Kontakt

Fallstudien

Das Lagebild war klar. Die Organisation nicht.

Ein Mandat, das als Übergangsverwaltung begann, wurde zur Sanierung. Dann kam der Angriff. Und mit ihm eine Aufgabe, für die kein Auftrag vorlag.

Restrukturierungsumfeld · IT-Sanierung · Kriseneingriff · Wiederherstellung von Steuerbarkeit

Inhalt

Ausgangslage

Ein börsennotierter Fertigungsbetrieb mit fünf Produktionsstandorten und einer strukturell aufgeladenen Unternehmensgeschichte. Zwei Segmente mit unterschiedlichen Kulturen und Betriebslogiken waren ohne gesteuerte Integration unter einem Dach zusammengeführt worden. Die Jahre 2020 und 2021 überlagerten diese Spannung mit starkem Wachstum. Im zweiten Halbjahr 2022 kehrte sich das um: zurückgezogene Prognosen, CEO-Abgang mit sofortiger Wirkung, erstmals ein CIO in der Geschichte des Unternehmens. Führungswechsel, die sich in den folgenden zwei Jahren fortsetzten — vier CFOs, zwei CEOs, ein installierter Chief Restructuring Officer als faktischer Gläubigervertreter. Der CTO blieb als einzige Konstante im C-Level.

Mandat

Ende 2022 wurde eine externe IT-Führung beauftragt: Übergangsverwaltung der Basisorganisation — Infrastruktur, Workplace, Service-Management — bis eine dauerhafte Nachfolge gefunden werden konnte. Einstieg Mitte Januar 2023. Die Rolle war klar abgegrenzt und unabhängig von bestehenden Programmstrukturen. Der Auftrag war klar begrenzt: Wiederherstellung der Steuerbarkeit der IT-Basisorganisation. IT-Sicherheit und Cyberabwehr waren nicht Bestandteil dieses Mandats. Innerhalb der ersten zwei Wochen änderte sich der Umfang. Die Rahmenbedingungen nicht.

Erstes Lagebild und Sanierungsmandat

Das erste Lagebild entstand unmittelbar nach Mandatsübernahme — eine strukturierte Einschätzung der vorgefundenen Realität, mit strikter Trennung von Fakten, Annahmen und Meinungen. Das Lagebild entstand unabhängig von bestehenden Programmen und deren Berichtslogik. Erst diese Trennung erzeugte eine belastbare Entscheidungsgrundlage — nicht der Bericht selbst.

Das Ergebnis machte eine Übergangsverwaltung unmöglich. Ein externer Wirtschaftsprüferbericht hatte die IT-Organisation wenige Monate zuvor als erheblich defizitär bewertet. Er war vorhanden. Er hatte keine operativen Konsequenzen ausgelöst. Die Infrastruktur befand sich in einem Zustand, der keine Verwaltung erlaubte, sondern eine Sanierung erforderte. Und die IT-Sicherheit würde einem gezielten Angriff nicht standhalten — ein Befund, der außerhalb des Mandats lag, aber im Lagebild dokumentiert wurde.

Mit dem ersten Lagebild wurde aus dem Verwaltungsauftrag in Abstimmung mit der Unternehmensseite ein Sanierungsmandat.

Sanierung 2023

Im Verlauf von 2023 wurde die IT-Basisorganisation im beauftragten Scope hergestellt. Infrastruktur, Workplace und Service-Management waren wieder steuerbar — mit klaren Zuständigkeiten, funktionierenden Prozessen und belastbarem Reporting.

Ein geordneter Mandatsabschluss war für Ende des ersten Quartals 2024 vorgesehen. Die Grundlage dafür war im beauftragten Scope vorhanden.

Was nicht vorhanden war: eine Cyberverteidigung. Diese lag außerhalb des Auftrags. Diese Abgrenzung wird relevant.

Angriff als Realitätstest

Im Februar 2024 traf ein Ransomware-Angriff alle fünf Produktionsstandorte. Der Angriff traf eine Organisation, deren kritische Sicherheitsdimension nicht Teil des Mandats gewesen war.

Das erste Lagebild hatte die Gefährdung dokumentiert und die Angriffswahrscheinlichkeit klar benannt. Was nicht beauftragt worden war, war nicht geschlossen worden.

Zweites Lagebild

Am Morgen nach dem Angriff war das Ausmaß bekannt: ein erheblicher Ransomware-Angriff. Über Nacht war nicht wirksam gehandelt worden.

An Tag 1 entstand das zweite Lagebild — remote, innerhalb weniger Stunden. Es war keine Fortschreibung des ersten, sondern eine eigenständige Einschätzung unter neuen Bedingungen: Was über Nacht nicht geschehen war. Welche Sofortmaßnahmen fehlten. Warum vorhandene Strukturen keine operative Reaktionsfähigkeit erzeugt hatten. Auf dieser Grundlage wurden erste Krisenmaßnahmen definiert und veranlasst. Die Trennung der IT-Systeme vom Internet erfolgte am Nachmittag desselben Tages.

Das zweite Lagebild war die operative Entscheidungsgrundlage für den Eingriff.

