Ubers Umgang mit Datendiebstahl: So nicht

Originalbeitrag von Mark Nunnikhoven, Vice President Cloud Research

Uber führt seine Schlachten gerade an allen Fronten — von öffentlich ausgetragenen Machtkämpfen über Probleme mit der Behandlung von Fahrern bis zu regulatorischen Herausforderungen und einer vergifteten Unternehmenskultur. In dieser Woche nun kam ein weiterer Schlag gegen das Unternehmen ans Licht. Im Oktober 2016 hatte es einen Hacking-Angriff auf Uber gegeben, infolge dessen 57 Millionen Datensätze von Kunden und Fahrern (Namen, Mail und Telefonnummer) exponiert waren. Darüber hinaus wurden auch die Lizenzen von 600.000 Fahrern exponiert.

So etwas kann vorkommen, denn kein Schutz ist perfekt. Hacker können und werden auch die besten Sicherheitssysteme gelegentlich überwinden. Sicherheitsprogramme müssen diese Tatsache akzeptieren und auf Angriffe schnell reagieren, um die Auswirkungen zu minimieren, und Unternehmen eine schnelle Wiederherstellung planen.

Vertuschen

In diesem Fall wählte Uber den schlechtesten Weg überhaupt: Sie machten den Diebstahl nicht öffentlich und zahlten den Cyberkriminellen 100.000 $ Schweigegeld. Dann versuchten sie das Geld als Bug Bounty-Zahlung hinzustellen. Um es klar und deutlich zu sagen: Cyberkriminelle zu bezahlen ist inakzeptabel! Und einen Diebstahl, der Millionen betrifft, zu vertuschen ist nicht hinzunehmen.

Es gibt keine Möglichkeit zu prüfen, ob die Kriminellen die Daten nach der Zahlung auch wirklich löschten. So funktioniert die digitale Welt nicht. Die Erklärung von Uber „… wir glauben, die Informationen wurden nie verwendet“ entbehrt jeder Basis. Es ist unmöglich, alle Wege zu verfolgen, wie gestohlene persönliche Informationen verwendet oder verkauft werden. Überwacht Uber alle Untergrundforen, Geschäfte in dunklen Kanälen, Chat-Räume? Prüft das Unternehmen alle Websites, um sicherzustellen, dass niemand die Daten einer betroffenen Person nutzt?

Außerdem bedeutet die Zahlung dieses Schweigegelds auch, dass weitere Cyberkriminelle auf den Geschmack kommen und versuchen, dieses „Geschäftsmodell“ nachzuahmen. Trend Micro geht davon aus, dass digitale Erpressung 2018 bedeutend zunehmen wird.

Keine Veröffentlichung

In diesem Jahr hat es eine Reihe schwerer Datendiebstähle gegeben. Yahoo, Verizon, Edmodo, Equifax und andere waren davon betroffen. Werden personenbezogene Informationen exponiert, so muss die betroffene Organisation vom schlimmsten Szenario ausgehen und von diesem Punkt aus Maßnahmen ergreifen. Die Gesetze zur Benachrichtigung bei Datendiebstahl weltweit, einschließlich GDPR, setzen diese Haltung voraus und fordern deshalb eine Benachrichtigung der Betroffenen in Situationen, in denen personenbezogene Informationen involviert sind.

Der Vorgang einer öffentlichen Benachrichtigung über einen Datendiebstahl ist für jedes Unternehmen schmerzhaft und kann tatsächlich die öffentliche Wahrnehmung der Firma schlussendlich negativ beeinflussen. Im Fall von Organisationen, die sich ernsthaft darum bemühen, Nutzerdaten zu schützen und mit Diebstählen transparent umzugehen, sollte die Kultur einer Verurteilung in eine übergehen, in der eine offene, ehrliche Erforschung der Ursachen, die zum Diebstahl geführt haben, möglich ist. So kann jeder seine Lehren daraus ziehen.

Dies ist im Fall von Uber nicht gegeben. Indem es das Unternehmen versäumt hat, den Diebstahl öffentlich zu machen, hat es sich mögliche rechtliche Konsequenzen selbst eingehandelt und die Nutzer gefährdet. Denn wenn man nicht weiß, dass für die eigenen Daten ein Risiko besteht, so schützt man sich auch nicht entsprechend.

Beunruhigende Aussage

Von allen Dingen, die an dem Uber-Vorfall auffallen, ist besonders eine Aussage beunruhigend: Uber erklärt, „… zwei Personen von außerhalb der Firma griffen in unangemessener Weise auf Nutzerdaten zu, die in einem von uns verwendeten Cloud-basierten Dienst eines Drittanbieters gespeichert waren. Bei dem Vorfall wurde nicht in unsere Unternehmenssysteme oder -Infrastrukturen eingebrochen.“

Falsch.

Nutzt eine Organisation Dienstleistung eines Dritten als Teil der eigenen IT-Lösung, so ist diese Bestandteil der Unternehmenssysteme. Und die Daten sind die eigenen Daten, unabhängig davon, wo sie gespeichert sind. Alle Cloud-Services unterstehen einer gemeinsamen Verantwortung und in jeder Art eines Modells ist das Unternehmen selbst verantwortlich für die Daten.

Bloomberg beschreibt das Hacking folgendermaßen:

  • Angreifer verschafften sich Zugriff auf eine von Uber genutzte private GitHub Code Site,
  • Angreifer entdeckten AWS-Anmeldeinformationen auf der GitHub Site,
  • Sie nutzten diese AWS-Informationen, um sich Zugang zu persönlichen Informationen zu verschaffen

Wie bei den meisten Hacks, handelte es sich um eine einfache Aktion, und sie weist auf einen nicht funktionierenden Prozess auf Uber-Seite hin. Der Vorfall spricht in keiner Weise gegen die Sicherheit von GitHub oder AWS.

Nach vorn schauen

Ubers neues Führungsteam hat die ersten Schritte zur Verbesserung der Lage unternommen. Das Unternehmen hat seinen CISO entlassen und arbeitet daran, Betroffene zu benachrichtigen. Auch arbeitet Uber mit externen Experten zusammen, um die Sicherheit zu verbessern. Die Erklärung enthält allerdings keine Aussagen dazu, ob Polizei involviert ist, um die Cyberkriminellen zu finden. Doch wird es nicht einfach sein, das verlorene Vertrauen wiederzugewinnen.

Dieser Fall sollte als Beispiel dafür dienen, dass Transparenz bei einem Einbruch und Diebstahl die beste Lösung ist … unabhängig davon, wie schwer dies fällt.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*