solche Angriffe immer effektiver – und schwerer zu entdecken.
Für Kryptobörsen, Wallet-Provider und IT-Verantwortliche
bedeutet das:
Sicherheitsstrategien müssen über den eigenen
Tellerrand hinausdenken.
Dazu gehören:
Sorgfältiges Supply-Chain-Monitoring
Zero-Trust-Architekturen
Regelmäßige Sicherheits-Audits von Drittanbietersoftware
Minimierung der Hot-Wallet-Bestände
Schulungen und Awareness-Maßnahmen für Mitarbeitende
Kryptowährungen und Blockchain-Technologien stehen weiter im Fokus professioneller Hacker – insbesondere dann, wenn Milliardenwerte in digitalen Wallets lagern. Der Angriff auf BigONE verdeutlicht, wie wichtig es ist, nicht nur die eigene Infrastruktur, sondern auch die gesamte digitale Lieferkette abzusichern.
IT-Sicherheit ist längst kein IT-Thema mehr – sondern Chefsache.
Was der Vorfall zeigt – und was Unternehmen daraus lernen können
Ein Cyberangriff auf einen externen IT-Dienstleister von Vodafone hat das Partnerportal Vodafone Sales World seit Tagen außer Betrieb gesetzt. Die Plattform dient dem Informationsaustausch mit externen Fachhändlern und ist derzeit nicht erreichbar. Laut Vodafone sind keine Kundendaten betroffen – dennoch wirft der Vorfall wichtige Fragen zur IT-Sicherheit in der Lieferkette auf.
Nach dem Angriff hat Vodafone die Verbindung zum betroffenen Dienstleister vorsorglich getrennt. Das Portal ist seither offline, der Austausch mit Partnern erfolgt übergangsweise per E-Mail. Zwar enthält Sales World laut Vodafone keine sensiblen Daten, doch die Dauer der Störung zeigt, wie abhängig Unternehmen von funktionierender IT-Infrastruktur sind.
Besonders brisant: Die Anmeldung zum Portal erfolgte per SSO (Single Sign-on). Laut Händlerkreisen soll diese Authentifizierung theoretisch auch Zugriff auf andere Systeme ermöglichen. Vodafone widerspricht dem jedoch: Die betroffenen Logins seien ausschließlich für unkritische Anwendungen freigegeben gewesen. Trotzdem zeigt der Vorfall, wie sensibel zentrale Authentifizierungsmechanismen in der IT-Sicherheitsarchitektur sind – besonders in hybriden IT-Landschaften mit externen Dienstleistern.
Der betroffene Dienstleister – laut Medienberichten M&L aus Frankfurt – äußerte sich bislang nicht. Interne Quellen sprechen von einer möglichen Erpressung. Ob Ransomware im Spiel war, ist unklar. Auch eine verantwortliche Hackergruppe hat sich bislang nicht bekannt.
Vodafone betont, dass keine personenbezogenen Daten verarbeitet wurden. Die Systeme seien isoliert und die Behörden informiert worden. Die Daten aus dem Portal seien weiterhin vorhanden – nur aktuell nicht zugänglich.
Dieser Vorfall ist ein weiteres Beispiel dafür, wie angreifbar komplexe IT-Strukturen über Dritte sein können. Selbst wenn ein eigenes Unternehmen gut abgesichert ist, stellt die Anbindung externer Partner – insbesondere über zentrale Schnittstellen wie SSO – ein erhebliches Risiko dar.
Lieferantenrisiken ernst nehmen:
IT-Sicherheit endet nicht beim eigenen Unternehmen.
Dienstleister müssen regelmäßig geprüft werden.
SSO sicher gestalten:
Komfort ist kein Freifahrtschein – Berechtigungen
müssen sauber segmentiert und abgesichert sein.
Krisenkommunikation vorbereiten:
Transparenz schafft Vertrauen. Ein klarer
Kommunikationsplan ist im Ernstfall Gold wert.
Der Angriff zeigt, wie angreifbar Unternehmen über externe Partner werden können. Wer auf Dienstleister setzt, muss deren Sicherheitsmaßnahmen genauso kritisch hinterfragen wie die eigenen. Denn selbst ein vermeintlich „harmloses“ Portal kann im Ernstfall zum Risikofaktor werden.