Lageeskalation

An Tag 2 war externe Forensik vor Ort. An Tag 3 war die Evidenz eindeutig: Die vorhandene Rollen- und Entscheidungsarchitektur war für diese Lage nicht reaktionsfähig. Sogar die effektive forensische Arbeit war unter diesen Bedingungen erschwert.

Mit der Eskalation des Vorfalls wurde ein weiterer Eingriff erforderlich. Wie bereits die Sanierung selbst über den ursprünglichen Auftrag hinausgegangen war.

Eingriff vor Ort

An Tag 3 entstand innerhalb eines Tages die fehlende Krisenorganisation. Direkte Board-Anbindung mit Einbindung von CFO und CTO. Ein Steuerungskomitee mit definierter Entscheidungskompetenz. Technische Krisenteams mit klaren Verantwortungsketten. Sicherheitszonen mit expliziten Zugriffsprotokollen. Ein Vorstands-Briefing mit gesetztem Fokus: schnellstmögliche Rückkehr in Produktion.

Der Eingriff bestand darin, Entscheidungsfähigkeit herzustellen, wo sie nicht mehr vorhanden war. Entscheidungen wurden nicht vorbereitet, sondern getroffen und durchgesetzt. Der Eingriff erfolgte in enger Abstimmung mit der vor Ort tätigen Forensik und innerhalb der bestehenden Unternehmensführung, mit Fokus auf Entscheidungsfähigkeit und klare Verantwortungszuordnung.

Ab diesem Zeitpunkt konnte die forensische Arbeit greifen. Nicht wegen einer veränderten Technologie. Wegen hergestellter Steuerbarkeit.

Wiederherstellung der Steuerbarkeit

Die Recovery folgte einer klaren Phasierung: Eindämmung und Sicherung der Datenintegrität, priorisierter Wiederanlauf wertschöpfungskritischer Systeme, Stabilisierung, kontrollierte Rückkehr in den Regelbetrieb. Der Wiederanlauf folgte nicht dem ursprünglichen Betrieb, sondern einer priorisierten, steuerbaren Sequenz.

Kernsysteme waren nach zwölf Tagen wiederhergestellt. Wesentliche Produktionsprozesse liefen rund drei Wochen nach dem Angriff wieder. Beides unter den Bedingungen einer gleichzeitig laufenden Unternehmensrestrukturierung.

Ein strukturelles Muster erschwerte den Ablauf: Der Krisenstab auf Geschäftsführungsebene war nach Hierarchie besetzt, nicht nach operativer Kompetenz für diese Situation. Business-Bedarfe wie Produktionswiederanlauf, Wertschöpfungsketten, Kundenanforderungen kamen zu spät in der IT-Recovery an, obwohl die Priorisierung vorbereitet und vorgesehen war. Das Lagebild der Geschäftsführung und die operative Realität liefen zwangsläufig zu früh auseinander.

Übergabe und Abschluss

Im Juni 2024 wurde Phase 3 — Stabilisierung, Optimierung, Modernisierung — geordnet an den CIO übergeben. Das Mandat endete.

Übergeben wurde eine sanierte Basisorganisation und eine unter realem Druck aufgebaute Krisenstruktur. Beides trägt. Der Betrieb wurde erst übergeben, als diese Strukturen eigenständig funktionierten.

Alle Angaben anonymisiert. Der Vorfall wurde u.a. von WirtschaftsWoche, ZEIT/dpa und heise online dokumentiert. Die interne Sicht basiert auf dokumentierten Arbeitsständen aus dem Mandat.

Wiederkehrende Leistungsbausteine

Unabhängiges Lagebild

Trennung von Fakten, Annahmen und Meinungen. Entscheidungsgrundlage, die außerhalb bestehender Berichtslogiken entsteht — und damit erst belastbar wird

Herstellung operativer Entscheidungsfähigkeit

Eingriff in Systeme, die aus sich heraus nicht mehr reaktionsfähig sind. Verantwortung wird übernommen und gehalten, bis Wirkung sichtbar ist.

Strukturierter Wiederanlauf

Priorisierung nach Wertschöpfungslogik, nicht nach Bestandsinfrastruktur. Übergabe erst, wenn die hergestellten Strukturen eigenständig tragen.
Wie wir arbeiten

Lorem Ipsum

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.

Gespräch anfragen

Situationen, die Sie an dieses Mandat erinnern?

Das Erstgespräch ist vertraulich und dient einer klaren Einordnung Ihrer Lage.

Gespräch anfragen

Schnell. Fokussiert. Wirksam.

Nach ein bis zwei Gesprächen wissen wir, wo Sie stehen und was als Nächstes zählt. Sie erhalten ein belastbares Bild und erste Ansatzpunkte — nicht in Wochen, sondern in Tagen.

Ihr nächster Schritt:

Gespräch anfragen
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Wir verwenden Cookies und ähnliche Technologien, um den sicheren und zuverlässigen Betrieb dieser Website zu gewährleisten. Einige Cookies sind technisch erforderlich, während andere dazu dienen, Inhalte und Funktionen zu optimieren sowie die Nutzung der Website auszuwerten. Weitere Informationen zur Verarbeitung personenbezogener Daten sowie zu Ihren Rechten finden Sie in unserer Datenschutzerklärung. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft ändern oder widerrufen.