Wann kam es zum Sicherheitsvorfall und seit wann ist er bekannt?

Am 20.04. haben wir entdeckt, dass Kriminelle Daten von unseren Systemen stehlen, und umgehend Maßnahmen eingeleitet, um den weiteren Datendiebstahl zu stoppen. Nach Stand der Ermittlungen gehen wir davon aus, dass der Erstzugriff der Kriminellen Mitte Februar erfolgte. Am 30.04. erfolgte dann die erste Kontaktaufnahme der Kriminellen zur Anbahnung einer Lösegeldforderung in einem zweistelligen Millionenbereich.

Warum hat es so lange gedauert bis TWL den Sicherheitsvorfall entdeckt hat?

Die Kriminellen sind hochprofessionell vorgegangen und haben alles unternommen, um möglichst lange unentdeckt zu bleiben.

Eine unabhängige Studie hat ergeben, dass es im Schnitt 197 Tage dauert, bis ein Datenverlust entdeckt wird (2018 Cost of Data Breach Study, Ponemon Institute LLC). Durch bereits vor dem Vorfall ergriffene Sicherheitsmaßnahmen konnte die TWL den Datenverlust deutlich schneller feststellen als in solchen Fällen üblich. Trotzdem arbeiten wir derzeit massiv daran, die Erkennung eines möglichen Angriffs weiter zu beschleunigen.
 

Wurden die zuständigen Behörden informiert?

Ja. Wir haben die zuständigen Sicherheitsbehörden informiert, die sofort mit Ermittlungen begannen. Beteiligt sind: Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Darüber hinaus wurde die zuständige Landesdatenschutzbehörde umgehend über den Sicherheitsvorfall informiert.

Um welche Art von Cyberangriff handelt es sich?

Die Hacker haben sich über eine infizierte E-Mail-Anlage, die von den technischen Abwehrsystemen nicht erkannt wurde, Zugriff auf unsere IT-Systeme verschafft. Infolgedessen gelang es ihnen auch, Daten zu stehlen.

Wie hoch war die Lösegeldforderung?

Die Forderung der Kriminellen bewegte sich im zweistelligen Millionenbereich.

Haben Sie das Lösegeld gezahlt?

Für uns war von Anfang an klar, dass wir keine Geschäfte mit Kriminellen machen und deren Machenschaften keinesfalls noch zusätzlich befeuern wollen. Ein Lösegeld wurde deshalb nicht gezahlt. Auch das LKA verweist darauf dass es selbst im Falle einer Lösegeldzahlung keine Garantie dafür gegeben hätte, dass die gestohlenen Daten nicht doch veröffentlicht würden.

Womit hat man Sie erpresst?

Mit der Veröffentlichung der erbeuteten Daten.


 

Was weiß man über die Täter?

Bei den Tätern handelt es sich nach Einschätzung des externen Cyber Security Unternehmens um eine hoch professionalisierte Hackergruppe, die normalerweise das Ziel verfolgt, IT-Systeme zu verschlüsseln, teilweise aber auch mit der Veröffentlichung von gestohlenen Daten droht.

Konnten die Täter ermittelt werden?

Die Ermittlungen hierzu dauern noch an.

Warum wurde der Sicherheitsvorfall nicht sofort öffentlich gemacht?

Aufgrund der forensischen Untersuchungen, der Arbeiten an der Gefahrenabwehr und aus ermittlungstaktischen Gründen der Strafverfolgungsbehörden waren wir bis zum 11.05. angehalten, keine Details zum Sicherheitsvorfall zu veröffentlichen. Eine erste Pressemitteilung hatten wir bereits am 04.05. veröffentlicht.
 

Sind erneute Zugriffe dieser Täter, die unbemerkt bleiben, ausgeschlossen?

Solange im Internet gesurft wird und E-Mails empfangen werden, können Cyberangriffe nicht ausgeschlossen werden. Allerdings wird mit Hochdruck daran gearbeitet, die IT-Systeme der TWL bestmöglich abzusichern.

Was sind die nächsten Schritte des Unternehmens?

Wir informieren persönlich alle Betroffenen. Auf unserer Webseite werden wir für betroffene Kunden ab dem 14.05. Informationen zu möglichen Risiken und dem Umgang damit veröffentlichen und laufend aktualisieren. Gleichzeitig arbeiten wir eng mit den zuständigen Behörden zusammen und unterstützen die laufenden Ermittlungen durch IT-Forensik. Mit externen Spezialisten überarbeiten wir unser Cyber Security Konzept und werden noch größere Investitionen in die Cyber Security tätigen.
 

An wen kann ich mich bei Rückfragen wenden?

Für Ihre Rückfragen stehen wir Ihnen unter folgenden Kontaktdaten gerne zur Verfügung: kundenservice(at)twl(dot)de oder telefonisch unter 0800 1122700. Auf diesem Wege können Sie auch unseren Datenschutzbeauftragten erreichen.

Wir bitten um Verständnis, dass es bei der Bearbeitung von Nachfragen aufgrund des erhöhten Aufkommens derzeit zu Verzögerungen kommen kann.

Gab es ein Datenleak?

Ja, personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern wurden im Darknet veröffentlicht. Wir warnen ausdrücklich davor, die Darknet-Webseite aufzurufen, da die Gefahr einer Infektion mit Schadsoftware besteht.

Ist die Datenschutzbehörde informiert?

Ja, die Datenschutzbehörde wurde umgehend informiert.

Welche Art von Daten sind abgeflossen?

Nach bisherigem Kenntnisstand gehören zu den erbeuteten Daten Kontaktdaten wie Name, Vorname und Anschrift, die E-Mail-Adresse, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung.
 

Sind meine Daten betroffen?

Wir müssen aktuell davon ausgehen, dass jeder unserer Kunden und Geschäftspartner betroffen ist.

Was muss ich jetzt tun, da meine Daten gestohlen wurden?

  • Prüfen Sie Ihre Konten regelmäßig und nehmen Sie bei ungewöhnlichen Kontobewegungen Kontakt mit Ihrer Bank auf
  • Ändern Sie Passwörter, die in der Kommunikation mit TWL bspw. beim Zugang zum Kundenportal verwendet werden
  • Löschen Sie verdächtige E-Mails von unbekannten Absendern sofort. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden

Mit welchen Konsequenzen muss ich rechnen, weil meine Daten gestohlen wurden?

  • Identitätsdiebstahl (Kriminelle nutzen die veröffentlichten Daten, um Benutzerkonten zu kapern oder sich als eine andere Person auszugeben)
  • Phishing (Versuch, vor allem per E-Mail unter Vortäuschung eines falschen Sachverhalts an Benutzerdaten zu gelangen. Beispiel: Verdächtige Kontoaktivitäten – „Bitte geben Sie auf der verlinkten Webseite Ihr Passwort ein“)
  • Vermehrte E-Mails mit Spam und/oder Schadsoftware über Hyperlinks bzw. Datei-Anhänge

Hat das Unternehmen einen Datenschutzbeauftragten und einen Informationssicherheitsbeauftragten?

Ja, TWL hat sowohl einen Datenschutzbeauftragten als auch einen Informationssicherheitsbeauftragten.

Hält sich das Unternehmen an die Vorschriften gemäß der Datenschutzgrundverordnung (DSGVO)?

Selbstverständlich erfolgt die Erhebung, Speicherung und Verarbeitung von Daten immer DSGVO-konform.

Welche Maßnahmen ergreift das Unternehmen mit Blick auf den Datenschutz, um die Sicherheit von Kundendaten zu gewährleisten?

Bereits im vergangenen Jahr haben die neuen Vorstände die IT unmittelbar dem Vorstand zugeordnet und zum 01.07.2019 einen neuen IT-Leiter eingestellt. Wir haben im Dezember 2019 tiefgehende Sicherheitsanalysen durchführen lassen, um Maßnahmen zur Steigerung unserer IT-Sicherheit zu identifizieren.

Leider ist es den Cyberkriminellen gelungen, vor der vollständigen Umsetzung der erarbeiteten Maßnahmen in unsere IT-Systeme einzudringen. Wir arbeiten zusammen mit dem eingeschalteten externen Unternehmen für IT-Sicherheit mit Hochdruck daran, zu verhindern, dass ein solcher Vorfall nochmals passieren kann.