TGestohlene Kundendaten nach Hackerangriff im Darknet: Kritik am Trinkwasserverband

„Files are published“, heißt es auf der Seite im Darknet - einem verborgenen, lediglich für Eingeweihte zugänglichen Teil des Internets, der nicht über Suchmaschinen wie Google erreichbar ist. Dieser wird von Kriminellen als Marktplatz genutzt, unter anderem für Drogen, Kinderpornografie, Waffen und gestohlene Daten. Auf mehr als 3500 Seiten wurden bereits im August unzählige Dateien des Trinkwasserverbands Stader Land (TWV) von Lockbit angeboten. Aktuell sind es offenbar 34 Gigabyte an Daten, komprimiert in einer Zip-Datei.

Unzählige Kunden-Daten landen im Darknet

Mit ihrer Erpresser-Software waren die Cyber-Kriminellen tief in das IT-System des TWV eingedrungen: Dabei erbeuteten sie unter anderem Daten von Privat- und Firmenkunden, von den Bankverbindungen über die Steuernummern bis zu Rechnungen, sowie Datensätze über Rechtsstreitigkeiten, Zahlungsausfälle, Pachtverträge, nicht öffentliche Protokolle und Finanzdaten des TWV Stader Land. Damit nicht genug: Wer einen Angriff auf die Wasserversorgung plant, könnte sich jetzt im Darknet bei Lockbit mit den digitalen Plänen der Wasserwerke und -leitungen versorgen. Außerdem stehen Dateien mit dem Schutzkonzept im Netz.

Verband war vor Kundeninfo über Datenabfluss informiert

Mitte August hatte der Trinkwasserverband gegenüber dem TAGEBLATT behauptet, dass keine Datenabflüsse sichtbar seien. Doch Lockbit hatte die Daten bereits am 26. Juli hochgeladen und wiederholt aktualisiert - beispielsweise am 20. August. Doch erst Ende September wurde - über einen Hinweis auf der TWV-Internetseite und die Berichterstattung im TAGEBLATT - öffentlich, dass die Kriminellen mit ihrem Schadprogramm („Ransomware“) an unzählige personenbezogene Kundendaten gelangt waren.

Heike Vollmers und Henning Münnecke, Cyber-Sicherheit ist ein Schwerpunkt ihrer IT- und Unternehmensberatung mit Sitz in Brest, hatten den TAGEBLATT-Bericht vom 19. August zum Anlass genommen, im Darknet zu forschen. „Wir sind schließlich auch Kunden des Trinkwasserverbands“, so Vollmers. Dabei konnten sie den Abfluss von Daten feststellen. Sie hätten den TWV Stader Land umgehend informiert - und an diesen appelliert, die Kunden zu informieren. Doch erst im September ging dieser an die Öffentlichkeit, zwischenzeitlich hätten sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Das wird allerdings erst - bei kritischer Infrastruktur wie der Trinkwasserversorgung - bei mehr als 500.000 Betroffenen selbst tätig.

Politiker mahnen umfassende Information der Kunden an

Das Vorgehen des Verbands habe sie „irritiert“. Für sie sei es „nicht ausreichend“, Kunden und Geschäftspartner lediglich auf der TWV-Seite über den Abfluss der Daten und die Sicherheitstipps zu informieren. Ein Großteil der 48.000 Kunden werde nicht auf die Seite schauen. Dass Dateien im Darknet unverschlüsselt verfügbar waren und seien, „darf nicht auf die leichte Schulter genommen werden“, sagt Münnecke. Er verweist auf die Wasserversorgung als kritische Infrastruktur und sensible Kontodaten der Kunden. Münnecke und Heike Vollmers mahnen eine Info aller Kunden mit einem Rundbrief an.

Auch in der Politik wird die Forderung laut. Unter anderem macht sich der Bürgermeister der Samtgemeinde Lühe, Timo Gerke, dafür stark: „Wir müssen Sorge dafür tragen, dass jeder Kunde im Bilde ist, sein Konto im Blick hat und Sicherheitsmaßnahmen ergreifen kann.“ Das mahnt auch Bürgermeister Matthias Riel an. Der Jorker macht sich dafür stark, dass die Warn-Info des TWV auch auf den Internetportalen der elf Kommunen erscheint, um mehr Betroffene zu erreichen. Dafür müsse der Verband liefern.

Warnhinweis derzeit nur auf der Homepage des Trinkwasserverbands

Ein Rundbrief ist verbandsseitig zurzeit nicht geplant. Das sagten der TWV-Verbandsvorsitzende Hans-Werner Hinck und der TWV-Geschäftsführer Fred Carl. Ein Rundbrief würde mehr als 40.000 Euro kosten. Dass es nur einen Warnhinweis auf der Vorschaltseite des TWV Stader Land im Netz gebe, das basiere auf einer Absprache mit der zuständigen Behörde des Landesbeauftragten für Datenschutz in Niedersachsen und auf Vorgaben der Cyber-Versicherung. Carl habe ihn, so Hinck, über die Rechtsposition der Landesdatenschutzbehörde informiert.