Wer Anfang Juli versuchte, die europäische oder deutsche Ingram-Micro-Seite aufzurufen, bekam lediglich Fehlermeldungen oder Hinweise auf Wartungsarbeiten zu sehen. Auch interne Systeme und Portale waren teilweise nicht mehr erreichbar.
Was zunächst wie ein technischer Schluckauf wirkte, stellte
sich bald als ernsthafter Vorfall heraus:
Am 5. Juli 2025 veröffentlichte Ingram Micro
auf seinen US-Seiten eine offizielle Erklärung. Darin heißt es:
„Ingram Micro hat vor Kurzem Ransomware auf einigen internen Systemen festgestellt. Wir haben sofort Maßnahmen zur Schadensbegrenzung eingeleitet und arbeiten mit externen Experten sowie Behörden zusammen.“
Wie das Tech-Magazin Bleeping Computer berichtet, nutzten die Angreifer offenbar den GlobalProtect VPN-Zugang, um sich Zugriff auf interne Systeme zu verschaffen. Allerdings: Nicht die Technik selbst war das Problem – sondern kompromittierte Zugangsdaten.
Betroffen waren unter anderem:
die Xvantage™-Vertriebsplattform,
das Impulse-Portal zur Lizenzbereitstellung
sowie interne Bestell- und Verwaltungsprozesse in mehreren Regionen.
Dienste wie Microsoft 365, Teams oder SharePoint blieben laut Unternehmensangaben dagegen funktionsfähig.
Laut übereinstimmenden Quellen steckt die Gruppe
SafePay hinter dem Angriff. Diese setzt auf
sogenannte Double-Extortion-Strategien: Erst
werden Daten verschlüsselt, dann drohen die Angreifer
zusätzlich mit Veröffentlichung sensibler Informationen. Ob
tatsächlich Daten abgeflossen sind, ist aktuell unklar – das
Unternehmen hat keinen Datenabfluss
bestätigt.
Globale Auswirkungen – auch für deutsche
IT-Partner
Ingram Micro ist für viele IT-Dienstleister, Systemhäuser und MSPs ein zentraler Partner – nicht nur für Hardwarebeschaffung, sondern auch für Cloud-Lizenzierung. Ein Leser brachte es treffend auf den Punkt:
„Ingram ist bei vielen Partnern Lizenzlieferant mit Global Admin-Rechten in den M365-Tenants. Das könnte richtig böse enden, wenn man das weiterspinnt.“
Auch die Tatsache, dass viele Kunden über Ingram Micro Microsoft-Cloudlizenzen beziehen, macht die Sache brisant: Ohne Zugriff auf die Portale fehlt es teilweise an Übersicht – oder sogar an administrativer Kontrolle.
Nach der sofortigen Abschaltung mehrerer Systeme begannen ab
dem 8. Juli gestaffelte Wiederherstellungsmaßnahmen.
Am 10. Juli 2025 verkündete Ingram Micro die
Rückkehr zum Normalbetrieb – in allen Regionen weltweit.
In der Zwischenzeit konnten viele Kunden via Telefon, E-Mail
oder EDI bestellen – eine pragmatische Zwischenlösung, aber
natürlich weit entfernt von der gewohnten Effizienz.
Was lernen wir daraus?
Der Fall Ingram Micro ist mehr als ein Angriff auf einen
IT-Dienstleister – er ist ein Lehrstück in Sachen
IT-Lieferkettensicherheit. Wer seine
Cloudlizenzen, Geräte oder IT-Prozesse über Drittanbieter
abwickelt, muss sich bewusst sein:
Jede externe Schnittstelle kann ein Risiko
sein.
Welche externen Partner haben Zugriff auf unsere IT-Systeme oder Cloud-Tenants?
Sind alle VPN- und Fernzugänge durch MFA und Zero Trust abgesichert?
Gibt es Notfallpläne, wenn wichtige Plattformen plötzlich offline sind?
Wie steht es um unsere Backup- und Recovery-Strategien bei Partnerausfällen?
