Erst vergangene Woche hatten die Technischen Werke Ludwigshafen (TWL) vermeldet, dass sie Opfer eines Hackerangriffs geworden sind. (Siehe auch: Cyberangriff auf die TWL). Inzwischen hat eine unbekannte Hackergruppe Kontakt mit dem Versorger aufgenommen.
Die offenbar hochprofessionelle Hackergruppe drang in die IT-Systeme der TWL ein und stahlen trotz unmittelbar nach Entdecken des Angriffs eingeleiteter Gegenmaßnahmen Kunden- sowie Mitarbeiter- und Geschäftsdaten. Aufgrund der forensischen Untersuchungen, der Arbeiten an der Gefahrenabwehr und der Ermittlungen der Strafverfolgungsbehörden konnten sich die TWL bis zum 11. Mai nicht detaillierter zu dem Sicherheitsvorfall äußern.
Nach aktuellem Stand der Ermittlungen ist Folgendes passiert: Am 20. April entdeckte man den Vorfall. Trotz der der Gegenmaßnahmen konnten die Kriminelle über 500 GB an Daten stehlen.
Details zum Hackerangriff
Inzwischen wisse man, dass der Erstzugriff Mitte Februar über eine infizierte E-Mail-Anlage stattfand, die von den technischen Abwehrsystemen nicht erkannt worden sei. In den darauffolgenden Wochen hätten es die Kriminellen trotz zahlreicher Sicherheitsvorkehrungen geschafft, sich unerkannt im Netzwerk von TWL auszubreiten.
Sobald der Angriff entdeckt worden sei, habe man sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet, teilten die Ludwigshafener mit. Die aufgeommenen Ermittlungen dauern demnach noch an. Die zuständige Landesdatenschutzbehörde sei ebenfalls zu dem Vorfall in Kenntnis gesetzt worden.
Mit der forensischen Unersuchung und der Abwehr des Vorfalls haben die TWL nun ein externes Unternehmen für IT-Sicherheit beauftragt. Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik konnte man verhindern. Die Versorgung der Stadt Ludwigshafen war und sei deshalb nicht gefährdet.
Lösegeldforderung im zweistelligen Millionenbereich
Zehn Tage später, am 30. April 2020, nahm die Hackergruppe Kontakt zu den TWL auf und versuchte, Lösegeld im zweistelligen Millionenbereich zu erpressen. Gedroht wurde mit der Veröffentlichung der gestohlenen Daten. Da TWL diese Forderung ablehnte, hätten die Täter die erbeuteten Daten im „Darknet“ veröffentlicht, teilte der Versorger mit.
Es sei selbstverständlich, keine Geschäfte mit Kriminellen zu machen und nicht auf Lösegeldforderungen einzugehen, um weitere kriminelle Machenschaften nicht noch zu fördern, betonte der Versorger. Hinzu komme die Erfahrung, dass selbst die Zahlung eines Lösegelds nicht zu einem Stopp der Datenverbreitung im Internet geführt hätte.
Kriminelle schreiben Kunden an
Die Kunden des Unternehmens seien ebenfalls von den Kriminellen per E-Mail angeschrieben worden, in denen sie TWL mangelnde Kooperation und Fehlverhalten vorwerfen, um weiteren Druck auf das Unternehmen auszuüben. Parallel hätten die Täter angefangen, die gestohlenen Daten im Darknet zu veröffentlichen.
„Wir bedauern zutiefst, dass unsere Kunden, Mitarbeiter und Geschäftspartner von diesem Vorfall betroffen sind, und entschuldigen uns in aller Form für die Unannehmlichkeiten, die ihnen entstanden sind bzw. noch entstehen könnten. Uns ist der Ernst der Lage bewusst ist. Wir arbeiten deshalb mit Hochdruck an der Aufbereitung des Sicherheitsvorfalls“, so die TWL-Vorstände Dieter Feid und Thomas Mösl.
Gleichzeitig sei man von der kriminellen Energie entsetzt, die hinter diesem Angriff stecke. Die Gewährleistung der Datensicherheit habe oberste Priorität – man lasse sich aber nicht auf Geschäfte mit Kriminellen ein, verdeutlicht TWL nochmals. „Wir stehen in engem Kontakt mit den Ermittlungsbehörden und haben sämtliche Schritte mit ihnen abgestimmt.“
Zahlreiche Daten abgegriffen
Die TWL haben ihren Kunden inzwischen geraten, ihre Kontobewegungen zu prüfen. Zu den im Darknet veröffentlichten Informationen zählen nach aktuellem Stand personenbezogene Daten wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung. Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind.
Auch wenn es hierfür bisher keine konkreten Anhaltspunkte gebe, könnte zudem die Gefahr bestehen, dass die Kriminellen die erbeuteten Daten für weitere Straftaten wie Identitätsdiebstahl, Phising oder Versand von Viren und Trojanern per E-Mail missbrauchen könnten, warnen TWL.
IT-Sicherheit des Unternehmens wird weiter erhöht
Schon im vergangenen Jahr hatten die neuen Vorstände die IT unmittelbar dem Vorstand zugeordnet und zum 1. Juli 2019 einen neuen IT-Leiter eingestellt. Im Dezember 2019 wurden laut TWL tiefgehende Sicherheitsanalysen durchgeführt, um Maßnahmen zur Steigerung der IT-Sicherheit des Unternehmens zu identifizieren. Dennoch sei es den Cyberkriminellen gelungen, vor der vollständigen Umsetzung der erarbeiteten Maßnahmen in die IT-Systeme einzudringen.
Zusammen mit dem eingeschalteten externen Unternehmen arbeite man nun unter Hochdruck daran, zu verhindern, dass ein solcher Vorfall nochmals passieren könne, heißt es aus Ludwigshafen. (sg)
