Datenpanne: Bußgeld bei Wasserversorger

Cyberangriff kostet fast eine Million Pfund: ICO bestraft britischen Wasserversorger wegen Datenpanne

Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat am 7. Mai 2026 ein Bußgeld von 963.900 Pfund gegen South Staffordshire Plc und South Staffordshire Water Plc verhängt. Verstoßen wurde gegen Art. 5 Abs. 1 lit. f DS-GVO und Art. 32 Abs. 1 DS-GVO, deren britische Entsprechungen (UK GDPR) inhaltlich identisch sind. Ausgangspunkt war ein Cyberangriff, der bereits am 11. September 2020 begann, aber fast zwei Jahre lang unbemerkt blieb.

Ein Angreifer blieb fast zwei Jahre unentdeckt im Netzwerk

South Staffordshire Water versorgt rund 1,6 Millionen Menschen in Teilen von Staffordshire, dem West Midlands und Cambridge mit Trinkwasser. Das Unternehmen speicherte Kunden- und Mitarbeiterdaten in einer zentralen IT-Infrastruktur in Walsall. Betroffen waren rund 1,85 Millionen Kunden (750.000 aktuelle, 1,1 Millionen ehemalige) sowie etwa 5.000 aktuelle und ehemalige Mitarbeiter.

Der Angriff begann am 11. September 2020 über eine Phishing-Kampagne. Ein Mitarbeiter öffnete einen schadhaften E-Mail-Anhang. Dadurch installierten sich die Schadsoftware Get2 und der Remote-Access-Trojaner SDBBOT auf dem betroffenen Gerät. Der Angreifer sicherte sich dauerhaften Zugang zum Netzwerk, blieb dann aber bis zum 17. Mai 2022 inaktiv. Fast 20 Monate lang unentdeckt.

Ab Mai 2022 begann der Angreifer, sich aktiv im Netzwerk zu bewegen. Er nutzte ein kompromittiertes Domain-Administrator-Konto und griff auf 20 verschiedene Endgeräte zu. Am 15. Juli 2022 bemerkte South Staffordshire auffällige IT-Probleme und leitete eine Untersuchung ein. Am 21. Juli 2022 entdeckte das Unternehmen Schadcode im System. Kurz zuvor hatte der Angreifer versucht, einen Erpresserbrief zu verteilen, in dem er behauptete, 5,5 Terabyte Daten gestohlen zu haben.

Zwischen August und November 2022 fand South Staffordshire rund 4,1 Terabyte der gestohlenen Daten im Darknet. Betroffen waren die personenbezogenen Daten von 633.887 Personen. Das Unternehmen informierte 390.628 Betroffene über die Datenpanne.

Die veröffentlichten Daten enthielten unter anderem:

• Namen, Adressen, E-Mail-Adressen, Geburtsdaten und Telefonnummern
• Bei Mitarbeitern: Personalnummer, Sozialversicherungsnummer, Nutzernamen und Passworter
• Bei Kunden: Kontonummern, Bankverbindungen, Finanzdaten und Angaben zum Priority-Services-Register
• Bei einem kleinen Teil der Priority-Services-Kunden: Informationen, aus denen Behinderungen abgeleitet werden konnten
• Bei je einem ehemaligen Kunden: Daten zur ethnischen Herkunft und zur Religionszugehorigkeit

Vier IT-Sicherheitsmängel machten den Angriff möglich

Das ICO stellte vier konkrete Versäumnisse fest, die den Angriff ermöglichten oder seinen Schaden erheblich vergroßerten.

Berechtigungsmanagement fehlte: South Staffordshire hatte das Prinzip der minimalen Rechtevergabe nicht umgesetzt. Konten hatten mehr Zugriffsrechte als nötig, und ein Stufenmodell für Administrator-Konten fehlte. Der Angreifer konnte deshalb mit einem einzigen kompromittierten Domain-Administrator-Konto frei im Netzwerk agieren, per Remote-Desktop auf Systeme zugreifen und sich nahezu ungehindert ausbreiten.

Sicherheits-Monitoring war unzureichend: Im Dezember 2021 überwachte ein externes Security-Operations-Center lediglich 5 Prozent der IT-Umgebung. Protokollierung und Telemetrie der Endgeräte waren nicht in das zentrale Sicherheitssystem eingebunden. Das erklärt, warum der Angreifer fast 20 Monate lang unentdeckt bleiben konnte.

Veraltete Software im Betrieb: South Staffordshire betrieb noch Geräte mit Windows Server 2003 R2, einem Betriebssystem, für das der erweiterte Herstellersupport bereits im Juli 2015 endete. Microsoft hatte damals ausdrücklich auf die daraus entstehenden Sicherheitsrisiken hingewiesen.

