Hacker-Angriff Technische Werke Ludwigshafen

Hacker-Angriff auf die Technischen Werke Ludwigshafen (TWL) offenbart konzernweite Datenschutzdefizite

Die TWL entdeckte nach eigenen Angaben am 20. April 2020, dass Kriminelle Daten aus internen Daten-Systemen der TWL gestohlen hatten. Trotz umgehend eingeleiteter Maßnahmen wurden die Daten von 150.000 Kunden sowie 1300 Beschäftigten gestohlen. Es handelt sich um Namen, Anschriften und zum Teil um Bankverbindungen. Die TWL unterrichteten umgehend das Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik. Die TWL meldeten der Datenschutzbehörde innerhalb der vorgesehenen Frist (72 Stunden) eine Verletzung des Schutzes personenbezogener Daten im Sinne des Artikel 33 Datenschutz-Grundverordnung.

Im Laufe der Ermittlungen stellte sich heraus, dass es den Kriminellen bereits Mitte Februar 2020 über einen infizierten E-Mail-Anhang gelungen war, Zugang zu dem IT-Netz der TWL zu erlangen. Die TWL konnten eine Verschlüsselung der Systeme sowie einen Zugriff auf die Prozessleittechnik des Unternehmens verhindern, sodass die Versorgung der Stadt Ludwigshafen zu keinem Zeitpunkt gefährdet war. Am 30. April 2020 nahm die Hackergruppe Kontakt zu den TWL auf und versuchte, Lösegeld im zweistelligen Millionenbereich zu erpressen. Gedroht wurde mit der Veröffentlichung der gestohlenen Daten. Der vom Datendiebstahl betroffene Personenkreis erhielt zudem ab dem 11. Mai 2020 E-Mails, in denen den TWL mangelnde Kooperation und Fehlverhalten vorgeworfen wurden. Als die TWL nicht auf die Forderung der Hackergruppe einging, veröffentlichen die Täter die Daten im sogenannten Darknet.

Der Angriff war auf das Fehlverhalten eines Mitarbeiters bei der Bearbeitung einer E-Mail zurückzuführen. Die Person öffnete entgegen bestehender, interner TWL-Vorgaben eine E-Mail mit Anhang, die eine Schadsoftware enthielt. Der LfDI nahm aufgrund dieses Vorfalls umfangreiche Ermittlungen auf. Im Rahmen dieser Ermittlungen wurde offenbart, dass der Angriff nur möglich war, da das Unternehmen allen Mitarbeitern das Öffnen von ausführenden Makros erlaubt hatte, unabhängig davon, ob diese Funktion für die tägliche Arbeit notwendig war. Des Weiteren wurde im Rahmen der Aufarbeitung des Vorfalls deutlich, wie es zu einer so hohen Zahl an betroffenen Personen kommen konnte: Aufgrund fehlender Löschung und Sperrung personenbezogener Daten ehemaliger Kunden, war es den Angreiffern möglich, nicht nur auf die Daten der derzeitigen Kunden des Unternehmens, sondern auch auf die Daten von Kunden, die früher einen Vertrag mit dem Unternehmen hatten, zuzugreifen.

Während der Sachverhalt im Berichtszeitraum abschließend ermittelt werden konnte, sind die aufsichtsrechtlichen Maßnahmen und Sanktionen im Berichtszeitraum noch zu keinem Abschluss gekommen und werden den LfDI im Jahr 2021 /22weiter begleiten.

Quelle: LfDI Rheinland-Pfalz

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks