UK-Wasserversorger wegen Cyberangriff und Datenpreisgabe mit 1,3 Mio. US-Dollar Strafe belegt
Die britische **Information Commissioner's Office (ICO)** hat eine beträchtliche Geldstrafe gegen **South Staffordshire Water Plc** und deren Muttergesellschaft **South Staffordshire Plc** verhängt. Dies geschah nach einem Cyberangriff im Jahr 2022, bei dem persönliche Daten von über 663.000 Kunden und Mitarbeitern offengelegt wurden. Der Vorfall unterstreicht gravierende Mängel in den Datensicherheitsverfahren des Unternehmens.
### Der Vorfall und seine Folgen
**South Staffordshire Water**, das täglich 1,6 Millionen Verbraucher mit Trinkwasser versorgt, gab im Jahr 2022 einen Cyberangriff bekannt, der den IT-Betrieb störte. Obwohl anfänglich Behauptungen der **Cl0p**-Ransomware-Gruppe (die ihr Opfer zunächst falsch identifizierte) heruntergespielt wurden, bestätigte die Untersuchung der ICO die Authentizität der geleakten Daten und verfolgte den ursprünglichen Kompromittierungsversuch bis in den September 2020 zurück.
Die ICO gab bekannt: „Wir haben South Staffordshire Plc und South Staffordshire Water Plc (zusammen South Staffordshire) mit 963.900 £ belegt, nachdem ein schwerer Cyberangriff dazu führte, dass die persönlichen Informationen von 633.887 Personen extrahiert und im Dark Web veröffentlicht wurden.“
Laut ICO erlangten die Angreifer über einen **Phishing**-Angriff Zugang und installierten **Malware**, die 20 Monate lang unentdeckt blieb. Zwischen Mai und Juli 2022 eskalierten sie Berechtigungen und erlangten Administratorzugriff auf die Domäne. Der Vorfall wurde erst im Juli 2022 aufgrund von IT-Leistungsproblemen entdeckt.
Die kompromittierten Daten umfassten vollständige Namen, Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Kundenkontodaten, Bankkontodaten und HR-Daten von Mitarbeitern, einschließlich nationaler Versicherungsnummern.
### Identifizierte Sicherheitsmängel
Die ICO identifizierte mehrere kritische Sicherheitsmängel, die zur Datenpreisgabe beitrugen:
* Unzureichende Kontrollen zur Verhinderung von Privilege Escalation
* Überwachung, die nur etwa 5 % der IT-Umgebung abdeckte
* Verwendung veralteter Software wie **Windows Server 2003**
* Schlechtes Schwachstellenmanagement und fehlende Sicherheitspatches
* Fehlen regelmäßiger interner und externer Sicherheitsscans
Diese Mängel stellten eine klare Verletzung der britischen Datenschutzbestimmungen dar und führten zu der erheblichen Geldstrafe. Die ursprüngliche Strafe wurde um 40 % reduziert, da **South Staffordshire** die Haftung eingestand, mit der Untersuchung kooperierte und zustimmte, die Angelegenheit ohne Berufung beizulegen.
