Nach Hack: Daten von Stadtwerken Ludwigshafen im Darknet veröffentlicht

Nach dem Angriff einer Ransomware-Gruppe sind die Kundendaten des Strom- und Wasserversorgers Technische Werke Ludwigshafen (TWL) im Darknet veröffentlicht worden. Zuvor hatten die Erpresser ein Lösegeld in zweistelliger Millionenhöhe von den Stadtwerken gefordert. TWL versorgt rund 100.000 Kunden im gesamten Bundesgebiet mit Wasser und Strom.

Bereits im Februar sollen die Angreifer über einen schädlichen E-Mail-Anhang in die Systeme des Versorgers eingedrungen sein. Dort konnten sie zunächst unbemerkt das Netzwerk auskundschaften. Aufgefallen sind sie erst am 20. April, als sie im großen Stil Daten kopierten. Rund 500 GByte wurden kopiert, bevor der Angriff gestoppt werden konnte. "Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik konnten erfolgreich verhindert werden. Die Versorgung der Stadt Ludwigshafen war und ist deshalb nicht gefährdet", erklärte TWL.

Am 30. April hätten die Angreifer Kontakt zu TWL aufgenommen und ein Lösegeld im zweistelligen Millionenbereich gefordert. Es sei mit einer Veröffentlichung der zuvor kopierten Daten gedroht worden. Nachdem TWL der Forderung nicht nachkam, kontaktierten die Erpresser seit dem 11. Mai die Kunden des Versorgers, um weiter Druck aufzubauen, und veröffentlichten einen Teil der Daten.

"Zu den im Darknet veröffentlichten Daten zählen nach aktuellem Stand personenbezogene Daten wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung", schreibt der Versorger. TWL geht davon aus, dass die Daten aller Kunden und Geschäftspartner betroffen sind.

Das Versorgungsunternehmen erklärte, dass alle Betroffenen derzeit per Brief oder E-Mail informiert würden und weist darauf hin, dass die Daten für Identitätsdiebstahl, Phishing und den Versand von Viren und Trojanern per E-Mail verwendet werden könnten. Es rät seinen Kunden daher, "Ihre Konten regelmäßig zu prüfen und bei ungewöhnlichen Kontobewegungen unverzüglich Kontakt mit Ihrer Bank aufzunehmen," sowie die verwendeten Passwörter zu ändern und keinesfalls Links oder Dateianhänge in Mails mit unbekanntem Absender zu öffnen.

Dass es mitunter sehr einfach für Angreifer ist, in die Prozessleitsysteme der Wasserversorger und Klärwerke zu gelangen, konnte Golem.de bereits im Dezember 2018 zeigen. Teils konnte ein vorausgefüllter Benutzername als Passwort für die Steuerungssysteme verwendet werden.