Die Versicherung bestimme beim Daten-Klau auch die Informationspolitik, so Carl. Ende September war nach TAGEBLATT-Informationen allerdings noch ein Brief an alle Kunden geplant. „Es wäre ein immenser Aufwand“, sagt Hinck. Gleichwohl sei er bei der Frage zwiegespalten. Schließlich sei er auch Kunde des Trinkwasserverbands. „Rechtlich mag das in Ordnung sein“, sagt Hinck. Sehr servicefreundlich sei es nicht. Das sieht auch Bürgermeister Gerke so und mahnt eine „umfassende Info aller Kunden an“ - wie auf der TWV-Seite mit Hinweisen zum Datenabfluss und Sicherheitstipps.

Auskunftsrecht über gespeicherte Kundendaten

Der Verband könne aus rechtlichen Gründen nicht jeden einzelnen Kunden über seine beim Hacker-Angriff von Lockbit abgeflossenen persönlichen Daten informieren. „Wir sind schließlich keine Ermittlungsbehörde“, sagt Carl. Lediglich über die in Dollern gespeicherten personenbezogenen Daten könnten sich die Kunden über ihr Auskunftsrecht laut der Datenschutz-Grundverordnung (DSGVO) informieren.

Der Verband halte sich, betont Carl, an die gesetzlichen Informationspflichten. Es habe letztlich keine Erpressung - verbunden mit einer Lösegeldzahlung - gegeben, so der TWV-Chef. Den Cyber-Kriminellen sei es nicht gelungen, die Daten zu verschlüsseln. Nach dem ersten Bericht der Versicherung soll es bei der TWV-IT keine eklatanten Sicherheitslücken gegeben haben. Dazu wollte sich der Verband nicht äußern. Der Wiederaufbau der IT sei fast beendet, mit Versicherung, Polizei und Datenschutzbehörde stehe der Verband im regen Austausch.

Cyber-Bande Lockbit hat vor allem Großkonzerne im Blick

Bislang hatte die laut Sicherheitsbehörden aus Russland stammende Lockbit-Gruppe vor allem Konzerne im Visier. 2022 traf es den Autozulieferer Continental. Der weigerte sich, die verlangten 40 Millionen Euro für die Rückgabe der Daten zu zahlen. 2023 traf es den Postkonzern Royal Mail in Großbritannien und jüngst das Reiseunternehmen Voyageurs du Monde in Frankreich. Analysten schätzen den Marktanteil der Lockbit-Gruppe beim Datenklau mit Erpressung weltweit auf mehr als ein Drittel aller öffentlich gewordenen Attacken. Doch es treffe jetzt zunehmend kleine Fische, so Heike Vollmers. Auf https://muennecke-vollmers.de läuft ein Ransomeware-Monitor, sie tracken rund 156 kriminelle Gruppen und ihre Angriffe.

Bundesweit kosten Schäden durch Cyber-Angriffe laut Branchenverband Bitcom allein die Unternehmen jährlich 206 Milliarden Euro. Vollmers: „Jeder sollte seinen Schutz und seine Konten regelmäßig überprüfen, Firmen sollten Experten einbinden.“

• Umfrage: 58 Prozent der deutschen Unternehmen von Hackern attackiert

Die Zahl der Cyberattacken auf deutsche Unternehmen ist nach einer Untersuchung des britischen Versicherers Hiscox im vergangenen Jahr erneut gestiegen. Demnach wurden 58 Prozent der deutschen Firmen ein- oder mehrmals von Hackern angegriffen, wie die in München ansässige deutsche Tochter des Unternehmens am Dienstag mitteilte. Das waren 12 Prozentpunkte mehr als ein Jahr zuvor.

Die deutsche Wirtschaft wird laut dem Hiscox-Vergleich mit ausgewählten Ländern relativ häufig Zielscheibe von Hackern. In der neuen Ausgabe des jährlichen Vergleichs von acht Ländern meldeten demnach 53 Prozent der befragten Firmen Cyberattacken. Mehr Hackerangriffe auf Unternehmen als in Deutschland gab es demnach in Irland.

Der Cyber Readiness Report basiert auf einer Umfrage unter 5005 Führungskräften, IT-Managern und Fachleuten in Belgien, Frankreich, Deutschland, den Niederlanden, Spanien, Großbritannien, Irland und den USA. In Deutschland waren es 963 Befragte. Verfasst wird die Analyse im Auftrag des Versicherers von Fachleuten des US-Beratungsunternehmens Forrester Consulting.

Auffällig ist laut Hiscox, dass Cyberkriminelle mittlerweile vermehrt kleine Mittelständler attackieren. In allen acht Ländern belief sich der Anteil der angegriffenen Firmen mit weniger als zehn Mitarbeitern demnach im vergangenen Jahr auf 36 Prozent, im Vergleich zu 2021 ein Anstieg um die Hälfte.

www.polizei-praevention.de