Hacker erpressen Technische Werke Ludwigshafen

TWL-Logo
Nun werden auch Kunden von den Hackern belästigt. (Quelle: TWL)

Nach einem Hackerangriff auf die Technischen Werke Ludwigshafen (TWL) haben Unbekannte dem Unternehmen eine Lösegeldforderung im zweistelligen Millionenbereich zukommen lassen. Das teilte der kommunale Versorger (unter anderem für Wasser und Strom) am Mittwoch in der pfälzischen Stadt mit. Nachdem TWL die Forderung abgelehnt habe, hätten die Täter die erbeuteten Daten im sogenannten Darknet veröffentlicht.

Parallel schrieben die Unbekannten demnach Kunden von TWL per E-Mail an und warfen dem Unternehmen mangelnde Kooperation und Fehlverhalten vor. Die Nachrichten sollten weiteren Druck auszuüben. Das Unternehmen habe das Dezernat Cybercrime des Landeskriminalamtes Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet.

Erfahrungsgemäß bietet auch die Zahlung des Lösegelds keine Sicherheit für die Opfer solcher sogenannter Ransomware-Attacken. In vielen Fällen wurden die Daten trotz Lösegeldzahlungen veröffentlicht. TWL ist ein kommunales Versorgungsunternehmen für Energie, Trinkwasser und Fernwärme und bedient rund 100.000 Haushalte.

500 Gigabyte Kundendaten kopiert

TWL hatte den Hackerangriff, der wohl Mitte Februar mit einem infizierten E-Mail-Anhang begann, Anfang Mai öffentlich gemacht, damals jedoch kaum Details genannt. Jetzt teilte das Unternehmen mit, dass bei der am 20. April entdeckten Attacke einer “unbekannten aber offenbar hochprofessionellen” Gruppe mehr als 500 Gigabyte Kundendaten sowie Mitarbeiter- und Geschäftsdaten abgeflossen seien.

“Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind”, teilte TWL mit. Es bestehe die Gefahr, dass die erbeuteten Daten für weitere Straftaten genutzt werden könnten – etwa für Identitätsdiebstahl und Phishing.

Israelis tweeten angebliche Details

Die israelische IT-Sicherheitsfirma Under the Breach weist auf Twitter auf einen Datensatz hin, der angeblich von TWL stammt. Als Beleg dienen Screenshots der Datenbank. Laut der Nachrichtenseite heise Security sind dort 18.471 E-Mail-Adressen und 36.411 Kundendatensätze hinterlegt.

Laut des Tweets handelt es sich bei der verwendeten Ransomware um die Software “Clop”. Gelangt das Programm auf den Rechner des Opfers, verschlüsselt es seine Daten und macht sie unzugänglich. Außerdem deaktiviert es das Windows-Sicherheits-Programm Windows Defender und entfernt Microsoft Security Essentials.

Eine offizielle Bestätigung, dass bei dem Angriff Clop zum Einsatz kam, gibt es nicht. Eine TWL-Sprecherin wollte sich gegenüber heise Security nicht zu dem Tweet äußern. (dpa / hcz)