Metro wurde Mitte Oktober Opfer einer Cyberattacke. Die IT-Infrastruktur wurde teilweise heruntergefahren um weiteren Schaden zu vermeiden.
Die offizielle Kommunikation kann man auch auf der Webseite einsehen: https://newsroom.metroag.de/de
Metro reagierte in den Filialen schnell und es wurden Offline-Systeme aktiviert. Das hatte den Vorteil, dass z.B. Stammkunden wie gewohnt mit Ihrer Karte Zugang erhielten (Zutrittssystem bei Metro funktioniert über die Stammkundenkarte). Weiters waren ihre Zahlungsbedingungen und Rabatte ebenso auf den lokalen Systemen gespeichert und konnten größtenteils verarbeitet werden. Die Kartenzahlung musste auch umgestellt werden, war aber rasch verfügbar.
Lessons learned:
Was braucht es also, um einen solchen Stillstand der (zentralen) IT für die Kunden so gut vorzubereiten, dass möglichst wenig Auswirkungen passieren?
- Kundendaten, Artikeldaten, Lagerstandsdaten, Lieferantendaten sollten auf externen Medien und in lesbarer Form vorhanden sein. In den Filialen müssen Systeme existieren, die dann auf diese Daten zugreifen können.
Das kann auch ganz einfach ein PC an der Kasse sein, der Excel hat und die Daten dadurch lesen kann. - Metro war so aufgestellt, dass die Systeme sichtlich in der lokalen Filiale mehr oder weniger alleine funktionieren und nicht ständig Daten aus zentralen Systemen benötigten. Das ist auch ein sehr guter gangbarer Weg: möglichst Autonomie in der Filiale und vielleicht nur vereinzelt Zugriff auf zentrale Daten. Ebenso die Übertragung der Daten von der Filiale in der Zentrale muss ja nicht in Echtzeit erfolgen – 1x täglich reicht in der Regel. Aber für solche Fälle braucht es dann trotzdem ein Konzept, weil der Stillstand bzw. die Zuverlässigkeit der zentralen Systeme über mehrere Tage nicht gegeben ist.
- Händische Prozesse für Rechnungslegung, Lieferscheinausstellung, Bestellung, Lagerverwaltung müssen existieren und Vorlagen für Rechnungen, Lieferscheine usw. müssen vorbereitet sein und beschrieben/beschriftet sein, damit die Mitarbeiter gleich wissen, wie diese Dinge auszufüllen sind.
- Kommunikation mit den Kunden und Lieferanten
Will man Verärgerung vemeiden, so sollte man rechtzeitig und offensiv mit einer Nachricht nach außen gehen. Newsletter, Plakate + Personal am Eingang sind da wichtige Elemente - Wiederherstellungsprozess muss klar sein
Die händisch ausgestellten Rechnungen/Lieferscheine müssen nach Wiederherstellung der Systeme eingepflegt werden. Das ist großer manueller Aufwand und Themen wie Lagerstand können hier sehr differenzieren.
Was nötig ist und umgesetzt werden kann, muss jedes Unternehmen für sich entscheiden. Genau deshalb braucht es ein durchdachtes Desaster Recovery Konzept, aber auch ein dazupassendes Business Continuity Konzept.
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.