Die Cyberkriminellen, die im Juni 2022 den in Darmstadt beheimateten hessischen Energieversorger Entega (Gas, Strom, Wasser), bzw. dessen IT-Dienstleister, erfolgreich angriffen, haben jetzt erbeutete persönliche Daten veröffentlicht. Es betrifft Daten von Kunden und Mitarbeitern. Hier ein kurzer Überblick, was bekannt ist.
Anzeige
Der Cyberangriff auf Entega
Ich hatte Anfang Juni 2022 im Blog-Beitrag Energieversorger ENTEGA AG von Cyberangriff betroffen ja berichtet, dass der in Darmstadt ansässige regionale Energieversorger Entega Opfer eines Cyberangriffs wurde. Die Webseite des Unternehmens und diverse interne IT-Systeme waren beeinträchtigt. Der Angriff hatte wohl keine Auswirkungen auf die Energieversorgung mit Strom, Wasser, Gas etc., da die IT-Systeme der kritischen Infrastrukturen separat von den kaufmännischen Systemen gehalten wird.
In der damaligen Stellungnahme der Entega hießt es, dass "nach bisherigen Kenntnissen", keine Kundendaten von diesem Vorfall betroffen seien. Später stellte sich heraus, dass ein IT-Dienstleister (IT-Service von HEAG), der für Entega tätig ist, erfolgreich angegriffen wurde. Daher waren auch andere kommunale Betriebe wie der FES (Frankfurter Entsorgungsbetrieb) und die Mainzer Stadtwerke betroffen.
Erpresser stellen Daten online
Sinn und Zweck des Cyberangriffs auf den IT-Dienstleister mit Ransomware war es, Lösegeld zu erpressen. Dazu wurden wohl auch Daten von den infizierten Systemen abgezogen. Typischerweise drohen die Cyberkriminellen dann mit der Veröffentlichung von vertraulichen Daten. Im aktuellen Fall hat man wohl kein Lösegeld gezahlt, so dass die Daten von den Cyberkriminellen veröffentlicht wurden. Blog-Leser Heiko A. hat mir den entsprechenden Hinweis zukommen lassen (danke dafür).
Die Entega informiert in einer Meldung, dass Cyberkriminelle am zweiten Juniwochenende die ENTEGA IT-Tochter COUNT+CARE GmbH & Co. KG angegriffen hatten. Dabei wurden dann persönliche Daten von ENTEGA-Kundinnen und Kunden, Mitarbeiterinnen und Mitarbeitern sowie Geschäftspartnern abgezogen und nun im Darknet veröffentlicht. Bei einigen Kundinnen und Kunden wurde auch die Bankverbindung veröffentlicht. Diese Betroffenen werden von ENTEGA individuell informiert.
Anzeige
War noch in der oben zitierten ersten Stellungnahme davon ausgegangen worden, dass keine Kundendaten erbeutet wurden, sieht es jetzt anders aus. Entega schreibt:
Nach derzeitigem Kenntnisstand betrifft die kriminelle Veröffentlichung der Daten sehr viele Kundinnen und Kunden der ENTEGA und ihrer Tochterunternehmen, deren Namen, Anschriften und Verbrauchsdaten betroffen sind.
Wir werden umgehend auf unseren Webseiten alle Informationen zu dem kriminellen Angriff und seinen Folgen bereitstellen
Das ist natürlich der absolute GAU, und der Unternehmensprecher meint "Wir bedauern diesen Vorfall sehr. Gemeinsam mit den Ermittlungsbehörden haben wir seit Beginn des kriminellen Angriffs alles dazu beigetragen, den Vorfall aufzuklären und die betroffenen Systeme schnell wieder funktionsfähig zu machen. Aber derzeit wird wohl weiterhin mit Hochdruck ausgewertet, welche Daten genau gestohlen wurden. "
ENTEGA bittet insbesondere diese Kundinnen und Kunden, regelmäßig ihre Bankkonten zu überprüfen und ggf. die beim Onlinebanking genutzten Passwörter zu wechseln. Das Unternehmen weist aber darauf hin, dass aufgrund der europaweit bindenden Zwei-Faktor-Authentifizierung beim Online-Banking die Gefahr unberechtigter Überweisungen gering ist.
Auch bei den weiteren Betroffenen gibt es die Gefahr einer kriminellen Nutzung der Daten. So könnte es im Einzelfall vorkommen, dass Betroffene künftig vermehrt Spam-Mails oder unerwünschte Werbeanrufe erhalten. Zudem könnten die Adressdaten für unerwünschte Bestellungen im Internet genutzt werden. Es sollten grundsätzlich nur Pakete angenommen werden, bei denen sichergestellt werden kann, dass sie auch tatsächlich bestellt wurden.
