Das Wichtigste auf einen Blick:
- Im Jahr 2016 vertuschte der damalige Chief Security Officer (CSO) Joseph Sullivan des Car-Sharing Anbieters Uber ein massives Datenleck. Hacker hatten Daten von mehr als 50 Millionen Kunden und Fahrern erbeutet und öffentlich gemacht.
- Sullivan kam vor Gericht – eines der ersten Male, dass sich eine hochrangige Führungsperson für die Folgen einer Cyberattacke vor Gericht verantworten musste. Der frühere CSO wurde entlassen und durch die US-Behörden wegen Strafvereitelung (US-Kartellbehörde) und bewusstem Verschweigen einer Straftat belangt.
- Das Leck betraf auch Fahrer aus EU-Ländern (Großbritannien und den Niederlanden), sodass Uber auch den europäischen Datenschutzbehörden empfindliche Strafen zahlen musste (mehr als 1,2 Millionen US-Dollar). Wie das britische Koordinierungszentrum für Cybersicherheit (NCSC) berichtete, waren allein in Großbritannien „etwa 2,7 Millionen Nutzeraccounts betroffen.“
Worum ging es genau?
- Cyberkriminelle erbeuteten die Daten von 57 Millionen Uber-Nutzern und -Fahrern und forderten 100.000 US-Dollar. Als Gegenleistung versprachen sie, ihre Kopien der gestohlenen Daten – Namen, Telefonnummern, Mailadressen und mehr als 600.000 Führerscheinnummern – zu löschen.
- Der damalige Uber-CSO zahlte das Geld. Die Zahlung verbuchte er als Belohnung für ein sogenanntes „Bug-Bounty-Programm“, ein Programm, bei dem Einzelpersonen für das Entdecken und Melden von Software-Bugs belohnt werden.
- Die Zahlung wurde in Bitcoin geleistet, die Hacker zur Unterzeichnung einer Erklärung verpflichtet, dass keine der gestohlenen Daten öffentlich gemacht wurden. Ob dennoch Daten nach außen gelangt sind, ist unklar.
- Der Vorfall wurde weder gegenüber den Behörden noch der Öffentlichkeit gemeldet – bis zur Berufung eines neuen Uber-CEO im Jahr 2017, Dara Khosrowshani.
- Am 05. Oktober 2022 wurde Sullivan schließlich für schuldig befunden. Ihn erwarten bis zu acht Jahre Haft wegen Strafvereitelung und Nichtmeldung des Datenlecks.
- In einer offiziellen Mitteilung aus dem Jahr 2017 versicherte Khrosrowshahi die Uber-Community, dass die Kriminellen keine sensibleren Daten wie „Fahrtverläufe, Kreditkartennummern, Kontodaten, Sozialversicherungsnummern oder Geburtsdaten“ erbeutet hätten.
Während Sullivan noch auf die Verkündigung seines Strafmaßes wartet, wurde unlängst das nächste Datenleck im Hause Uber bekannt.
Ein Mitarbeiter hatte vermeintlichen IT-Mitarbeitern Passwörter mitgeteilt und so Hackern potenziell Zugriff auf Unternehmensaccounts gewährt. Solches „Social Engineering“, also Methoden, bei denen sich Kriminelle als vermeintlich vertrauenswürdige Personen ausgeben, kommt immer häufiger bei Cyberangriffen zum Einsatz.
Laut CEO Rachel Tobac von SocialProof sind inzwischen auch immer mehr Tech-Unternehmen Ziel solcher Attacken. Die Hacker nutzen die Methode nicht nur, um Daten zu erbeuten. Sie erhalten damit auch oft Zugang zu Unternehmensnetzen und können von hier aus später größer angelegte Angriffe fahren.
Nach der Entdeckung der Datenpanne im September versicherte Ubers aktuelle CISO Latha Maripuri ihren Mitarbeitern, dass das Leck eingehend untersucht würde.
Umfassender Schutz vor Datenschutzvorfällen: ISO 27001
Fehler passieren – auch und gerade im Arbeitsalltag.
Es gibt jedoch einige Maßnahmen, die Unternehmen präventiv umsetzen können, um Datenschutzvorfälle und Cyberangriffe zu verhindern.
So kann ein Managementsystem für Informationssicherheit (ISMS) nach ISO 27001 auch dabei helfen, Datenschutzrisiken zu erkennen und zu bewerten. Obwohl die ISO 27001 speziell eine Norm für die Informationssicherheit ist, ist eine ihrer zentralen Vorgaben das systematische Aufarbeiten von Datenlecks.
Ein ISMS ist daher ein holistischer Ansatz, um sowohl Ihre Informationssicherheit als auch Ihren Datenschutz zu regeln. Es hilft Ihnen zudem:
- Bei der Prüfung und Optimierung des Datenschutzes in Ihrem Unternehmen. Sie implementieren Mechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen jederzeit sicherzustellen.
- Bei der Vermeidung von Strafen und Schadenersatzansprüchen Dritter, indem Sie die Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen erhöhen.
- Bei der Erfüllung von Vorgaben, die Ihnen aus Gesetzen, Verordnungen, regulatorischen und vertraglichen Verpflichtungen entstehen.
- Beim effizienten Risikomanagement. Sie stellen sicher, dass im Fall eines Sicherheitsvorfalls die Geschäftsabläufe schnell und möglichst reibungslos wieder wie gewohnt laufen.
- Beim Einsatz neuer Technologie und Compliance zu Security-Vorgaben. Sie etablieren ein zentral verwaltetes System, mit dem Sie jederzeit über Sicherheitslücken und Bedrohungen informiert sind.
- Beim Erhalt und der Verbesserung Ihrer Marktposition. Sie zeigen, wie wichtig Ihnen die Sicherheit der Daten Ihrer Kunden und Partner ist und schaffen so den entscheidenden Wettbewerbsvorteil für Ihr Unternehmen.
Was kann DataGuard für Sie tun?
Datenschutzpannen ziehen teils empfindliche Strafen nach sich und gefährden langfristig die Reputation Ihres Unternehmens. Für das Leck im Jahr 2016 zahlte Uber allein 148 Millionen Dollar Strafe für die versuchte Vertuschung an die 50 Bundestaaten und Washington D.C.
Cyberangriffe und somit teure Datenpannen können verhindert werden – wir helfen Ihnen dabei. Mit unserem Informationssicherheit-as-a-Service Angebot bieten wir Kunden ein ganzheitliches System, mit dem Sie die Informationssicherheit und letztlich auch den Datenschutz in Ihrem Unternehmen komfortabel und unkompliziert verwalten und sicherstellen.
- Wir unterstützen unsere Kunden bei der Zertifizierung nach ISO 27001 – mit einer Erfolgsrate von bisher 100%.
- Wir helfen Ihnen bei der Digitalisierung und Automatisierung von Prozessen und Aufgaben. Auf einer zentralen Plattform laufen alle Anfragen zusammen und bieten Ihnen so eine Single Source of Truth (SSoT).
- Durch unsere Unterstützung bei der Zertifizierung nach ISO 27001 helfen wir Ihnen, Ihre Marktposition zu verbessern.
Unsere Experten für Informationssicherheit und ISO 27001-Zertifizierungen unterstützen Sie bei der Implementierung von Maßnahmen zur Eindämmung von Datenschutzrisiken. So können Sie sich weiterhin auf Ihr Kerngeschäft konzentrieren und wir übernehmen das, was wir am besten können: Die Menschen hinter den Daten schützen.