Ist das Thema Cybersicherheit bei uns wirklich Chefsache – oder ein IT-Randthema?
Im April dieses Jahres ereignete sich in Norwegen ein besorgniserregender Vorfall: Unbekannte Angreifer verschafften sich über ein schwach gesichertes Passwort Zugang zur Steuerung eines Staudamms am Risevatnet-See – und öffneten dort mehrere Stunden lang unbemerkt sämtliche Ventile. Erst jetzt wurde der Vorfall durch den Sicherheitsdienstleister Claroty öffentlich gemacht.
Laut Claroty hatten die Angreifer leichtes Spiel: Das Kontrollpanel war über das Internet erreichbar, ein schwaches Passwort genügte, um sich Zugriff auf die OT-Umgebung (Operational Technology) zu verschaffen. Die Folge: Der Wasserabfluss stieg um rund 497 Liter pro Sekunde über den Sollwert. Glücklicherweise entstand kein Schaden – diesmal.
Doch der Vorfall zeigt deutlich: Kritische Infrastrukturen sind zunehmend Ziel von Cyberangriffen – mit potenziell verheerenden Auswirkungen auf Menschen, Umwelt und Wirtschaft.
Der Angriff auf den norwegischen Staudamm ist kein Einzelfall. Weltweit sind tausende Systeme – von Wasserwerken über Krankenhäuser bis hin zu Energieversorgern – unzureichend abgesichert und oft direkt über das Web erreichbar.
Folgende Maßnahmen sollten heute zum Standard gehören:
Starke Authentifizierung: Passwörter
allein reichen nicht. Multi-Faktor-
Authentifizierung (MFA) ist Pflicht, insbesondere bei
kritischen Systemen.
Netzwerksegmentierung und
Zugangsbeschränkung: OT-Umgebungen
dürfen nicht direkt aus dem Internet erreichbar sein.
Monitoring und Anomalieerkennung:
Systeme müssen rund um die Uhr
überwacht werden. Nur so können Angriffe in Echtzeit
erkannt und
gestoppt werden.
Sicherheitsaudits und
Schwachstellenanalysen: Regelmäßige
Sicherheitsüberprüfungen helfen, Risiken frühzeitig zu
identifizieren.
Awareness-Trainings: Mitarbeiter
müssen für Cybergefahren sensibilisiert
und regelmäßig geschult werden.
Der Vorfall ist ein weiteres Beispiel dafür, dass Cybersicherheit nicht nur eine technische Herausforderung ist – sie ist eine strategische Aufgabe für die Unternehmensführung. Kritische Systeme brauchen Schutz auf höchstem Niveau, denn im Ernstfall steht mehr auf dem Spiel als „nur“ Datenverlust: Es geht um Menschenleben, Versorgungssicherheit und gesellschaftliche Stabilität.
Ein aktueller Vorfall zeigt, wie schnell der Geschäftsbetrieb durch eine Cyberattacke zum Stillstand kommen kann: Die Unternehmensgruppe Leymann Baustoffe mit Sitz in Sulingen wurde Opfer eines gezielten Angriffs auf die IT-Systeme. Die Folgen: Am Samstag, den 21. Juni, blieben alle 14 Filialen geschlossen. Bereits an den Vortagen war der Betrieb massiv eingeschränkt.
Die Angreifer nutzten eine speziell entwickelte Schadsoftware, die große Teile der internen Systeme verschlüsselte. Trotz vorhandener Sicherheitsmaßnahmen konnte der Angriff nicht verhindert werden. Aus Sicherheitsgründen wurden sofort alle Internetverbindungen getrennt, Systeme isoliert und ein externer Krisenstab mit IT-Forensikern hinzugezogen.
Die Kommunikation ist derzeit nur über die privaten Mobiltelefone der Mitarbeitenden möglich – Telefonanlagen, E-Mail-Zugänge und Kundendaten sind nicht verfügbar. Ein Verkauf ist nur eingeschränkt möglich, teilweise nur gegen Barzahlung. Ob Daten abgeflossen sind, ist aktuell nicht bekannt.
