Britische Behörden haben gegen Southern Water eine Geldstrafe von 1,3 Millionen Pfund verhängt, nachdem ein Cyberangriff sensible personenbezogene Daten von rund 664.000 Kunden und Mitarbeitern offengelegt hatte.
Das Information Commissioner’s Office erklärte, dass das Unternehmen vor dem Angriff keine ausreichenden Cybersicherheitsmaßnahmen implementiert habe. Angreifer konnten dadurch in die Systeme eindringen und große Mengen sensibler Daten stehlen. Die Behörde betonte, dass Unternehmen mit Verantwortung für kritische Infrastruktur stärkere Maßnahmen zum Schutz sensibler Kundendaten ergreifen müssen.
Der Fall gilt als eine der bedeutendsten Datenschutzstrafen im britischen Versorgungssektor im Zusammenhang mit ransomwarebedingten Datenlecks.
Hacker stahlen Kunden- und Mitarbeiterdaten
Laut Ermittlern ereignete sich der Angriff im Jahr 2021, nachdem Bedrohungsakteure Zugriff auf die Systeme von Southern Water erhalten und vertrauliche Informationen exfiltriert hatten.
Die gestohlenen Daten erschienen später online, nachdem die Angreifer versucht hatten, das Unternehmen zu erpressen.
Die Behörden erklärten, dass die offengelegten Datensätze hochsensible Informationen über Kunden und Mitarbeiter enthielten. Je nach betroffener Person sollen die geleakten Daten unter anderem Folgendes umfasst haben:
- Vollständige Namen
- Geburtsdaten
- Wohnadressen
- Bankkontodaten
- Nationale Versicherungsnummern
- Mitarbeiterbezogene Unterlagen
Forscher warnen, dass Datenlecks mit finanziellen und identitätsbezogenen Informationen langfristige Betrugsrisiken für Betroffene schaffen können, selbst lange nach dem eigentlichen Angriff.
Das ICO erklärte außerdem, dass Southern Water vor dem Vorfall keine ausreichenden Überwachungssysteme, Zugriffskontrollen und Schutzmaßnahmen für das Schwachstellenmanagement implementiert hatte.
Behörden kritisieren Sicherheitsmängel
Das Information Commissioner’s Office erklärte, dass Organisationen mit großen Mengen personenbezogener Daten verpflichtet sind, starke Cybersicherheitsmaßnahmen aufrechtzuerhalten.
Die Ermittler kamen zu dem Schluss, dass die Sicherheitsmängel bei Southern Water die Auswirkungen des Angriffs verschärften und sensible Informationen unnötig offenlegten.
Forscher erklären, dass Versorgungsunternehmen weiterhin attraktive Ziele für Ransomwaregruppen bleiben, da sie kritische Infrastruktur betreiben und wertvolle Kundendaten speichern. Angreifer betrachten diese Organisationen häufig als besonders anfällig während Erpressungsversuchen, weil Betriebsunterbrechungen erheblichen Druck erzeugen können.
Sicherheitsanalysten weisen außerdem darauf hin, dass viele Infrastrukturbetreiber weiterhin auf komplexe Altsysteme angewiesen sind, die sich nur schwer wirksam absichern lassen.
Der Fall spiegelt zugleich den wachsenden regulatorischen Druck in Großbritannien und Europa wider, wo Behörden zunehmend erwarten, dass Unternehmen ihre Cyberresilienz stärken, bevor Sicherheitsvorfälle auftreten.
Ransomwaregruppen greifen weiterhin kritische Infrastruktur an
Forscher warnen, dass Ransomwareangriffe auf Betreiber kritischer Infrastruktur weltweit weiter zunehmen.
Moderne Ransomwareoperationen setzen häufig auf doppelte Erpressung, bei der Angreifer zunächst sensible Daten stehlen und erst anschließend Systeme verschlüsseln. Dadurch können Cyberkriminelle mit der Veröffentlichung gestohlener Daten drohen, selbst wenn Opfer ihre Systeme über Backups wiederherstellen.
Wasserversorger, Gesundheitseinrichtungen, Telekommunikationsunternehmen und Energieversorger bleiben häufige Ziele, weil Störungen große Teile der Bevölkerung betreffen und erheblichen finanziellen Druck erzeugen können.
Sicherheitsexperten erklären, dass Organisationen mit Verantwortung für essenzielle Dienstleistungen folgende Maßnahmen priorisieren sollten:
- Multi-Faktor-Authentifizierung
- Netzwerksegmentierung
- Kontinuierliche Bedrohungsüberwachung
- Stärkere Zugriffskontrollen
- Effektives Patch-Management
- Incident-Response-Planung
Forscher warnen außerdem, dass die Offenlegung von Kundendaten das öffentliche Vertrauen noch lange nach der Wiederherstellung der Systeme beschädigen kann.
Fazit
Die Geldstrafe von 1,3 Millionen Pfund gegen Southern Water zeigt die zunehmenden Konsequenzen, mit denen Unternehmen nach großen Vorfällen mit offengelegten Kundendaten rechnen müssen.
Die Behörden erklärten, dass das Unternehmen vor dem Angriff keine ausreichenden Schutzmaßnahmen implementiert hatte, bevor Hacker sensible Informationen von 664.000 Personen stahlen. Forscher erwarten, dass Behörden den Druck auf Betreiber kritischer Infrastruktur weiter erhöhen werden, da Ransomwareangriffe und großflächige Datenlecks immer häufiger auftreten.
0 Kommentare zu „Britischer Wasserversorger erhält Geldstrafe nach Offenlegung von Kundendaten“