Herr Mösl, die TWL haben am 20. April entdeckt, dass Cyberkriminelle in Ihre IT-Systeme eingedrungen sind. Was war Ihr erster Gedanke?
Der erste Gedanke war natürlich, ob die Hacker unser Prozessnetz gehackt haben und damit die Versorgungssicherheit unserer Kunden und der Bürger der Stadt Ludwigshafen gefährden können. Viele Unternehmen, die ebenfalls gehackt wurden, wurden ja auch verschlüsselt und lahmgelegt. Das ist den Hackern bei uns glücklicherweise nicht gelungen.
Inzwischen haben sich die Angreifer entdeckt und einen zweistelligen Millionenbetrag von den TWL gefordert, Ihr Unternehmen hat sich allerdings geweigert, die Summe zu zahlen, woraufhin die Erpresser Kundendaten im Darknet veröffentlicht und auch die TWL bei Ihren Kunden denunziert haben. Bereuen Sie es, nicht gezahlt zu haben?
Nein, wir bereuen das nicht. Für uns war von Anfang an klar, dass wir keine Geschäfte mit Kriminellen machen und deren Machenschaften keinesfalls noch zusätzlich befeuern wollen. Wir hätten auch im Fall einer Lösegeldforderung keine Garantie dafür gehabt, dass die gestohlenen Daten nicht doch veröffentlicht werden. Darauf weist auch das LKA hin.
Die TWL gehen erstaunlich offensiv mit der Attacke um und haben offen – soweit das im Zuge der Ermittlungen möglich war – über den Angriff berichtet. Wieso haben Sie sich für diese Vorgehensweise entschieden? Bislang gilt es ja als Reputationsschaden, wenn man eine erfolgreiche Cyber-Attacke zugibt.
Wir sind der Überzeugung, dass der Reputationsschaden und der Vertrauensverlust bei unseren Kunden noch größer wäre, wenn erst im Nachhinein und scheibchenweise bekannt würde, dass uns Kundendaten gestohlen wurden. Der Kunde hat ein Recht, zu erfahren, was wir mit seinen Daten machen, und informiert zu werden, wenn diese Daten von anderen missbraucht werden können. Deswegen gab es für uns keine Alternative zu diesem Vorgehen. Wir hoffen außerdem, dass wir durch diesen transparenten Umgang mit dem Vorfall das Vertrauen unserer Kunden zurückgewinnen können, denn 100 Prozent Sicherheit gibt es nirgends.
Wie ist hier bislang die Resonanz der Kunden?
Die Resonanz unserer Kunden ist gemischt. Natürlich sind Kunden besorgt und manche auch verärgert darüber, dass ihre Daten gestohlen wurden. Dafür haben wir volles Verständnis. Es gibt aber auch Kunden, die unser Vorgehen nachvollziehen können und wissen, dass es in der heutigen Zeit nicht möglich ist, ein absolut perfektes, sicheres Datennetz zu unterhalten. Unter dem Strich glauben wir, unsere Transparenz wird positiv gesehen.
Sie hatten bereits mit dem neuen Vorstand einen neuen IT-Leiter installiert und damit neue IT-Sicherheitsmaßnahmen erarbeitet. Leider waren die Kriminellen schneller und griffen das System noch vor der vollständigen Umsetzung an. Würden Sie hier im Nachhinein etwas anders machen?
Mein Kollege Dieter Feid und ich haben, nachdem wir Mitte 2018 den Vorstand von TWL übernommen haben, sehr konsequent in Bezug auf die Untersuchung und Optimierung der IT-Sicherheit gehandelt. Im Nachhinein ist man natürlich immer klüger, aber tatsächlich haben wir dem Thema eine hohe Priorität bei uns gegeben.
Sie haben nach dem Vorfall eine externe IT-Sicherheitsfirma eingesetzt und arbeiten eng mit Sicherheitsbehörden zusammen. Hat das noch zusätzlichen Input gegeben für mehr IT-Sicherheit?
Gemeinsam mit den Sicherheitsbehörden und dem externen Dienstleister arbeiten wir nach wie vor an der vollständigen Aufarbeitung des Vorfalls. Die gewonnenen Erkenntnisse werden definitiv in unser Sicherheitskonzept und zusätzliche Maßnahmen einfließen. Bitte haben Sie Verständnis dafür, dass wir keine Informationen zu Details oder Verbesserungen unserer IT-Systeme veröffentlichen können.
Die Fragen stellte Stephanie Gust.
Mehr zu dem Hackerangriff auf die TWL:
