Uber-Hack

Der verschwiegene Datendiebstahl

24.11.2017
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Ein unter den Teppich gekehrter Hackerangriff droht der Reputation des Mobilitäts-Dienstleisters Uber drastischen und nachhaltigen Schaden zuzufügen.

Denn bei dem Hack, der sich 2016 abspielte, wurden nicht nur persönliche Informationen (unter anderem Namen, E-Mail-Adressen, Nummernschilder) von weltweit 57 Millionen Kunden gestohlen. Das Unternehmen verschwieg den Datendiebstahl über den Zeitraum von einem Jahr - trotz gesetzlicher Meldepflicht. Und damit nicht genug: Rund 100.000 Dollar bezahlte Uber Medienberichten zufolge an die kriminellen Hacker, damit diese die gestohlenen Daten wieder löschen.

Das sagt der Uber-CEO

"Als CEO von Uber ist es mein Job, unseren Kurs für die Zukunft festzulegen. Der erste Schritt dahin ist der Aufbau eines Unternehmens, auf das jeder Angestellte, Partner und Kunde von Uber stolz sein kann. Damit das geschehen kann, müssen wir bei der Wiedergutmachung vergangener Fehler Ehrlichkeit und Transparenz an den Tag legen."

Mit diesem Statement eröffnet Uber-CEO Dara Khosrowshahi seinen Blog-Eintrag, in dem er zu den kürzlich bekannt gewordenen Ereignissen rund um einen massiven Datendiebstahl Stellung nimmt. Er selbst habe ebenfalls erst vor kurzem von den Vorgängen erfahren, so der Uber-CEO: "Sie fragen sich vielleicht, warum wir erst ein Jahr später auf diese Angelegenheit zu sprechen kommen. Mir stellte sich die gleiche Frage, weswegen ich sofort eine tiefgehende Untersuchung der Ereignisse - und unserem Umgang damit - angestoßen habe."

Uber bezahlte kriminellen Hackern rund 100.000 Dollar, damit diese die gestohlenen Daten löschen und hüllte den Mantel des Schweigens über die Vorfälle.
Uber bezahlte kriminellen Hackern rund 100.000 Dollar, damit diese die gestohlenen Daten löschen und hüllte den Mantel des Schweigens über die Vorfälle.
Foto: PR Image Factory - shutterstock.com

Um den verschwiegenen Datendiebstahl restlos aufzuklären und ähnliche Vorfälle für die Zukunft auszuschließen, hat Uber laut Khosrowshahi bislang folgende Maßnahmen ergriffen:

  • für die Restrukturierung der Security-Teams und -Prozesse arbeitet das Unternehmen eng mit dem Security-Consultant und Ex-NSA-Berater Matthew Olsen zusammen;

  • Zwei Mitarbeiter mussten im Zuge der Ereignisse inzwischen ihren Hut nehmen, darunter Chief Security Officer Joe Sullivan

  • Fahrer, deren Daten kompromittiert wurden, werden gesondert benachrichtigt und kostenlos mit Monitoring- und Identity-Theft-Lösungen ausgestattet;

  • Armin Simon, Regional Director IDP Deutschland bei Gemalto, äußert sich in einem Kommentar zum Uber-Hack: "Gerade ‚Born-Digital‘-Unternehmen wie Uber müssen es eigentlich besser wissen. Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen. Das BSI schreibt passend: ‚Denn Cyber-Sicherheit ist keine Innovationsbremse, sondern ein Innovationsgarant‘. Die Vorteile der Digitalisierung können nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss."Regulierungsbehörden

Für die Zukunft gelobt der Uber-CEO Besserung: "Das hätte nicht passieren dürfen und dafür gibt es auch keine Ausreden. Ich kann die Vorgänge nicht ungeschehen machen, sondern Ihnen nur im Namen aller Angestellten von Uber versichern, dass wir aus unseren Fehlern lernen werden."

Ob das ausreicht, um das Vertrauen der Kunden zurück zu gewinnen, ist fraglich. Denn wie der britische "Telegraph" berichtet, soll der Uber-CEO entgegen seiner Beteuerungen bereits seit September 2017 - als er seine Position angetreten hatte - von dem Vorfall und dem Vorgehen seines Unternehmens erfahren haben.

Das sagen Security-Experten

Armin Simon, Regional Director IDP Deutschland bei Gemalto, äußert sich in einem Kommentar zum Uber-Hack: "Gerade ‚Born-Digital‘-Unternehmen wie Uber müssen es eigentlich besser wissen. Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen. Das BSI schreibt passend: ‚Denn Cyber-Sicherheit ist keine Innovationsbremse, sondern ein Innovationsgarant‘. Die Vorteile der Digitalisierung können nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss."

Vincent Weafer, Sicherheitsspezialist bei McAfee, sieht im Vorgehen von Uber auch ein allgemeines Problem im Unternehmensumfeld: "Es ist nicht das erste Mal, dass Informationen dieser Art zu spät veröffentlicht wurden. Organisationen müssen lernen, Vorfälle dieser Art rechtzeitig zu melden."

Michael Heuer, Vice President bei Mimecast sieht im Vorgehen von Uber ein weiteres, gravierendes Problem: "Die Tatsache, dass das Unternehmen sich entschied, Hacker zu bezahlen und die massive Verletzung zu verbergen, ist schockierend. Anzugeben, dass ein Angriff nicht stattgefunden hat oder die Angreifer stillschweigend zu bezahlen, ermutigt die Täter weiter."

Im Interview mit MSNBC gab auch Ex-NSA-Hacker David Kennedy seine Einschätzung zu den Geschehnissen und ihren Folgen ab: