Wenn ein kommunaler Versorger ins Visier gerät
Am 5. März 2025 wurden die Stadtwerke Schwerte in Nordrhein-Westfalen Opfer eines Cyberangriffs. Wie CSO Online berichtet, waren internes Netz und Kundenportal gestört. Der Vorfall reiht sich ein in eine Serie von Angriffen auf kommunale Einrichtungen und kritische Infrastruktur.
Was ist passiert?
Nach dem Bericht von CSO Online traf der Angriff sowohl das interne Netz als auch das Kundenportal der Stadtwerke. In dessen Folge wurde die Verbindung zwischen der Stadt, den Stadtwerken und der Südwestfalen-IT (SIT) unterbrochen. Die Stadtwerke informierten die zuständigen Behörden über den Vorfall.
Wenig später wurde deutlich, dass es bei der Störung nicht blieb: Erbeutete Daten tauchten im Darknet auf. Damit verlagerte sich das Risiko von einer reinen Betriebsstörung hin zu einem handfesten Datenschutzvorfall mit möglichen Folgen für die betroffenen Kundinnen und Kunden.
Welche Daten sind betroffen?
Wie das Fachmagazin Energie & Management berichtet, wurden im Darknet veröffentlichte Daten festgestellt. Dazu zählten:
- Stammdaten
- Kontaktdaten
- Vertragsdaten
- Kommunikationsdaten
Solche Datensätze sind für Kriminelle wertvoll, weil sie sich für gezielte Betrugsversuche und glaubwürdig wirkende Phishing-Nachrichten missbrauchen lassen. Wer Name, Adresse und Vertragsdetails einer Person kennt, kann eine täuschend echte Kontaktaufnahme im Namen des Versorgers vortäuschen.
Warum kommunale Versorger im Fokus stehen
Stadtwerke und andere kommunale Versorger sind Teil der kritischen Infrastruktur. Sie sichern Grundversorgung und verarbeiten zugleich umfangreiche Kundendaten. Beides macht sie zu einem attraktiven Ziel: Angreifer können entweder den Betrieb stören oder Daten erbeuten – oft beides zugleich.
Die enge Verzahnung mit zentralen IT-Dienstleistern erhöht die Komplexität. Im Fall Schwerte wurde die Verbindung zur Südwestfalen-IT unterbrochen. Solche gemeinsamen Dienstleister bündeln Effizienz, schaffen aber auch Abhängigkeiten, die im Ernstfall mehrere Kommunen gleichzeitig betreffen können.
Was Kommunen und Versorger jetzt tun sollten
Der Vorfall liefert mehrere allgemeingültige Lehren für die Absicherung kommunaler IT:
- Netzsegmentierung: Internes Netz und kundennahe Systeme sollten so getrennt sein, dass ein Angriff sich nicht ungehindert ausbreiten kann.
- Mehr-Faktor-Authentifizierung: Zugänge zu kritischen Systemen sollten konsequent mit einem zweiten Faktor abgesichert werden.
- Notfall- und Kommunikationsplan: Klare Abläufe für den Ernstfall, inklusive Information der Behörden, verkürzen die Reaktionszeit.
- Regelmäßige Datensicherungen: Offline und unveränderbar gehaltene Backups ermöglichen eine geordnete Wiederherstellung.
- Lieferanten- und Dienstleisterabsicherung: Gemeinsame IT-Dienstleister sollten in das eigene Sicherheitskonzept einbezogen werden.
Für betroffene Kundinnen und Kunden gilt: Bei unerwarteten Nachrichten, die sich auf den Vertrag oder eine angebliche Zahlung beziehen, ist erhöhte Vorsicht geboten. Im Zweifel sollte der Versorger über die offiziellen Kanäle direkt kontaktiert werden.
Verwandte Meldungen
- Ransomware-Angriff auf die Südwestfalen-IT – der kommunale IT-Dienstleister war bereits Ende 2023 Ransomware-Opfer.
- Cyberangriff auf Collins Aerospace und europäische Flughäfen – ein KRITIS-Vorfall im Verkehrssektor.
- Cyberangriff auf die Stadtverwaltung Heinsberg – ein weiterer Angriff auf eine Kommune.
Fazit
Der Angriff auf die Stadtwerke Schwerte zeigt, dass kommunale Versorger gleich doppelt verwundbar sind: Sie müssen den Betrieb am Laufen halten und zugleich sensible Kundendaten schützen. Dass die erbeuteten Daten im Darknet auftauchten, unterstreicht, wie wichtig vorbeugende Maßnahmen wie Segmentierung, starke Authentifizierung und belastbare Notfallpläne für die kritische Infrastruktur sind.