Fragen und Antworten zum Hackerangriff
Im Zusammenhang mit dem Hackerangriff auf die IT-Systeme der ÜSTRA am 31. März 2023 ist es zu einer unbefugten Offenlegung von Daten gekommen. Was GVH Kundinnen und Kunden jetzt wissen müssen, haben wir in unserer Fragen- und Antworten-Rubrik zusammengestellt, die wir immer aktualisieren werden, sofern es weitere wichtige Informationen gibt.
Der Cyberangriff auf die ÜSTRA erfolgte am 31. März 2023, dabei wurden mit einer sogenannten Ransomware Dateien auf Servern und Endgeräten verschlüsselt. Mittlerweile hat die Polizei informiert, dass es im Zusammenhang mit dem Hackerangriff zu einer unbefugten Offenlegung von Daten gekommen ist. Darunter könnten auch personenbezogene Daten der Kundinnen und Kunden sein, die im März 2023 bereits ein GVH Abo hatten. Die Verwaltung des Abonnements für den GVH erfolgt bekanntlich bei der ÜSTRA.
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nehmen Angriffe von Cyberkriminellen stark zu. Auch andere große Unternehmen in der Region Hannover waren bereits betroffen.
Als KRITIS-Unternehmen erfüllt die ÜSTRA besonders hohe IT-Sicherheitsstandards mit zahlreichen technischen und organisatorischen Maßnahmen. Entsprechend konnten in der Vergangenheit derartige Virenangriffe erfolgreich abgewehrt werden. Und tatsächlich konnte die Ausbreitung auf einen erheblichen Teil der Systeme auch am 31. März verhindert werden. Es handelt sich jedoch laut Forensik-Experten um eine besonders aggressive und professionelle Schadsoftware. Diese konnte von den gängigen Virenscannern nicht erkannt werden.
Bereits unmittelbar nach dem Bemerken der Attacke begannen vielfältige technische und organisatorische Gegenmaßnahmen. Noch am 31. März wurde ein ÜSTRA Krisenstab einberufen. Eine Meldung an das BSI und eine Strafanzeige bei der Polizei erfolgten am gleichen Tag. Am 1. April wurde ein sogenanntes Incident Response Team von Microsoft beauftragt, gemeinsam mit der ÜSTRA IT das Thema umfassend zu analysieren und aufzuarbeiten.
Zum Zeitpunkt der damaligen Aussage war von den externen Forensikern kein Datenabgang festzustellen. Das kann unterschiedliche Gründe haben. Eine große Rolle spielt dabei offenkundig die Härte des Cyberangriffs. Die polizeilichen Behörden haben im Rahmen ihrer Ermittlungen nach dem Vorfall nun einen Datenabfluss feststellen können.
Bislang gibt es keine Erkenntnisse darüber, ob Kundendaten wie zum Beispiel aus dem GVH Abonnement betroffen sind.
Die ÜSTRA setzt gemeinsam mit der Kriminalpolizei alle verfügbaren Mittel ein, um zu ermitteln, welche Daten im sogenannten Darknet offengelegt wurden und ob Kundinnen und Kunden hiervon konkret betroffen sind. Wenn hierzu gesicherte Informationen vorliegen, werden umgehend alle betroffenen Kundinnen und Kunden über die betroffenen Daten, Risiken und Gegenmaßnahmen informiert. Daneben entwickelt die ÜSTRA die Sicherheitsmaßnahmen weiter, um solche Cyberangriffe in Zukunft noch besser abwehren zu können.
Wie gesagt: Derzeit gibt es keine Erkenntnisse darüber, dass personenbezogene Daten von Kundinnen und Kunden konkret betroffen sind. Trotzdem sollten Sie angesichts der latenten Risiken durch Cyberkriminalität vorsichtshalber aufmerksam sein. Achten Sie etwa auf Rechnungen für Bestellungen in Ihrem Namen, die Sie nicht zuordnen können, oder andere Mitteilungen, die auf einem Missbrauch Ihrer Daten durch Dritte beruhen könnten. Die ÜSTRA hat bereits strafrechtliche Schritte gegen die Verursacher des Hackerangriffs eingeleitet. Eine Anzeigenerstattung allein aufgrund der Offenlegung personenbezogener Daten im sogenannten Darknet ist nicht erforderlich und ist von Amts wegen bereits Gegenstand des Ermittlungsverfahrens, welches im Fachkommissariat Cybercrime der Polizeidirektion Hannover unter Sachleitung der Staatsanwaltschaft Verden geführt wird. Erst wenn die offengelegten Daten missbräuchlich, zum Beispiel bei Betrugstaten, eingesetzt werden, ist eine gesonderte Anzeigenerstattung erforderlich. Die Anzeigenerstattung kann bei jeder Polizeidienststelle oder über die Online-Wache erfolgen.
Sie werden weiter informiert. Dies gilt insbesondere dann, wenn festgestellt wird, dass Sie persönlich von der Offenlegung im Darknet betroffen sein sollten. Sie können uns bei der Aufklärung unterstützen, indem Sie von telefonischen Rückfragen zum Sachstand absehen, da die Beantwortung derzeit zur Aufklärung benötigte Ressourcen auf Seiten der ÜSTRA binden würden. Für Ihre Fragen wurde jedoch eine Mailadresse (hackerangriff@gvh.de) eingerichtet, von der Ihnen so schnell wie möglich geantwortet wird.