Mai 2020

200507

ENERGIE-CHRONIK


Hacker erbeuteten Kundendaten der Stadtwerke Ludwigshafen

Unbekannte Täter haben bei einem Hacker-Angriff auf die Technischen Werke der Stadt Ludwigshafen (TWL) über 500 Gigabyte an Kundendaten erbeutet und anschließend versucht, ein Lösegeld zu erpressen. Als die Stadtwerke darauf nicht eingingen, begannen die Kriminellen damit, diese Daten im sogenannten Darknet zu veröffentlichen. Parallel dazu verschickten sie E-Mails an TWL-Kunden, in denen sie den Stadtwerken mangelnde Kooperation und Fehlverhalten vorwarfen, um weiteren Druck auf das Unternehmen auszuüben.

Täter verlangten zweistellige Millionensumme als Lösegeld

Der Datendiebstahl wurde bereits am 20. April entdeckt, aber aus Ermittlungsgründen zunächst nicht mitgeteilt. Am 30. April präsentierten die Täter ihre Lösegeldforderung, die nach TWL-Angaben "im zweistelligen Millionenbereich" lag. Als sie nach deren Ablehnung die Daten im Darknet veröffentlichten und ab 11. April auch die Kunden anschrieben, machten die Stadtwerke die Affäre erstmals publik.

"Die Versorgungssicherheit der Ludwigshafener Bürger und der Kunden des Unternehmens war und ist sichergestellt", hieß es in der Mitteilung. Den Hackern sei es aber gelungen, "unter anderem Kundendaten wie Namen, Adressen und Kontodaten sowie Geschäftsdaten zu erbeuten". Die Kunden wurden deshalb aufgefordert, ihre Konten regelmäßig zu prüfen und bei ungewöhnlichen Abbuchungen Kontakt mit ihrer Bank aufzunehmen. Ferner sollten sie alle Passwörter ändern, die sie bisher für den Zugang zum Kundenportal oder in der sonstigen Internet-Kommunikation mit den TWL verwendet haben.

Den Kunden drohen Identitätsdiebstahl, Phishing oder Versand von Viren per E-Mail

Ein paar Tage später zeigte sich zeigte sich das Unternehmen in einer weiteren Mitteilung "entsetzt von der kriminellen Energie, die hinter diesem Angriff steckt". Man lasse sich aber nicht auf Geschäfte mit Kriminellen ein. Erfolgreiche Erpressungen können außerdem dazu anspornen, weitere Unternehmen anzugreifen. Man stehen in engem Kontakt mit den Ermittlungsbehšrden und habe sämtliche Schritte mit ihnen abgestimmt, um die Täter zu ermitteln. Zu den im Darknet veröffentlichten Daten zählten nach aktuellem Stand neben personenbezogenen Daten wie Name, Vorname und Anschrift, E-Mail-Adresse, Telefonnummer und Angaben zum gewählten Tarif auch Bankverbindungen, sofern eine Einzugsermächtigung erteilt wurde. Es sei davon auszugehen, dass seine Kunden und Geschäftspartner betroffen sind. Es bestehe leider die Gefahr, dass die erbeuteten Daten für für weitere Straftaten missbraucht werden könnten. Zum Beispiel für Identitätsdiebstahl, Phishing oder den Versand von Viren und Trojanern per E-Mail.

Nach der Entdeckung des Angriffs habe TWL sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik eingeschaltet. Ferner habe man die zuständige Landesdatenschutzbehörde in Kenntnis gesetzt und ein externes Unternehmen für IT-Sicherheit mit der forensischen Untersuchung und Abwehr des Vorfalls beauftragt. Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik habe erfolgreich verhindert werden können, weshalb die Versorgung der Stadt Ludwigshafen nicht gefährdet sei.

Hacker-Angriff gelang trotz erhöhter Bemühungen um IT-Sicherheit

Bereits im vergangenen Jahr hätten die neu angetretenen TWL-Vorstände Dieter Feid und Thomas Mösl (180608) den Bereich Informationstechnik (IT) unmittelbar dem Vorstand zugeordnet und zum 1. Juli 2019 einen neuen IT-Leiter eingestellt. Im Dezember 2019 seien "tiefgehende Sicherheitsanalysen durchgeführt worden, um Maßnahmen zur Steigerung der IT-Sicherheit des Unternehmens zu identifizieren". Leider sei es den Cyberkriminellen gelungen, vor der vollständigen Umsetzung der erarbeiteten Maßnahmen in die IT-Systeme einzudringen. Nach bisherigen Erkenntnissen sei der Erstzugriff Mitte Februar über eine infizierte E-Mail-Anlage erfolgt, die von den technischen Abwehrsystemen nicht erkannt wurde. In den darauffolgenden Wochen hätten es die Kriminellen trotz zahlreicher Sicherheitsvorkehrungen geschafft, sich unerkannt im Netzwerk von TWL auszubreiten. Man arbeite nun zusammen mit dem eingeschalteten externen Unternehmen für IT-Sicherheit "mit Hochdruck daran, zu verhindern, dass ein solcher Vorfall nochmals passieren kann".

 

Links (intern)