Cyberangriffe auf mittelständische Unternehmen nehmen weiter zu – nicht nur in der Industrie, sondern auch im Baugewerbe, Handel und der Logistik. Besonders kritisch ist: Viele Unternehmen erkennen erst im Ernstfall, wie abhängig sie von funktionierenden IT-Systemen sind.
Damit ein Cyberangriff nicht zum Totalausfall führt, sind vorbeugende Maßnahmen entscheidend. Dazu zählen unter anderem:
Sicherheits-Checks & Schwachstellenanalysen
Regelmäßige Backups und Notfallstrategien
Netzwerksegmentierung & Zugriffsschutz
Monitoring und Frühwarnsysteme
Mitarbeiterschulungen zur Erkennung von Phishing & Co.
Der Fall Leymann zeigt, wie real die Bedrohung durch Cyberangriffe ist – und wie weitreichend die Auswirkungen sein können. Wer jetzt handelt, schützt nicht nur seine Daten, sondern auch den laufenden Betrieb, die Kundenzufriedenheit und das eigene Unternehmen.
Was wie ein Einzelfall klingt, ist längst Alltag: Cyberkriminelle kapern Social-Media-Konten, um Organisationen zu erpressen – dieses Mal traf es den Tierschutzverein Hunderettung Europa e.V. aus Duisburg.
Mehr als 132.000 Follower auf Instagram – über Jahre aufgebaut
– waren nach einem Hackerangriff plötzlich weg. Noch am selben
Tag forderte ein Unbekannter per E-Mail Lösegeld für die
Rückgabe des Accounts.
Der Verdacht: Phishing durch ein Teammitglied trotz
Zwei-Faktor-Authentifizierung.
Das Problem:
Besonders für NGOs, ehrenamtlich organisierte Initiativen und kleine Unternehmen sind Social-Media-Plattformen wie Instagram oder Facebook oft mehr als nur Kommunikationskanäle. Sie sind Community-Zentrale, Spendensammelstelle, Aufklärungsplattform und direkter Draht zu Unterstützenden in einem.
Fällt diese zentrale Plattform durch einen Angriff aus, steht plötzlich die gesamte Organisation auf wackligen Füßen. Ein geplanter Rettungseinsatz für 50 Hunde aus einer Tötungsstation steht auf der Kippe.
Das zeigt erneut:
3 Learnings für Organisationen jeder Größe:
Awareness ist Chefsache: Schulungen zu Phishing & Social Engineering sind Pflicht.
2FA ist notwendig – aber kein Garant. Kombinieren Sie Schutzmaßnahmen.
Social Media ist ein Risikofaktor: Wer hier Spenden generiert, braucht Backup-Strategien und Sicherheitskonzepte.
Ende Mai 2025 wurde das traditionsreiche Unternehmen Fasana, Hersteller von Papierservietten mit Sitz in Euskirchen, Opfer eines gezielten Ransomware-Angriffs. Die ersten Anzeichen waren ein leises Flackern der Bildschirme, gefolgt von ungewöhnlichen Ausdrucken – sogar Erpressernachrichten wurden per firmeneigenen Druckern ausgegeben, was die tiefe Infiltration der Angreifer verdeutlichte. Innerhalb weniger Stunden stand die IT-Infrastruktur komplett still: Server waren nicht mehr erreichbar, Rechner zeigten nur noch Fehlermeldungen.
Ohne funktionierende IT war Fasana nicht mehr in der Lage, wichtige Geschäftsprozesse wie die Erstellung von Lieferscheinen und Rechnungen durchzuführen. Auch die Auszahlung von Gehältern und die Kommunikation mit Kunden waren stark beeinträchtigt. Die Produktion konnte nur noch im eingeschränkten Notbetrieb weiterlaufen, während Mitarbeitende auf handschriftliche Notizen angewiesen waren. Dieser umfassende IT-Ausfall führte dazu, dass das Unternehmen mehrere Tage nahezu handlungsunfähig war.
