Laut dem Bußgeldbescheid verhielten sich die Angreifer nach dem Erstzugang im September 2020 zunächst unauffällig. Erst im Mai 2022 begannen sie, sich über ein Domänen-Administratorkonto – die höchste verfügbare Zugriffsebene – seitlich durch die Systeme zu bewegen. Das Unternehmen erkannte den Einbruch nach Darstellung der ICO erst im Juli 2022, als IT-Leistungsprobleme eine interne Untersuchung auslösten. Zwei Wochen später stieß man auf eine Lösegeldforderung, die der Angreifer erfolglos an bestimmte Beschäftigte zu verteilen versucht hatte.

Im Nachgang stellte South Staffordshire fest, dass rund 4,1 Terabyte an Daten im Darknet veröffentlicht worden waren. Darunter befanden sich Namen, Adressen, Geburtsdaten, Bankkontonummern und Bankleitzahlen, Sozialversicherungsnummern sowie – bei einem kleinen Teil der im Priority Services Register geführten Kunden – Angaben, aus denen sich Behinderungen ableiten ließen.

Die Untersuchung der ICO benannte vier konkrete Sicherheitsmängel. Dazu zählte die fehlende Umsetzung des Prinzips der minimalen Rechtevergabe, das den Zugriff auf das für die jeweilige Rolle Notwendige beschränkt; dadurch konnte sich der Angreifer über ein Domänen-Administratorkonto frei im Netz bewegen. Zum Dezember 2021 – mehr als ein Jahr nach dem Erstzugriff – überwachte ein ausgelagertes Security Operations Center nur fünf Prozent der IT-Umgebung; Endpunkt-Telemetrie und Protokolldaten waren nicht in die Sicherheitsüberwachung eingebunden. Der Dienstleister wurde im Bericht nicht genannt.

Einige Geräte liefen zudem noch unter Windows Server 2003, dessen erweiterter Support bereits im Juli 2015 endete. Auf Nachfrage der ICO bestätigte das Unternehmen, dass zwischen September 2020 und Mai 2022 weder interne noch externe Schwachstellen-Scans durchgeführt worden waren. Zwei Domänencontroller waren überdies nicht gegen die kritische Schwachstelle ZeroLogon gepatcht, die eine schnelle Rechteausweitung ermöglicht und erstmals im August 2020 veröffentlicht wurde; der Angreifer nutzte sie während des Vorfalls erfolgreich aus.

„Darauf zu warten, dass Leistungsprobleme oder eine Lösegeldforderung einen Einbruch aufdecken, ist nicht hinnehmbar“, sagte Ian Hulme, kommissarischer Direktor für Aufsicht bei der ICO. Proaktive Sicherheit sei „eine gesetzliche Pflicht, kein optionaler Zusatz“.

Öffentlich wurde der Vorfall im August 2022 durch einen missglückten Erpressungsversuch: Die Cl0p-Gruppe behauptete, Daten beim anderen Versorger Thames Water gestohlen zu haben, der rund 15 Millionen Menschen im Großraum London versorgt. Die Gruppe gab zudem an, die chemische Zusammensetzung des Wassers verändern zu können – was South Staffordshire bestritt. Der Bußgeldbescheid nennt keine Kompromittierung von Betriebs- oder Wasseraufbereitungssystemen.

Die ICO minderte das Bußgeld wegen der Kooperation, des frühen Schuldeingeständnisses und der ergriffenen Gegenmaßnahmen; eine weitere Reduzierung ist im veröffentlichten Bescheid geschwärzt. Das Unternehmen schloss in diesem Jahr einen freiwilligen Vergleich mit 40 Prozent Nachlass und verzichtet auf Rechtsmittel.

Das Bußgeld fällt in eine Phase zunehmender Angriffe auf britische Wasserversorger. Zwischen Januar 2024 und Oktober 2025 wurden dem Drinking Water Inspectorate fünf Vorfälle gemeldet – laut Recorded Future News, das die Zahlen im November 2025 über das Informationsfreiheitsgesetz erhielt, ein Rekordwert für einen Zweijahreszeitraum. Diese Meldungen erfolgten freiwillig: Nach den geltenden NIS-Vorschriften müssen Versorger nur Vorfälle melden, die tatsächlich die Versorgung stören. Das Gesetz zu Cybersicherheit und Resilienz, das verpflichtende Meldungen ausweiten soll, soll in diesem Jahr ins Parlament eingebracht werden.