Hacker haben einen zweistelligen Millionenbetrag von kommunalen Versorger TWL gefordert.

jotily/iStock/Getty Images

20.05.20
Prozessmanagement & IT

Hacker erpressen TWL, veröffentlichen Kundendaten

Nach der schweren Cyberattacke haben Hacker Lösegeld von den Technischen Werken Ludwigshafen gefordert. Der kommunale Versorger weigerte sich, zu zahlen. Jetzt kursieren Kundendaten im Darknet.

Nachdem der kommunale Versorger Technische Werke Ludwigshafen (TWL) Anfang des Monats mitgeteilt hatte, Opfer eines schweren Cyberangriffs geworden zu sein, haben die Pfälzer nun neue Details publik gemacht. Und die haben es in sich: Offenbar war der Angriff deutlich schwerwiegender, als zunächst angenommen.

Demnach haben Hacker 500 Gigabyte an Daten gestohlen. Der Erstzugriff der Angreifer erfolgte laut Angaben des Versorgers im Februar über ein infiziertes E-Mail-Konto, das Leck bemerkte TWL erst am 20. April. Das ist nicht untypisch: Hacker verweilen oft monatelang in den Systemen ihrer Opfer und warten auf den richtigen Zeitpunkt, um zuzuschlagen. 

Nach der Entdeckung des Angriffs habe TWL sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet. Ermittlungen seien aufgenommen worden und dauerten noch an.

Hacker forderten Millionen von TWL

Damit war der Krimi für TWL aber nicht zu Ende: Ende April nahm die Hackergruppe Kontakt zum kommunalen Versorger auf und versuchte, Lösegeld im zweistelligen Millionenbereich zu erpressen. Sie drohten mit der Veröffentlichung der Daten. TWL lehnte ab, wie es auch von Cybersecurity-Spezialisten empfohlen wird. Daraufhin veröffentlichten die Angreifer die Daten im sogenannten „Darknet“, was einer anonymisierten Form des Internets entspricht.

Beim Blick auf die im Darknet veröffentlichten Daten wird das ganze Ausmaß der Attacke deutlich: Hierzu zählen laut TWL-Angaben personenbezogene Informationen wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung der Kunden. Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind – der Worst Case für jedes Unternehmen.

TWL versorgt eigenen Angaben zufolge rund 100.000 Haushalte in Ludwigshafen und dem gesamten Bundesgebiet mit Energie und Trinkwasser. Der Cyberangriff zeigt, wie wichtig es ist, dass Kommunen und ihre Töchter das Thema IT-Sicherheit ernst nehmen. 

„Wir haben eine sehr angespannten Lage.“

Arne Schönbohm, BSI

In der März-Ausgabe des DNK hatte BSI-Präsident Arne Schönbohm von einer „sehr angespannten Lage“ gesprochen und vor der zunehmenden Professionalität der Hacker gewarnt. „Früher brauchte man IT-Spezialkenntnisse, um Institutionen, Verwaltungen oder auch Unternehmen anzugreifen“, sagte er. Es habe sich mittlerweile ein eigener Dienstleistungszweig zur Cyberkriminalität gebildet. Auch TWL beschrieb die Hacker als hochprofessionell.

j.eich(*)derneuekaemmerer(.)de