Innerhalb von nur zwei Wochen verursachte der Cyberangriff einen wirtschaftlichen Schaden von über zwei Millionen Euro. Für Fasana mit rund 240 Mitarbeitenden war dies eine existenzbedrohende Belastung. Am 1. Juni 2025 wurde Insolvenz angemeldet. Die IT-Ausfälle führten zu einem kompletten Stillstand des Betriebs und gefährdeten die Arbeitsplätze vieler Beschäftigter.
Der Fall Fasana macht deutlich, dass Cyberangriffe längst keine rein technischen Probleme mehr sind, sondern eine gesamtunternehmerische Herausforderung darstellen.
Die Verantwortung für Cybersicherheit liegt bei der Geschäftsführung und erfordert eine umfassende Strategie zur digitalen Resilienz. Unternehmen sollten dringend in Notfallpläne, regelmäßige Datensicherungen (Backups) und Mitarbeiterschulungen investieren. Nur so lässt sich das Risiko minimieren, dass ein Cyberangriff das gesamte Unternehmen lahmlegt und existenzbedrohende Schäden verursacht.
Der Sportartikelhersteller Adidas ist Ziel eines Cyberangriffs geworden. Über einen externen Kundendienstanbieter konnten Angreifer auf personenbezogene Kundendaten zugreifen. Betroffen sind vor allem Personen, die in der Vergangenheit Kontakt mit dem Kundenservice hatten.
Kontaktdaten im Visier – keine Zahlungsinformationen betroffen
Adidas betont, dass weder Passwörter noch Kreditkartendaten kompromittiert wurden. Es geht hauptsächlich um Kontaktdaten. Wie viele Kunden betroffen sind und über welchen Zeitraum die Daten abgeflossen sind, ist bislang unklar. Das Unternehmen arbeitet mit IT-Sicherheitsexperten an der Aufklärung des Vorfalls und hat betroffene Kunden sowie Datenschutzbehörden informiert.
Achtung vor Phishing
Auch wenn keine Zahlungsdaten betroffen sind, steigt das Risiko gezielter Phishing-Angriffe. Mit den gestohlenen Kontaktdaten könnten betrügerische Nachrichten erstellt werden, die authentisch wirken – insbesondere, wenn sie sich auf Adidas oder sportliche Themen beziehen.
Fazit: Drittanbieter im Visier – Sicherheitsstrategie ganzheitlich denken
Der Fall unterstreicht die Bedeutung einer durchgängigen Sicherheitsstrategie – auch bei Drittanbietern. Wer Cybersicherheit ernst nimmt, muss Dienstleister genauso konsequent absichern wie das eigene Unternehmen.
Lernpunkte:
Cybersicherheit ist Chefsache – und sie endet nicht an der Unternehmensgrenze. Entscheider sollten solche Vorfälle zum Anlass nehmen, ihre eigene Sicherheitsstrategie zu hinterfragen und zu prüfen, wie sie ihre Lieferketten und Dienstleister besser absichern können.
Im Mai 2025 wurde die traditionsreiche LEMKEN GmbH Opfer eines schweren Ransomware-Angriffs. Das Unternehmen, das seit über 240 Jahren Landtechnik „made in Germany“ entwickelt, musste seine gesamte IT-Infrastruktur weltweit vom Netz nehmen. Die Folgen: Produktionsstillstand, unterbrochene Lieferketten – und viele offene Fragen.
Am frühen Morgen des 3. Mai schlugen die internen Sicherheitsmechanismen Alarm: Verdächtige Aktivitäten in mehreren Netzwerken wiesen auf eine laufende Ransomware-Attacke hin. Binnen Stunden war klar: Die Systeme wurden verschlüsselt, ein normaler Betrieb war nicht mehr möglich. LEMKEN zog die Reißleine und nahm alle weltweiten IT-Systeme vorsorglich offline – ein drastischer, aber notwendiger Schritt zur Schadensbegrenzung.
Der Angriff legte zentrale Geschäftsprozesse lahm. Dazu zählten unter anderem:
Produktionssteuerung und Maschinenkommunikation
Auftragsabwicklung und Versand
Interne Kommunikation via E-Mail und ERP
Kundenservice-Prozesse
LEMKEN konnte vorübergehend nur im Notbetrieb arbeiten. Auch internationale Standorte – darunter Kanada, Indien und China – waren betroffen. Besonders kritisch: Die Saison für Bodenbearbeitungsgeräte ist in vollem Gange. Die Produktion stand für mehrere Tage still, wodurch es zu Lieferverzögerungen kam.
