300 Jahre Handwerk, moderne Bedrohungslage.
Ein familiengeführter Fahrzeugbauer mit über 300 Jahren Firmengeschichte hatte eine funktionierende IT – ohne strukturierte Sicherheit. Firewall pauschal konfiguriert, kein VLAN, Datensicherung „läuft irgendwie". Wir haben die IT gehärtet, ohne den Betrieb zu stören.
Die IT lief. Aber sie war gewachsen, nicht geplant – und stand einer Bedrohungslage gegenüber, die es beim Firmengründungsdatum noch nicht gab.
Der Kunde ist ein familiengeführter Fahrzeugbauer, dessen Wurzeln über drei Jahrhunderte zurückreichen. Handwerkliche Fertigung, mehrere Meister-Generationen, regionale Bindung. Die IT war über die letzten zwei Jahrzehnte gewachsen – jeder Rechner wurde eingebunden, jede Software installiert, „damit's läuft". Es lief. Aber ohne Struktur.
Auslöser für das Projekt war weder ein Vorfall noch ein Auditor – sondern die Geschäftsführung selbst. Nach mehreren Meldungen über Ransomware-Angriffe in vergleichbaren Betrieben in der Region wollte sie „endlich mal aufräumen", bevor das eigene Haus getroffen wird.
- Firmengeschichte
- > 300 Jahre familiengeführt
- Netzwerk-Segmente
- 1 flach, alles im gleichen Netz
- Firewall-Regeln
- undokumentiert „vom Dienstleister mal eingerichtet"
- Restore-Test
- seit Jahren keiner Backup ohne Verifikation
Produktion nicht anhalten.
Der Betrieb konnte sich keinen Ausfall leisten. Kundenaufträge, laufende Fertigung, terminierte Auslieferungen – jede Änderung musste im laufenden Betrieb geschehen oder in Randzeiten (Wochenend-Wartungsfenster).
Kleines IT-Team, viele Rollen.
Die interne IT bestand aus zwei Personen, die alles machten – Support, Systeme, Netzwerk, Backup. Neue Maßnahmen mussten so aufgesetzt werden, dass sie ohne uns weiter funktionieren und keinen laufenden Personal-Overhead erzeugen.
Kultur berücksichtigen.
Traditionsbetrieb, gewachsene Beziehungen, langgediente Mitarbeiter. „Bürokratie um der Bürokratie willen" wäre nicht angenommen worden. Die Maßnahmen mussten spürbar sinnvoll sein, nicht Compliance-Formalitäten.
Ist-Aufnahme im Werkstattgang
Kein Audit-Papier, sondern ein Whiteboard, ein Notizblock und ein gemeinsamer Rundgang durch das Werk. Netzwerk, Server, Backups, Zutritte – alles aufgeschrieben und mit den Verantwortlichen besprochen. Vertrauen entsteht, wo man mitgeht, nicht wo man Formulare schickt.
Priorisierung nach Impact
Was hätte den größten Schaden, wenn es ausfällt oder kompromittiert wird? Fertigungssteuerung > Buchhaltung > Empfang. Danach richtete sich die Reihenfolge aller Maßnahmen. Keine Panik-Positionen, keine „nice to have"-Baustellen zuerst.
Firewall neu aufgesetzt
Dokumentierte Regel-Basis von Grund auf, Standard-Deny, klare Ports und Ziele. Alte Ausnahmen aufgeräumt und begründet. Ergebnis: ein Ruleset, das die IT selbst lesen und pflegen kann.
Netzwerk-Segmentierung mit VLANs
Aus einem flachen Netz wurden vier saubere VLANs: Produktion, Büro, Verwaltung, Gäste. Klare Firewall-Regeln zwischen den Segmenten. Fertigungssteuerung ist heute vom normalen Büro-Netz getrennt – Ransomware im Empfangs-Client kommt nicht mehr an die Maschinensteuerung.
Datensicherung nach 3-2-1
Drei Kopien, zwei Medien, eine off-site. Lokales Backup zur schnellen Wiederherstellung, verschlüsseltes Off-Site-Backup für den Ernstfall, ein Immutable-Snapshot gegen Ransomware. Erster echter Restore-Test seit Jahren – erfolgreich.
Endpoint-Grundschutz
Zentrales Update-Management für Windows-Clients, moderner Endpoint-Schutz statt der Uralt-Suite, Kontrolle für Wechseldatenträger (USB-Sticks in einem Produktionsumfeld sind ein Klassiker unter den Einfallstoren).
Kurze Awareness-Session
45 Minuten mit dem Team, aufgeteilt in Büro und Werkstatt. Konkrete Beispiele aus unseren eigenen Pentests: gefälschte Rechnungen, „Support"-Anrufe, präparierte USB-Sticks. Kein Powerpoint-Vortrag, sondern Live-Demos.
Übergabe an die interne IT
Dokumentation, Playbooks, Kontakte für den Ernstfall – alles auf zwei Seiten, nicht in einem Aktenordner. Zwei Handover-Termine mit dem IT-Team, damit die Regeln nicht nur geschrieben sind, sondern verstanden werden.
Ein Basisstandard, den das Team selbst tragen kann – und eine Produktion, die während der Umbauten keinen einzigen Ausfall hatte.
Am Ende der vier Monate stand eine segmentierte, dokumentierte Netzwerklandschaft mit einer geprüften Datensicherung. Die interne IT hat die Playbooks im Zugriff und weiß, wen sie im Ernstfall anruft. Der Sicherheits-Grundstand ist erreicht – und die nächsten Ausbaustufen (Monitoring, Härtung der Konstruktions-Systeme, Fertigungs- IT-Trennung) sind priorisiert dokumentiert für die nächsten 12–18 Monate.
Wichtigste Erkenntnis für uns: In gewachsenen Betrieben liegt der Fortschritt weniger in der Technik als im gemeinsamen Verständnis. Der Werkstattgang zu Beginn war der wichtigste Meilenstein des Projekts – nicht die Firewall-Konfiguration.
- Netzwerk-Segmente
- 4 Produktion · Büro · Verwaltung · Gäste
- Datensicherung
- 3-2-1 mit Immutable-Snapshot
- Restore-Test
- bestanden erster seit Jahren
- Produktions-Ausfall
- 0 Min während der Umbauten
Ihre IT ist gewachsen?
Wenn Ihr Betrieb funktioniert, aber Ihnen die Struktur fehlt: Ein Erstgespräch reicht, um Prioritäten zu klären und den ersten sinnvollen Schritt einzuschätzen. Unverbindlich, ohne Verkaufsdruck.