Unter https://www.entega.de/hackerangriff informiert ENTEGA ausführlich zu den Folgen des kriminellen Angriffs. Zudem können betroffene Kundinnen und Kunden das Unternehmen unter der kostenfreien Rufnummer 0800-04 80 48 055 persönlich erreichen.
Anzeige
Ich arbeite in der Energiewirtschaft bei einem mittelgroßen Netzbetreiber in NRW. Bei uns ist ENTEGA natürlich auch aktiv dabei Kunden mit Gas und Strom zu versorgen.
In Deutschland wird das ja über die sog. Marktkommunikation mittels Festlegungen der BNetzA (GPKE und GeLi Gas) reguliert/gesteuert.
ENTEGA hatte uns ca. 5 Tage nach dem "Hackerangriff" informiert, dass es da einen Vorfall gegeben hat. 1 1/2 oder 2 Wochen nach der ersten Information, erfolgte die "Entwarnung", dass man jetzt wieder erreichbar sei usw.
Die BNetzA hat festgelegt, dass die Marktkommunikation ausschließlich verschlüsselt erfolgen darf. Entweder auf dem Standardverfahren per E-Mail mit S/MIME-Zertifikat (RSASSA-PSS und RSAES-OAEP) oder per AS2 (auf Basis eines Steckbriefs mit Zertifikat).
Dreimal darf man jetzt raten was ENTEGA bis heute nicht ausgetauscht hat. Die Zertifikate.
Und das ist ja lächerlich wenig Aufwand kaum zu überbieten, da bei S/MIME einfach bei der Root-CA das Zertifikat zurückgezogen und neues beantragt wird.
Konnte meine Vorgesetzen bis jetzt leider nicht davon überzeugen mit ENTEGA diese Marktkommunikation nicht mehr zu vollziehen, obwohl ich glaubhaft rüberbringen konnte, dass deren Zertifikate verbrannt sind und wir nicht wirklich sicherstellen können, dass das was vermeintlich von ENTEGA per EDIFACT an uns übermittelt wird, auch wirklich von ENTEGA kommt.
Mal schauen ob sich an der Auffassung jetzt was ändert.
Wie so oft, so auch bei ENTEGA:
1) Sensibilisierungsproblem der Mitarbeiter, kann man nichts machen.
2) Vorgesetzte ohne Plan weil null Kenntnisse der digitalen Welt.
und so weiter und so fort…
Ein bissel inflationär hier, mit "kriminell".
Hier ist nur einer kriminell und zwar Entega. Wer ungeschützte Server ans Internet hängt, der haftet auch. Von wegen phöses Internet, nee, unfähige Unternehmen.
Ziemliche Minderheitenmeinung und dazu noch falsch! Ein Angriff eines Dritten auf eine IT-Infrastruktur, mit dem Ziel, Lösegeld zu erpressen, ist kriminell, und das wird hier auch so benannt. Wenn Daten für Phishing & Co. missbraucht werden, ist das ebenfalls kriminell – Punkt.
Und deine Theorie, dass der Anbieter Entega kriminell sei, ist Schmonsense. Es dürfte maximal ein DSGVO-Verstoß feststellbar sein. Was die Haftung betrifft: Wäre eine zivilrechtliche Angelegenheit zwischen einem Kunden, der einen nachweislichen Schaden erlitten hat, und dem Energieversorger.
Zu deiner Theorie bzgl. ungeschützte Server am Internet – da weißt Du mehr als ich. Deren IT-Dienstleister wurde – auf eine mir unbekannte Weise – kompromittiert.
Soweit sollte die Kirche im Dorf belassen werden. Dass jeder Cyber-Vorfall ein Vorfall zu viel ist, darüber sind wir uns einig.
Sorry, aber ich glaube nicht an einen "Angriff". Das ist, wie bei fast allen, ein Zufallstreffer. Wenn man sich ins Haifischbecken Internet begibt, muss man sich auch Adäquat schützen, oder man läßt es halt. Da gibt es auch keine Ausreden mehr.
Randbemerkung, das Eindringen in eine IT-Landschaft ist das eine, sich aber dann die Kundendaten entwenden zu lassen ist kriminell. Die haben grundsätzlich einem besonderen Schutz zu unterliegen. Das ist zwar ein wenig aufwändiger (verursacht halt Kosten), aber kein Hexenwerk.
Fazit, jede unsichere IT-Landschaft die Hops genommen wird, macht das Internet sicherer. ;-)
Ernsthaft? Das Opfer ist jetzt der Täter? (facepalm)