FAQ zum Hackerangriff 2020

Am 20.04.2020 haben wir entdeckt, dass Kriminelle Daten von unseren Systemen stehlen, und umgehend Maßnahmen eingeleitet, um den weiteren Datendiebstahl zu stoppen. Nach Stand der Ermittlungen gehen wir davon aus, dass der Erstzugriff der Kriminellen Mitte Februar erfolgte. Am 30.04. erfolgte dann die erste Kontaktaufnahme der Kriminellen zur Anbahnung einer Lösegeldforderung in einem zweistelligen Millionenbereich.

Die Kriminellen sind hochprofessionell vorgegangen und haben alles unternommen, um möglichst lange unentdeckt zu bleiben.

Eine unabhängige Studie hat ergeben, dass es im Schnitt 197 Tage dauert, bis ein Datenverlust entdeckt wird (2018 Cost of Data Breach Study, Ponemon Institute LLC). Durch bereits vor dem Vorfall ergriffene Sicherheitsmaßnahmen konnte die TWL den Datenverlust deutlich schneller feststellen als in solchen Fällen üblich. Trotzdem arbeiten wir derzeit massiv daran, die Erkennung eines möglichen Angriffs weiter zu beschleunigen.

Ja. Wir haben die zuständigen Sicherheitsbehörden informiert, die sofort mit Ermittlungen begannen. Beteiligt sind: Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Darüber hinaus wurde die zuständige Landesdatenschutzbehörde umgehend über den Sicherheitsvorfall informiert.

Die Hacker haben sich über eine infizierte E-Mail-Anlage, die von den technischen Abwehrsystemen nicht erkannt wurde, Zugriff auf unsere IT-Systeme verschafft. Infolgedessen gelang es ihnen auch, Daten zu stehlen.

Die Forderung der Kriminellen bewegte sich im zweistelligen Millionenbereich.

Für uns war von Anfang an klar, dass wir keine Geschäfte mit Kriminellen machen und deren Machenschaften keinesfalls noch zusätzlich befeuern wollen. Ein Lösegeld wurde deshalb nicht gezahlt. Auch das LKA verweist darauf dass es selbst im Falle einer Lösegeldzahlung keine Garantie dafür gegeben hätte, dass die gestohlenen Daten nicht doch veröffentlicht würden.

Mit der Veröffentlichung der erbeuteten Daten.

Bei den Tätern handelt es sich nach Einschätzung des externen Cyber Security Unternehmens um eine hoch professionalisierte Hackergruppe, die normalerweise das Ziel verfolgt, IT-Systeme zu verschlüsseln, teilweise aber auch mit der Veröffentlichung von gestohlenen Daten droht.

Die Ermittlungen hierzu dauern noch an.

Aufgrund der forensischen Untersuchungen, der Arbeiten an der Gefahrenabwehr und aus ermittlungstaktischen Gründen der Strafverfolgungsbehörden waren wir bis zum 11.05.2020 angehalten, keine Details zum Sicherheitsvorfall zu veröffentlichen. Eine erste Pressemitteilung hatten wir bereits am 04.05.2020 veröffentlicht.

Solange im Internet gesurft wird und E-Mails empfangen werden, können Cyberangriffe nicht ausgeschlossen werden. Allerdings wird mit Hochdruck daran gearbeitet, die IT-Systeme der TWL bestmöglich abzusichern.

Wir informieren persönlich alle Betroffenen. Auf unserer Webseite werden wir für betroffene Kunden ab dem 14.05. Informationen zu möglichen Risiken und dem Umgang damit veröffentlichen und laufend aktualisieren. Gleichzeitig arbeiten wir eng mit den zuständigen Behörden zusammen und unterstützen die laufenden Ermittlungen durch IT-Forensik. Mit externen Spezialisten überarbeiten wir unser Cyber Security Konzept und werden noch größere Investitionen in die Cyber Security tätigen.

Für Ihre Rückfragen stehen wir Ihnen unter folgenden Kontaktdaten gerne zur Verfügung: kundenservice@twl.de oder telefonisch unter 0800 1122700. Auf diesem Wege können Sie auch unseren Datenschutzbeauftragten erreichen.

Wir bitten um Verständnis, dass es bei der Bearbeitung von Nachfragen aufgrund des erhöhten Aufkommens derzeit zu Verzögerungen kommen kann.

Ja, personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern wurden im Darknet veröffentlicht. Wir warnen ausdrücklich davor, die Darknet-Webseite aufzurufen, da die Gefahr einer Infektion mit Schadsoftware besteht.

Ja, die Datenschutzbehörde wurde umgehend informiert.

Nach bisherigem Kenntnisstand gehören zu den erbeuteten Daten Kontaktdaten wie Name, Vorname und Anschrift, die E-Mail-Adresse, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung.

Wir müssen aktuell davon ausgehen, dass jeder unserer Kunden und Geschäftspartner betroffen ist.

  • Prüfen Sie Ihre Konten regelmäßig und nehmen Sie bei ungewöhnlichen Kontobewegungen Kontakt mit Ihrer Bank auf
  • Ändern Sie Passwörter, die in der Kommunikation mit TWL bspw. beim Zugang zum Kundenportal verwendet werden
  • Löschen Sie verdächtige E-Mails von unbekannten Absendern sofort. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden
  • Identitätsdiebstahl (Kriminelle nutzen die veröffentlichten Daten, um Benutzerkonten zu kapern oder sich als eine andere Person auszugeben)
  • Phishing (Versuch, vor allem per E-Mail unter Vortäuschung eines falschen Sachverhalts an Benutzerdaten zu gelangen. Beispiel: Verdächtige Kontoaktivitäten – „Bitte geben Sie auf der verlinkten Webseite Ihr Passwort ein“)
  • Vermehrte E-Mails mit Spam und/oder Schadsoftware über Hyperlinks bzw. Datei-Anhänge

Ja, TWL hat sowohl einen Datenschutzbeauftragten als auch einen Informationssicherheitsbeauftragten.

Selbstverständlich erfolgt die Erhebung, Speicherung und Verarbeitung von Daten immer DSGVO-konform.

Bereits im vergangenen Jahr haben die neuen Vorstände die IT unmittelbar dem Vorstand zugeordnet und zum 01.07.2019 einen neuen IT-Leiter eingestellt. Wir haben im Dezember 2019 tiefgehende Sicherheitsanalysen durchführen lassen, um Maßnahmen zur Steigerung unserer IT-Sicherheit zu identifizieren.

Leider ist es den Cyberkriminellen gelungen, vor der vollständigen Umsetzung der erarbeiteten Maßnahmen in unsere IT-Systeme einzudringen. Wir arbeiten zusammen mit dem eingeschalteten externen Unternehmen für IT-Sicherheit mit Hochdruck daran, zu verhindern, dass ein solcher Vorfall nochmals passieren kann.