DatenschutzHackerangriffeCyberkriminalität

Britischer Wasserversorger zahlt 1,3 Millionen Dollar Geldbuße nach Datenpanne mit 664.000 betroffenen Kunden

Von CyberDeutsch Redaktion
Britischer Wasserversorger zahlt 1,3 Millionen Dollar Geldbuße nach Datenpanne mit 664.000 betroffenen Kunden
Zusammenfassung

Britischer Wasseversorger zahlt Geldbuße für massive Datenpanne mit fast 664.000 Betroffenen Die britische Regulierungsbehörde Information Commissioner's Office (ICO) hat den Wasseversorger South Staffordshire Water Plc und dessen Mutterkonzern mit knapp einer Million Pfund Sterling (etwa 1,3 Millionen Dollar) gebußgelt. Grund ist ein Cyberangriff aus dem Jahr 2020, durch den persönliche Daten von fast 664.000 Kunden und Mitarbeitern offengelegt wurden. Das Unternehmen versorgt täglich 1,6 Millionen Verbraucher mit Trinkwasser und hatte zunächst die Verantwortlichkeit der Cl0p-Ransomware-Gruppe abgestritten. Die ICO-Ermittlungen bestätigten jedoch, dass die gestohlenen Daten authentisch waren und über 20 Monate unentdeckt blieben. Der Angriff begann bereits im September 2020, eskalierte aber zwischen Mai und Juli 2022 erheblich. Die Geldbuße verdeutlicht gravierende Sicherheitsmängel: Ein Phishing-Angriff ermöglichte Hackern die Installation von Malware, die Administratorzugriff auf das gesamte Netzwerk verschaffte. Für deutsche Unternehmen und Behörden ist dieser Fall ein warnendes Beispiel für die Konsequenzen unzureichender Cybersicherheitsmaßnahmen und zeigt, wie lange Angreifer unbemerkt in Systemen verweilen können, besonders in kritischen Infrastrukturen wie der Wasserversorgung.

Die britische Aufsichtsbehörde für Datenschutz hat South Staffordshire Water und die Muttergesellschaft South Staffordshire Plc zur Zahlung von 963.900 Pfund Sterling verurteilt. Der Grund: ein schwerwiegender Cyberangriff, der die Daten von über 663.000 Menschen gefährdete.

Die Attacke lässt sich bis September 2020 zurückverfolgen, wobei der Hauptteil des Angriffs zwischen Mai und Juli 2022 stattfand. Wie die ICO ermittelte, gelangten Angreifer durch eine Phishing-Attacke auf die Systeme des Unternehmens und installierten Malware — die unbemerkt 20 Monate lang aktiv blieb. Erst als IT-Performance-Probleme eine Untersuchung auslösten, wurde die Sicherheitsverletzung im Juli 2022 entdeckt.

Die Angreifer eskallierten Berechtigungen im Netzwerk und erlangten schließlich Domain-Administrator-Zugriff. Die geleakte Datenbank war umfangreich: Vollständige Namen, physische Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Kundenkonto-Zugangsdaten, Bankverbindungen sowie Personalverwaltungsdaten wie National-Insurance-Nummern wurden offengelegt.

Eine Ransomware-Gruppe namens Cl0p beanspruchte anfangs die Verantwortung, wurde aber von South Staffordshire abgewiesen — bis die ICO-Ermittlungen bestätigten, dass die geleakten Daten tatsächlich echt waren und dem Unternehmen gehörten.

Die ICO identifizierte mehrere kritische Sicherheitsmängel: unzureichende Netzwerksegmentierung, fehlende oder schwache Endgeräteschutzmaßnahmen, unvollständige Sicherheitsüberwachung und mangelnde Incident-Response-Verfahren. Diese Versäumnisse verstießen gegen britische Datenschutzstandards und gefährdeten Millionen von Menschen.

Die ursprüngliche Geldbuße war höher, wurde aber um 40 Prozent reduziert, weil South Staffordshire frühzeitig Verantwortung übernahm, bei der Untersuchung kooperierte und eine außergerichtliche Einigung akzeptierte. Für deutsche Unternehmen gilt: Das BSI und der Bundesbeauftragte für Datenschutz (BfDI) beobachten solche Fälle genau. Kritische Infrastrukturen wie Wasser-, Energie- und Telekommunikationsversorger müssen erhöhte Sicherheitsstandards erfüllen — Versäumnisse können zu DSGVO-Bußgeldern bis zur vierfachen Jahresumsatz führen.

Ähnliche Artikel