Das britische Unternehmen South Staffordshire Water wurde zum mahnendem Beispiel für unzureichende Cybersicherheit in kritischen Infrastrukturen. Im September 2020 öffnete ein Mitarbeiter eine bösartige E-Mail-Anlage – der Anfang eines Albtraums, der sich über 22 Monate hinziehen sollte. Der unbekannte Angreifer installierte Malware und erhielt damit Zugang zu den Unternehmensnetzen. Doch statt schnell entdeckt zu werden, blieb die Präsenz völlig unbemerkt.
Est war nicht bis Mai 2022, dass der Hacker begann, lateral durch die Systeme zu navigieren – ausgerüstet mit einem Domain-Admin-Konto, der höchsten Zugriffsstufe. South Staffordshire bemerkte die Intrusion erst im Juli 2022, als IT-Performance-Probleme eine interne Untersuchung auslösten. Zwei Wochen später fand das Unternehmen einen Erpressungsbrief, den der Angreifer verteilte.
Die Bilanz war verheerend: 633.887 Kunden und Mitarbeiter waren betroffen. Cl0p veröffentlichte etwa 4,1 Terabyte Daten im Dark Web – Namen, Adressen, Geburtsdaten, Bankkonten, Versicherungsnummern und für vulnerable Patienten Informationen über Behinderungen.
Die ICO-Untersuchung identifizierte vier kritische Versäumnisse: Das Unternehmen hatte das Prinzip der geringsten Berechtigung (Least Privilege) nicht umgesetzt. Ein von einem Drittanbieter betriebenes Security Operations Center überwachte im Dezember 2021 nur 5 Prozent der IT-Infrastruktur. Manche Server liefen noch auf Windows Server 2003 – ein Betriebssystem, dessen Support 2015 endete. Besonders gravierend: Die ZeroLogon-Schwachstelle (CVE-2020-1472) aus August 2020 war nie gepatcht worden – genau die Lücke, die der Angreifer zur Privilege Escalation nutzte.
Von September 2020 bis Mai 2022 führte das Unternehmen nach eigener Aussage keine Vulnerability Scans durch – weder intern noch extern. “Auf Performance-Probleme oder Erpressungsbriefe zu warten, um eine Verletzung zu entdecken, ist nicht akzeptabel”, kritisierte Ian Hulme vom ICO.
Die 963.900-Pfund-Strafe wurde durch Zusammenarbeit, frühe Schuldeingeständnis und Minderungsmaßnahmen um 40 Prozent reduziert. Doch der Fall wirft ein Licht auf systematische Schwächen. In Großbritannien wurden zwischen Januar 2024 und Oktober 2025 fünf Cyberangriffe auf Wasserversorger gemeldet – ein Rekord. Die geplante britische “Cyber Security and Resilience Bill” soll Meldepflichten ausweiten und Standards für kritische Infrastrukturen verschärfen.
Für Deutschland relevant: Das BSI und BfDI sollten ähnliche Defizite bei deutschen Wasserversorgern und anderen Kritischen Infrastrukturen ernst nehmen. DSGVO-Verstöße können Geldstrafen bis 4 Prozent des Jahresumsatzes bedeuten.