Was können andere Unternehmen daraus lernen?
Der Fall LEMKEN zeigt eindrucksvoll, wie anfällig selbst hochprofessionell aufgestellte Mittelständler für Cyberangriffe sind – besonders, wenn die IT- und OT-Systeme stark miteinander vernetzt sind.
Lernpunkte:
Notfallpläne und Backup-Prozesse müssen regelmäßig getestet werden
Netzwerke sollten segmentiert und mit Zero-Trust-Architekturen abgesichert sein
Schulungen der Mitarbeitenden bleiben essenziell zur Abwehr von Phishing & Social Engineering
Transparente Krisenkommunikation stärkt das Vertrauen von Kunden und Partnern
Im April 2025 wurde die Oettinger Brauerei Opfer eines gezielten Ransomware-Angriffs. Die Täter, mutmaßlich die international agierende Hackergruppe RansomHouse, verschafften sich Zugang zu internen IT-Systemen, verschlüsselten Daten und entwendeten sensible Unternehmens- und Mitarbeiterdokumente.
Am 19. April 2025 drangen die Angreifer in das Netzwerk des Brauereikonzerns ein. Dabei handelte es sich offenbar um einen strukturierten Angriff, bei dem Daten sowohl verschlüsselt als auch exfiltriert wurden. RansomHouse veröffentlichte anschließend im Darknet interne Dokumente der Brauerei – darunter auch Verzeichnisse mit vertraulichen Informationen zu Abmahnungen, Geschäftsunterlagen und weitere sensible Daten.
Laut Oettinger konnten Produktion und Logistik aufrechterhalten werden, dennoch war der Angriff gravierend:
Zugriffe auf interne Systeme waren eingeschränkt
Kommunikationswege wurden gestört
Vertrauliche Mitarbeiterdaten wurden kompromittiert
Ein nicht unerheblicher Reputationsschaden entstand
Die Ermittlungen durch Datenschutzbehörden und IT-Forensiker laufen
Besonders heikel: Durch die Veröffentlichung sensibler Daten drohen Folgeschäden wie Social-Engineering-Angriffe, Erpressungen und
Über die genaue Schadenssumme wurde bislang nichts veröffentlicht, jedoch ist davon auszugehen, dass neben den Kosten für externe IT-Forensiker, PR-Maßnahmen, rechtliche Beratung und Sicherheitsverbesserungen auch Image- und Vertrauensverluste schwerer wiegen. Die Öffentlichkeit hat in den letzten Jahren ein feineres Gespür für den Umgang mit personenbezogenen Daten entwickelt – ein solcher Vorfall kann daher langfristig Kunden- wie auch Mitarbeitervertrauen beschädigen.
Ein Recyclingspezialist – über 50 Mitarbeitende. Dann kam der Angriff. Das IT-System wurde lahmgelegt, Daten gestohlen, der Betrieb stand still. Am Ende: der Insolvenzantrag.
Der Fall der Eu-Rec GmbH aus Rheinland-Pfalz zeigt eindrucksvoll, wie angreifbar mittelständische Unternehmen in Deutschland sind – und wie schnell ein erfolgreicher Betrieb durch einen Cyberangriff in die Knie gezwungen werden kann.
Im April 2025 wurde die komplette IT-Infrastruktur der Eu-Rec GmbH Ziel eines massiven Cyberangriffs. Die Angreifer forderten Lösegeld, legten sämtliche Systeme lahm – und erbeuteten sensible Kundendaten: Namen, Bankverbindungen, Kontaktdaten.
Das Unternehmen konnte keine Aufträge mehr bearbeiten, keine Kommunikation aufrechterhalten – und musste binnen weniger Wochen Insolvenz anmelden.
Kein umfassendes Backup- und Recovery-Konzept
Fehlende Notfallpläne & Prozesse
Unzureichender Schutz vor Ransomware
Keine regelmäßigen Schwachstellenanalysen