Kein Schwachstellenmanagement: Zwei Domänencontroller waren bis Mai 2022 nicht gegen die ZeroLogon-Schwachstelle (CVE-2020-1472) gepatcht. Diese Schwachstelle war seit August 2020 bekannt und erlaubt eine schnelle Ausweitung von Zugriffsrechten. Der Angreifer nutzte sie während des Angriffs gezielt aus. Auf die Frage des ICO nach internen und externen Schwachstellenscans zwischen September 2020 und Mai 2022 antwortete South Staffordshire: Solche Scans habe es nicht gegeben.

Bußgeld von 963.900 Pfund nach mehrfachen Abzügen

Das ICO stufte die Verstöße als mittelschwer ein und legte eine Ausgangsrate von 15 Prozent des gesetzlichen Höchstbetrags von 17,5 Millionen Pfund fest. Wegen des vergleichsweise geringen Konzernumsatzes von 385 Millionen Pfund wendete das ICO einen Abschlag von 85 Prozent an. Der Ausgangspunkt lag damit bei rund 2,23 Millionen Pfund.

Strafmildernd wertete das ICO mehrere Faktoren: die Zusammenarbeit mit den Behörden, das proaktive Eingeständnis der Verstöße, die Meldung an das National Cyber Security Centre sowie Maßnahmen zum Schutz der Betroffenen. Dazu gehörten ein 12-monatiges Kreditmonitoring für aktuelle Kunden und Mitarbeiter sowie eine dedizierte Hotline. Diese Faktoren reduzierten das Bußgeld um 20 Prozent auf rund 1,79 Millionen Pfund.

South Staffordshire schloss eine freiwillige Einigung mit dem ICO und erkannte die Verstöße vollständig an. Das Unternehmen verzichtete gleichzeitig auf das Recht, die Entscheidung anzufechten. Dafür gewährte das ICO einen Settlement-Rabatt von 40 Prozent. Das endgültige Bußgeld beträgt 963.900 Pfund, zahlbar bis zum 5. Juni 2026.

Unsere Empfehlungen

Unternehmen und KMU

Dieser Fall zeigt, was passiert, wenn grundlegende IT-Sicherheitsmaßnahmen fehlen: Ein Angreifer kann jahrelang unentdeckt bleiben und enormen Schaden anrichten. Unternehmen sollten prüfen, ob ihre IT-Infrastruktur folgende Punkte abdeckt:

• Berechtigungen begrenzen: Jedes Konto sollte nur die Zugriffsrechte haben, die für die jeweilige Aufgabe nötig sind. Administrator-Konten gehören in ein Stufenmodell. Das ist eine direkte Anforderung aus Art. 32 DS-GVO.
• Monitoring ausbauen: 5 Prozent der IT-Umgebung zu überwachen, reicht nicht. Protokollierung und Monitoring müssen alle kritischen Systeme abdecken und zentral ausgewertet werden.
• Veraltete Software ablösen: Betriebssysteme und Anwendungen ohne Herstellersupport sind ein vermeidbares Risiko. Systeme ohne Sicherheitsupdates verstoßen gegen Art. 32 DS-GVO.
• Schwachstellenscans einführen: Interne und externe Scans müssen regelmäßig stattfinden. Bekannte Schwachstellen müssen zeitnah gepatcht werden. Wer das nicht dokumentieren kann, steht im Ernstfall schlecht da.
• Phishing-Schutz stärken: Phishing bleibt der häufigste Angriffsweg. Regelmäßige Schulungen und simulierte Phishing-Tests helfen, das Risiko zu senken.

Gesundheitseinrichtungen

Einrichtungen, die besonders sensible Daten verarbeiten, zum Beispiel Gesundheits- oder Behinderungsdaten, stehen unter verschärften Anforderungen nach Art. 32 DS-GVO. Der ICO-Fall zeigt, dass selbst kleine Teilmengen sensibler Daten im Darknet zu erheblichen Folgen für Betroffene führen können. Gesundheitseinrichtungen sollten Systeme mit besonders schutzbedürftigen Daten netzwerkseitig isolieren, Zugriffsrechte darauf streng begrenzen und externe Sicherheitsaudits regelmäßig einplanen.

Quelle: Information Commissioner’s Office (ICO), Vereinigtes Königreich

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
• Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
• Nachweis der Datenlöschung – So dokumentieren Sie korrekt
• Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
• Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft

Dieser Absatz enthält Affiliatelinks/Werbelinks