Drohnen über Europa, hybride Attacken aus Russland: Muss sich auch die Getränkebranche besser wappnen? Deutschlands drittgrößter Getränkehersteller Refresco laboriert an den Folgen einer Cyber-Attacke, über deren Herkunft es zumindest nach außen keine Informationen gibt.
Zwei Wochen, nachdem am 22. September 2025 Refresco Deutschland, der mit 25 Mio hl drittgrößte Getränkehersteller, von Cyber-Kriminellen angegriffen worden war, befinden sich die meisten der Werke in Anlaufphasen. Die erste Nachtschicht lief von Sonntag, 5. Oktober, auf Montag an. Zwei Wochen lang war weder ein Wareneingang noch ein Warenausgang möglich. Die Produktion war komplett ausgefallen. Sämtliche Anlagen, die jährlich 25 Mio hl drehen, waren down.
Dennoch sprechen INSIDER vom Glück im Unglück. Denn unmittelbar, nachdem der Angriff registriert worden war, hat die IT alle Stecker gezogen. Bedeutet etwa, dass Bestellungen von Rohware für die deutschen Standorte storniert und im Warehouse in Rotterdam eingelagert werden konnten.
Zweifelsfrei lässt sich offenbar sagen: Der Angriff war ein bewusster Angriff auf das Unternehmen Refresco. Und genau darin sehen die IT und auch die ermittelnden Behörden (u.a. das Bundeskriminalamt) eine Gefahr: Sobald der Angreifer registriert, dass die Produktion, die Logistik, der Einkauf wieder laufen, wird ein zweiter Schub an Angriffen befürchtet. Doch einen weiteren Ausfall kann sich Refresco kaum leisten: Rewe, Aldi und Co. benötigen Ware.
Ein Angriff wie dieser zeigt, dass es kaum Schutz gibt. INSIDERN zufolge war die IT von Refresco eigentlich sehr gut aufgestellt. Prozesse seien auf Sicherheitsmängel überprüft worden. Auch doppelt und dreifach. Jetzt, nach dem Angriff, schaut die IT zehnmal hin. Entsprechend langsamer laufen die Werke jetzt an.
INSIDER-Berichten zufolge wurde außerdem die Schwachstelle identifiziert: ein veraltetes IT-System eines Werkes der 2022 von Refresco geschluckten Hansa Heemann Gruppe. Die Quelle des Angriffs indes wurde intern bislang nicht kommuniziert und demnach auch nicht, ob es sich um finanzielle Erpressung oder anderweitig motivierte Sabotage handelt. Wenngleich so mancher Mitarbeiter nicht ausschließt, dass die Spitze der in Rotterdam organisierten Holding vieles wohl nicht publik macht. Auch intern nicht. Stattdessen werden Kunden darauf verwiesen, dass die forensischen Analysen parallel weiterlaufen.
Zählt Refresco zur kritischen Infrastruktur und welche rechtlichen Pflichten würden damit einhergehen?
Ob ein Unternehmen zur kritischen Infrastruktur zählt und damit von der in diesem Jahr in nationales Recht umgesetzten NIS-2-Richtlinie (EU-Richtlinie über Maßnahmen für ein hohes Cybersicherheitsniveau in der Union) betroffen ist, ist im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt. In der BSI-Kritisverordnung werden dann auch Schwellenwerte genannt für Getränkehersteller. Sie gelten für alle Getränke außer solche mit einem Alkoholgehalt von mehr als 1,2% und sind unterteilt in die Kategorien Anlage zur Herstellung, Anlage zur Behandlung und Anlage zur Distribution. In allen Kategorien gilt der Schwellenwert 350 Mio Liter, den Refresco mit einem Volumen von 2,5 Mrd Litern locker überschreitet.
Unternehmen wie Refresco sind demnach zu einem Risikomanagement verpflichtet, das in der NIS-2-Verordnung festgelegt ist. Auch hat das BSI eigens für Kritis-Unternehmen eine Task-Force eingerichtet, die diese in Fällen wie dem vor zwei Wochen bei Refresco in Anspruch nehmen können.
Brunnen-INSIDER verweisen indessen auf die günstige Ausgangslage in Deutschland: Wenn hierzulande einer der 150 Mineralbrunnen wegfällt, dann sei das zunächst keine humanitäre Katastrophe, weil die anderen den Ausfall auffangen.
Doch was geschieht, wenn gezielt mehrere Kritis-Hersteller angegriffen werden? Das Thema ist in der Getränkebranche angekommen. Schon zuvor hatten große Abfüller (z.B. Oettinger) mit Attacken zu kämpfen.
