Die britische Datenschutzbehörde ICO hat gegen South Staffordshire Plc und die Tochtergesellschaft South Staffordshire Water Plc eine Geldstrafe von 963.900 Pfund (umgerechnet rund 1,3 Millionen US-Dollar) verhängt. Grund ist ein massiver Cyberangriff, bei dem persönliche Daten von mehr als 633.000 Kunden und Mitarbeitern gestohlen und im Darknet veröffentlicht wurden.

Nach Angaben der Behörde begann der Angriff bereits im September 2020 und blieb fast zwei Jahre lang unentdeckt. Erst zwischen Mai und Juli 2022 eskalierte der Vorfall, als sich die Angreifer immer weiter durch das Unternehmensnetzwerk bewegten und schließlich vollständige Administratorrechte erlangten.

Angriff begann mit Phishing-Mail

Auslöser der Attacke war eine Phishing-Mail, die einen Mitarbeiter dazu brachte, einen schädlichen Anhang zu öffnen. Dadurch konnten die Hacker Schadsoftware im IT-System installieren. Diese blieb rund 20 Monate lang unbemerkt aktiv.

Im Mai 2022 verschafften sich die Angreifer dann Zugriff auf besonders sensible Bereiche des Netzwerks. Entdeckt wurde der Angriff erst am 15. Juli 2022, nachdem ungewöhnliche Leistungsprobleme in den IT-Systemen interne Untersuchungen auslösten.

Wenige Tage später meldete das Unternehmen den Vorfall offiziell der Datenschutzbehörde. Ende Juli 2022 fanden Mitarbeiter zudem eine Lösegeldforderung, die die Hacker im internen Netzwerk verteilt hatten. Zwischen August und November 2022 stellte das Unternehmen schließlich fest, dass mehr als 4,1 Terabyte an Daten im Darknet veröffentlicht worden waren.

Hunderttausende Menschen betroffen

Zum Zeitpunkt des Angriffs verfügte South Staffordshire über personenbezogene Daten von rund 1,85 Millionen Kunden, darunter rund 750.000 aktuelle und 1,1 Millionen ehemalige Kunden sowie von 2.791 aktuellen und 2.298 ehemaligen Mitarbeitern.

Durch die Datenschutzverletzung wurden im August 2022 die persönlichen Daten von insgesamt 633.887 Personen im Darknet veröffentlicht. Dazu gehörten:

• Persönliche Informationen wie vollständiger Name, Wohnadresse, E-Mail-Adresse, Geburtsdatum, Geschlecht und Telefonnummer.
• Bei Mitarbeitern zusätzlich Personalinformationen, darunter Versicherungsnummern (National Insurance Numbers).
• Bei Kunden Kontodaten, einschließlich Benutzername und Passwort für die Online-Dienste von South Staffordshire Water, sowie Bankkontonummern und Bankleitzahlen.

Besonders kritisch war laut ICO, dass bei einigen Kunden aus dem sogenannten „Priority Services Register“ sogar Rückschlüsse auf gesundheitliche Einschränkungen oder Behinderungen möglich waren.

Massive Sicherheitsmängel festgestellt

Die Datenschutzbehörde wirft dem Unternehmen erhebliche Versäumnisse bei der IT-Sicherheit vor. Die Untersuchung ergab, dass South Staffordshire keine angemessenen Sicherheitsmaßnahmen umgesetzt hatte, wie sie nach britischem Datenschutzrecht vorgeschrieben sind.

So hätten unzureichende Schutzmaßnahmen den Hackern ermöglicht, ihre Zugriffsrechte innerhalb des Netzwerks auszuweiten. Darüber hinaus seien lediglich fünf Prozent der gesamten IT-Umgebung überwacht worden. Dadurch blieb die verdächtige Aktivität über lange Zeit unentdeckt.

Zu den festgestellten Mängeln gehörten:

• Unzureichende Sicherheitskontrollen ermöglichten es den Angreifern, nach dem ersten Zugriff auf das Netzwerk Administratorrechte zu erlangen.
• Fehlende Überwachung und Protokollierung: Nur etwa fünf Prozent der gesamten IT-Umgebung wurden überwacht, wodurch verdächtige Aktivitäten unentdeckt blieben.
• Einsatz veralteter und nicht mehr unterstützter Software auf einigen Systemen, darunter Windows Server 2003.
• Mangelhaftes Schwachstellenmanagement, einschließlich ungepatchter kritischer Systeme und fehlender regelmäßiger interner sowie externer Sicherheitsprüfungen.

Ian Hulme von der ICO erklärte, Unternehmen der kritischen Infrastruktur müssten besonders sorgfältig mit personenbezogenen Daten umgehen. Kunden hätten keine Wahl, welchem Wasserversorger sie ihre Daten anvertrauen. Deshalb sei ein hohes Sicherheitsniveau verpflichtend.

Er betonte zudem, dass es nicht akzeptabel sei, Sicherheitsverletzungen erst durch Systemprobleme oder Lösegeldforderungen zu entdecken. Präventive Sicherheitsmaßnahmen seien keine freiwillige Zusatzleistung, sondern gesetzlich vorgeschrieben.

Ähnlicher Beitrag: Britischer Wasserversorger Southern Water: Ransomware-Angriff verursachte Kosten in Höhe von 4,5 Millionen Pfund

Strafe wegen Kooperation reduziert

Ursprünglich sollte die Geldstrafe deutlich höher ausfallen. Die Behörde reduzierte den Betrag jedoch um 40 Prozent, nachdem South Staffordshire frühzeitig Verantwortung übernommen, mit den Ermittlern kooperiert und auf einen Einspruch verzichtet hatte.

Die ICO sieht den Fall nun auch als Warnung für andere Unternehmen. Organisationen sollten ihre Cyberabwehr dringend überprüfen, insbesondere beim Schutz sensibler Zugriffsrechte, der Netzwerküberwachung und dem Einsatz aktueller Software.