Kundendaten kursieren im Darknet

Cyber-Angriff auf Energieversorger – Sind russische Hacker die Täter?

Ein Cyber-Angriff legt Mitte Juni Kundenportale und IT-Systeme eines großen Energieversorgers und mehrerer Unternehmen im  Rhein-Main-Gebiet lahm. Nun stellt sich heraus: Die Kriminellen haben noch mehr Schaden angerichtet. 

Mit sogenannter Ransomware legen Hacker die Computersysteme ihrer Opfer lahm und versuchen Sie, damit zu erpressen.

Darmstadt (dpa) – Der Cyber-Angriff auf ein Tochterunternehmen des Energieversorgers Entega zieht weitere Kreise. Die Kriminellen klauten auch zahlreiche Daten, die sie nun im Darknet veröffentlicht haben.
Dazu wichtige Fragen und Antworten:

Wer ist von der Datenveröffentlichung betroffen?  
Vermutlich ein sehr großer Teil der Entega-Kunden, aber beispielsweise auch Kunden des Darmstädter Nahverkehrsunternehmens Heag mobilo. Eine genaue Zahl steht bislang nicht fest. Allein Entega hatte Ende 2021 rund 700 000 Vertragskunden.

Welche Daten wurden im Darknet veröffentlicht?
Es handelt sich Entega zufolge um Adressen, Namen und Verbrauchsdaten von Kundinnen und Kunden, aber auch um persönliche Daten von Beschäftigten und Geschäftspartnern. In einem kleineren Teil der Fälle wurden Bankdaten wie zum Beispiel die IBAN veröffentlicht.

Was rät die Entega den Betroffenen, deren Bankdaten nun im Darknet aufgetaucht sind? 
Kunden, von denen Bankdaten veröffentlicht wurden, werden darüber per Brief informiert. Sie sollten ihre Bankkonten in nächster Zeit gut im Auge behalten und gegebenenfalls auch ihre Passwörter ändern. Betrügerische Überweisungen seien eigentlich nicht möglich, da beim Online-Banking Überweisungen immer auf zwei unterschiedlichen Wegen freigegeben werden müssen, heißt es.

Was ist, wenn «nur» Adressdaten veröffentlicht wurden? 
Auch wer nicht vom Bankdatenklau betroffen ist, sollte laut Entega aufmerksam sein, wenn nun verdächtige Briefe, Mails oder Anrufe eingehen. Es könnte außerdem sein, dass unerwünschte Bestellungen ankämen. Daher rät die Entega, nur solche Pakete anzunehmen, bei denen sicher sei, dass sie auch bestellt wurden. Sämtliche Passwörter für die Kundenportale wurden zurückgesetzt und müssen bei einem neuerliche Login geändert werden.

Was war eigentlich passiert? 
Cyberkriminelle hatten Mitte Juni den Dienstleister «Count and Care» angegriffen. Bei der Firma mit Sitz in Darmstadt handelt es sich um ein Tochterunternehmen des Energieversorgers Entega. Bei «Count and Care» können beispielsweise Gas- und Stromkunden ihre Zählerstände melden. Das Unternehmen bietet aber auch IT-Dienste an. Auch die Frankfurter Entsorgungs- und Service-Gruppe (FES) des Darmstädter Verkehrsunternehmens Heag und die Mainzer Stadtwerke samt ihres Verkehrsunternehmens MVG zählen zu den Kunden.

Wer steckt hinter dem Cyber-Angriff? 
Dazu ist bislang wenig bekannt. Nach dpa-Informationen gehen das betroffene Unternehmen und die Ermittler inzwischen von einem gut organisierten Angriff einer russischen Gruppe aus. Und davon, dass das eigentliche Ziel die sogenannte kritische Infrastruktur war – das sind etwa die Netze zur Strom-, Wasser-, oder Gasversorgung. Diese waren nach Angaben der Entega aber nicht von dem Cyber-Angriff betroffen.

Das Bundesamt für Sicherheit in der Informationstechnik und der Verfassungsschutz haben deutsche Unternehmen seit dem Beginn des russischen Angriffskriegs auf die Ukraine mehrfach zu besonderer Wachsamkeit aufgerufen. (e110 berichtete).  Bislang wurden aber keine großen von Russland gesteuerten Angriffe auf Unternehmen der sogenannten «Kritischen Infrastruktur» festgestellt. Dazu zählen zum Beispiel Stromversorger oder Wasserwerke.

Was ist das Darknet?  
Es ist ein abgeschirmter Bereich des Internets, der große Anonymität ermöglicht. Der Zugang ist nur über einen speziellen Browser möglich. Immer wieder gelingt es Ermittlern, illegale Marktplätze für Drogen oder Waffen abzuschalten. Im Darknet tummeln sich aber nicht nur Kriminelle, die illegale Geschäfte machen wollen. Menschen, die in autoritär regierten Staaten leben, haben darüber beispielsweise die Möglichkeit, sich frei zu äußern oder mit Journalisten Kontakt aufzunehmen.

Wie ging der Angriff auf «Count and Care» vonstatten? 
Mit einer Ransomware, das ist ein Schadprogramm, gelang es den Kriminellen, in das IT-System einzudringen. Unter welchen Umständen das möglich war, ist bisher nicht bekannt. Das Programm verschlüsselt anschließend Computer, auf die dann nicht mehr zugegriffen werden kann. Für die Entschlüsselung wird meist ein Lösegeld verlangt. Wird nicht bezahlt, muss die IT in einem langwierigen Prozess komplett neu aufgesetzt werden – wie auch im Fall «Count and Care».

Was waren die Folgen? 
Tausende Beschäftigte der betroffenen Unternehmen konnten ihre Mailkonten nicht mehr nutzen, Kundenportale und Homepages waren wochenlang offline. In Mainz und Darmstadt war durch den Ausfall von IT-Systemen auch der Nahverkehr beeinträchtigt – es kam zu Verspätungen und Ausfällen, zeitweise konnten in Kundenzentren keine Fahrkarten mehr gekauft werden. Inzwischen sind laut Entega fast alle Schäden wieder behoben.

Symbolfoto:  Lino Mirgeler / dpa

21.07.22 wel