Uber-Hack

Der verschwiegene Datendiebstahl

24.11.2017 von Florian Maier

Ein unter den Teppich gekehrter Hackerangriff droht der Reputation des Mobilitäts-Dienstleisters Uber drastischen und nachhaltigen Schaden zuzufügen.

Denn bei dem Hack, der sich 2016 abspielte, wurden nicht nur persönliche Informationen (unter anderem Namen, E-Mail-Adressen, Nummernschilder) von weltweit 57 Millionen Kunden gestohlen. Das Unternehmen verschwieg den Datendiebstahl über den Zeitraum von einem Jahr - trotz gesetzlicher Meldepflicht. Und damit nicht genug: Rund 100.000 Dollar bezahlte Uber Medienberichten zufolge an die kriminellen Hacker, damit diese die gestohlenen Daten wieder löschen.

Das sagt der Uber-CEO

"Als CEO von Uber ist es mein Job, unseren Kurs für die Zukunft festzulegen. Der erste Schritt dahin ist der Aufbau eines Unternehmens, auf das jeder Angestellte, Partner und Kunde von Uber stolz sein kann. Damit das geschehen kann, müssen wir bei der Wiedergutmachung vergangener Fehler Ehrlichkeit und Transparenz an den Tag legen."

Mit diesem Statement eröffnet Uber-CEO Dara Khosrowshahi seinen Blog-Eintrag, in dem er zu den kürzlich bekannt gewordenen Ereignissen rund um einen massiven Datendiebstahl Stellung nimmt. Er selbst habe ebenfalls erst vor kurzem von den Vorgängen erfahren, so der Uber-CEO: "Sie fragen sich vielleicht, warum wir erst ein Jahr später auf diese Angelegenheit zu sprechen kommen. Mir stellte sich die gleiche Frage, weswegen ich sofort eine tiefgehende Untersuchung der Ereignisse - und unserem Umgang damit - angestoßen habe."

Uber bezahlte kriminellen Hackern rund 100.000 Dollar, damit diese die gestohlenen Daten löschen und hüllte den Mantel des Schweigens über die Vorfälle.
Foto: PR Image Factory - shutterstock.com

Um den verschwiegenen Datendiebstahl restlos aufzuklären und ähnliche Vorfälle für die Zukunft auszuschließen, hat Uber laut Khosrowshahi bislang folgende Maßnahmen ergriffen:

für die Restrukturierung der Security-Teams und -Prozesse arbeitet das Unternehmen eng mit dem Security-Consultant und Ex-NSA-Berater Matthew Olsen zusammen;
Zwei Mitarbeiter mussten im Zuge der Ereignisse inzwischen ihren Hut nehmen, darunter Chief Security Officer Joe Sullivan
Fahrer, deren Daten kompromittiert wurden, werden gesondert benachrichtigt und kostenlos mit Monitoring- und Identity-Theft-Lösungen ausgestattet;
Armin Simon, Regional Director IDP Deutschland bei Gemalto, äußert sich in einem Kommentar zum Uber-Hack: "Gerade ‚Born-Digital‘-Unternehmen wie Uber müssen es eigentlich besser wissen. Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen. Das BSI schreibt passend: ‚Denn Cyber-Sicherheit ist keine Innovationsbremse, sondern ein Innovationsgarant‘. Die Vorteile der Digitalisierung können nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss."Regulierungsbehörden

Für die Zukunft gelobt der Uber-CEO Besserung: "Das hätte nicht passieren dürfen und dafür gibt es auch keine Ausreden. Ich kann die Vorgänge nicht ungeschehen machen, sondern Ihnen nur im Namen aller Angestellten von Uber versichern, dass wir aus unseren Fehlern lernen werden."

Ob das ausreicht, um das Vertrauen der Kunden zurück zu gewinnen, ist fraglich. Denn wie der britische "Telegraph" berichtet, soll der Uber-CEO entgegen seiner Beteuerungen bereits seit September 2017 - als er seine Position angetreten hatte - von dem Vorfall und dem Vorgehen seines Unternehmens erfahren haben.

Die größten Hacks 2016

US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.

Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.

Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".

Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.

NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.

Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.

Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

Das sagen Security-Experten

Armin Simon, Regional Director IDP Deutschland bei Gemalto, äußert sich in einem Kommentar zum Uber-Hack: "Gerade ‚Born-Digital‘-Unternehmen wie Uber müssen es eigentlich besser wissen. Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen. Das BSI schreibt passend: ‚Denn Cyber-Sicherheit ist keine Innovationsbremse, sondern ein Innovationsgarant‘. Die Vorteile der Digitalisierung können nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss."

Vincent Weafer, Sicherheitsspezialist bei McAfee, sieht im Vorgehen von Uber auch ein allgemeines Problem im Unternehmensumfeld: "Es ist nicht das erste Mal, dass Informationen dieser Art zu spät veröffentlicht wurden. Organisationen müssen lernen, Vorfälle dieser Art rechtzeitig zu melden."

Michael Heuer, Vice President bei Mimecast sieht im Vorgehen von Uber ein weiteres, gravierendes Problem: "Die Tatsache, dass das Unternehmen sich entschied, Hacker zu bezahlen und die massive Verletzung zu verbergen, ist schockierend. Anzugeben, dass ein Angriff nicht stattgefunden hat oder die Angreifer stillschweigend zu bezahlen, ermutigt die Täter weiter."

Im Interview mit MSNBC gab auch Ex-NSA-Hacker David Kennedy seine Einschätzung zu den Geschehnissen und ihren Folgen ab: