{"id":231694,"date":"2020-05-14T13:12:08","date_gmt":"2020-05-14T11:12:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231694"},"modified":"2021-02-24T08:39:10","modified_gmt":"2021-02-24T07:39:10","slug":"neues-zum-ransomware-angriff-auf-ludwigshafener-versorger","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/14\/neues-zum-ransomware-angriff-auf-ludwigshafener-versorger\/","title":{"rendered":"Neues zum Ransomware-Angriff auf Ludwigshafener Versorger"},"content":{"rendered":"

[English<\/a>]Es sind neue Informationen zum Angriff per Clop-Ransomware auf den\u00a0 Energieversorger von Ludwigshafen, die Technische Werke Ludwigshafen (TWL), bekannt geworden. Beim dem Ransomware-Angriff sind Kundendaten gestohlen und jetzt ver\u00f6ffentlicht worden.<\/p>\n

<\/p>\n

Der Angriff auf den Energieversorger Technische Werke Ludwigshafen (TWL) fand bereits am 20. April 2020 statt. Ich im Blog im Beitrag im Blog-Beitrag Sicherheitsmeldungen 5. Mai 2020<\/a> berichtet. Und Anfang der Woche habe ich im Blog-Beitrag Clop Ransomware bei Technische Werke Ludwigshafen<\/a> offen gelegt, dass es ein Ransomware-Angriff der Clop-Gruppe war und dass diese erbeutete Daten ver\u00f6ffentlichte. Zu diesem Zeitpunkt gab es von TWL noch keine diesbez\u00fcglichen Informationen \u2013 aber die Informationswege funktionieren. Meine Redakteurin bei heise informierte mich per Mail \u00fcber neue Informationen \u2013 und es gibt inzwischen diesen Artikel<\/a> bei heise.<\/p>\n

Hintergrundinformation: Die TWL versorgen rund 100.000 Haushalte in Ludwigshafen und im gesamten Bundesgebiet mit Energie und Trinkwasser. In meinen Augen also ein kleinerer Energieversorger.<\/p><\/blockquote>\n

Der Energieversorger wurde erpresst<\/h2>\n

In einer Pressemitteilung schreibt das Unternehmen nun, dass man 'Aufgrund der forensischen Untersuchungen, der Arbeiten an der Gefahrenabwehr und der Ermittlungen der Strafverfolgungsbeh\u00f6rden war das Unternehmen bis zum 11. Mai 2020 angehalten, keine Details zum Sicherheitsvorfall zu ver\u00f6ffentlichen.'<\/p>\n

Zu den Details stellt sich der Vorgang inzwischen so dar. Am 20. April wurde von TWL ein Cyber-Angriff entdeckt. Der Versorger schreibt, dass man gesehen habe, dass Kriminelle Daten von den Systemen stehlen. Es wurden umgehend Ma\u00dfnahmen eingeleitet, um den weiteren Datendiebstahl zu stoppen.<\/p>\n

Weiterhin schreibt man: Leider konnten trotzdem \u00fcber 500 GB an Daten erfolgreich gestohlen werden. Inzwischen ist dem Unternehmen bekannt, dass der Erstzugriff der Kriminellen Mitte Februar \u00fcber einen infizierten E-Mail-Anhang erfolgte, die von den technischen Abwehrsystemen nicht erkannt wurde.<\/p>\n

Nach der Entdeckung des Angriffs hat TWL, nach eigenen Aussagen, sofort das zust\u00e4ndige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI), eingeschaltet. Ermittlungen wurden aufgenommen und dauern noch an.<\/p>\n

Die zust\u00e4ndige Landesdatenschutzbeh\u00f6rde wurde von dem Vorfall in Kenntnis gesetzt. Ein externes Unternehmen f\u00fcr IT-Sicherheit wurde mit der forensischen Untersuchung und Abwehr des Vorfalls beauftragt. Eine Verschl\u00fcsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik konnten erfolgreich verhindert werden. Die Versorgung der Stadt Ludwigshafen war und ist deshalb nicht gef\u00e4hrdet.<\/p>\n

Die bittere Wahrheit: Angreifer \u00fcber Wochen aktiv<\/h2>\n

Die bittere Wahrheit hinter dem Vorfall sieht anders aus, wie aus den weiteren Einlassungen des Versorgers hervor geht. Zitat:<\/p>\n

In den darauffolgenden Wochen schafften es die Kriminellen trotz zahlreicher Sicherheitsvorkehrungen, sich unerkannt im Netzwerk von TWL auszubreiten.<\/p><\/blockquote>\n

Es liegen zwar keine genauen Details \u00fcber den Angriff vor. Ist aber auch egal: Wenn die Angreifer \u00fcber Wochen unerkannt im Netzwerk unterwegs waren, hatten diese vermutlich Zugriff auf den gesamten Datenbestand. Ich tippe darauf, dass der IT irgendwann ungew\u00f6hnliche Netzwerkverbindungen aufgefallen sind, so dass man erst dann reagieren konnte. Zu diesem Zeitpunkt war das Kind aber schon in den Brunnen gefallen.<\/p>\n

L\u00f6segeldforderung in Millionen-H\u00f6he<\/h2>\n

Am 30. April 2020 hat die Hackergruppe Kontakt dann zum Versorger TWL aufgenommen und versucht, L\u00f6segeld im zweistelligen Millionenbereich zu erpressen. Gedroht wurde mit der Ver\u00f6ffentlichung der gestohlenen Daten. Wie ich bereits berichtete, befinden sich unter den erbeuteten Daten auch Kundeninformationen (Name, E-Mail, Konto etc.).<\/p>\n

Die Leitung der Technische Werke Ludwigshafen (TWL) ist dieser Forderung der Erpresser nicht nachgekommen, 'da man keine Gesch\u00e4fte mit Kriminellen mache' und die Gefahr sah, dass die Daten trotzdem weitergegeben werden. Die Folgen sind nat\u00fcrlich auch absehbar gewesen.<\/p>\n

Seit dem 11. Mai 2020 werden die Kunden des Unternehmens von den Kriminellen per E-Mail angeschrieben, in denen diese TWL mangelnde Kooperation und Fehlverhalten vorwerfen, um weiteren Druck auf das Unternehmen auszu\u00fcben. Parallel haben die T\u00e4ter angefangen, die gestohlenen Daten im Darknet zu ver\u00f6ffentlichen.<\/p>\n

Zu den im Darknet ver\u00f6ffentlichten Daten z\u00e4hlen nach aktuellem Stand personenbezogene Daten wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gew\u00e4hlten Tarif und, sollte TWL eine Einzugserm\u00e4chtigung erteilt worden sein, die Bankverbindung. Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Gesch\u00e4ftspartner betroffen sind.<\/p>\n

Der Versorger weist seine Kunden darauf hin, dass durch den Angriff die Gefahr besteht, dass Kriminelle die erbeuteten Daten f\u00fcr weitere Straftaten missbrauchen k\u00f6nnen. Dazu z\u00e4hlen zum Beispiel:<\/p>\n