2 Min

Was uns die Uber Datenpanne über Informationssicherheit lehrt

Das Wichtigste auf einen Blick:

  • Im Jahr 2016 vertuschte der damalige Chief Security Officer (CSO) Joseph Sullivan des Car-Sharing Anbieters Uber ein massives Datenleck. Hacker hatten Daten von mehr als 50 Millionen Kunden und Fahrern erbeutet und öffentlich gemacht.
  • Sullivan kam vor Gericht – eines der ersten Male, dass sich eine hochrangige Führungsperson für die Folgen einer Cyberattacke vor Gericht verantworten musste. Der frühere CSO wurde entlassen und durch die US-Behörden wegen Strafvereitelung (US-Kartellbehörde) und bewusstem Verschweigen einer Straftat belangt.
  • Das Leck betraf auch Fahrer aus EU-Ländern (Großbritannien und den Niederlanden), sodass Uber auch den europäischen Datenschutzbehörden empfindliche Strafen zahlen musste (mehr als 1,2 Millionen US-Dollar). Wie das britische Koordinierungszentrum für Cybersicherheit (NCSC) berichtete, waren allein in Großbritannien „etwa 2,7 Millionen Nutzeraccounts betroffen.“

Worum ging es genau?

  • Cyberkriminelle erbeuteten die Daten von 57 Millionen Uber-Nutzern und -Fahrern und forderten 100.000 US-Dollar. Als Gegenleistung versprachen sie, ihre Kopien der gestohlenen Daten – Namen, Telefonnummern, Mailadressen und mehr als 600.000 Führerscheinnummern – zu löschen.
  • Der damalige Uber-CSO zahlte das Geld. Die Zahlung verbuchte er als Belohnung für ein sogenanntes „Bug-Bounty-Programm“, ein Programm, bei dem Einzelpersonen für das Entdecken und Melden von Software-Bugs belohnt werden.
  • Die Zahlung wurde in Bitcoin geleistet, die Hacker zur Unterzeichnung einer Erklärung verpflichtet, dass keine der gestohlenen Daten öffentlich gemacht wurden. Ob dennoch Daten nach außen gelangt sind, ist unklar.
  • Der Vorfall wurde weder gegenüber den Behörden noch der Öffentlichkeit gemeldet – bis zur Berufung eines neuen Uber-CEO im Jahr 2017, Dara Khosrowshani.
  • Am 05. Oktober 2022 wurde Sullivan schließlich für schuldig befunden. Ihn erwarten bis zu acht Jahre Haft wegen Strafvereitelung und Nichtmeldung des Datenlecks.
  • In einer offiziellen Mitteilung aus dem Jahr 2017 versicherte Khrosrowshahi die Uber-Community, dass die Kriminellen keine sensibleren Daten wie „Fahrtverläufe, Kreditkartennummern, Kontodaten, Sozialversicherungsnummern oder Geburtsdaten“ erbeutet hätten.

Während Sullivan noch auf die Verkündigung seines Strafmaßes wartet, wurde unlängst das nächste Datenleck im Hause Uber bekannt.

Ein Mitarbeiter hatte vermeintlichen IT-Mitarbeitern Passwörter mitgeteilt und so Hackern potenziell Zugriff auf Unternehmensaccounts gewährt. Solches „Social Engineering“, also Methoden, bei denen sich Kriminelle als vermeintlich vertrauenswürdige Personen ausgeben, kommt immer häufiger bei Cyberangriffen zum Einsatz.

Laut CEO Rachel Tobac von SocialProof sind inzwischen auch immer mehr Tech-Unternehmen Ziel solcher Attacken. Die Hacker nutzen die Methode nicht nur, um Daten zu erbeuten. Sie erhalten damit auch oft Zugang zu Unternehmensnetzen und können von hier aus später größer angelegte Angriffe fahren.

Nach der Entdeckung der Datenpanne im September versicherte Ubers aktuelle CISO Latha Maripuri ihren Mitarbeitern,
dass das Leck eingehend untersucht würde.

Umfassender Schutz vor Datenschutzvorfällen: ISO 27001 

Fehler passieren – auch und gerade im Arbeitsalltag.

Es gibt jedoch einige Maßnahmen, die Unternehmen präventiv umsetzen können, um Datenschutzvorfälle und Cyberangriffe zu verhindern.

So kann ein Managementsystem für Informationssicherheit (ISMS) nach ISO 27001 auch dabei helfen, Datenschutzrisiken zu erkennen und zu bewerten. Obwohl die ISO 27001 speziell eine Norm für die Informationssicherheit ist, ist eine ihrer zentralen Vorgaben das systematische Aufarbeiten von Datenlecks.

Ein ISMS ist daher ein holistischer Ansatz, um sowohl Ihre Informationssicherheit als auch Ihren Datenschutz zu regeln. Es hilft Ihnen zudem:

  • Bei der Prüfung und Optimierung des Datenschutzes in Ihrem Unternehmen. Sie implementieren Mechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen jederzeit sicherzustellen.
  • Bei der Vermeidung von Strafen und Schadenersatzansprüchen Dritter, indem Sie die Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen erhöhen.
  • Bei der Erfüllung von Vorgaben, die Ihnen aus Gesetzen, Verordnungen, regulatorischen und vertraglichen Verpflichtungen entstehen.
  • Beim effizienten Risikomanagement. Sie stellen sicher, dass im Fall eines Sicherheitsvorfalls die Geschäftsabläufe schnell und möglichst reibungslos wieder wie gewohnt laufen.
  • Beim Einsatz neuer Technologie und Compliance zu Security-Vorgaben. Sie etablieren ein zentral verwaltetes System, mit dem Sie jederzeit über Sicherheitslücken und Bedrohungen informiert sind.
  • Beim Erhalt und der Verbesserung Ihrer Marktposition. Sie zeigen, wie wichtig Ihnen die Sicherheit der Daten Ihrer Kunden und Partner ist und schaffen so den entscheidenden Wettbewerbsvorteil für Ihr Unternehmen.

Was kann DataGuard für Sie tun?

Datenschutzpannen ziehen teils empfindliche Strafen nach sich und gefährden langfristig die Reputation Ihres Unternehmens. Für das Leck im Jahr 2016 zahlte Uber allein 148 Millionen Dollar Strafe für die versuchte Vertuschung an die 50 Bundestaaten und Washington D.C.

Cyberangriffe und somit teure Datenpannen können verhindert werden – wir helfen Ihnen dabei. Mit unserem Informationssicherheit-as-a-Service Angebot bieten wir Kunden ein ganzheitliches System, mit dem Sie die Informationssicherheit und letztlich auch den Datenschutz in Ihrem Unternehmen komfortabel und unkompliziert verwalten und sicherstellen.

  1. Wir unterstützen unsere Kunden bei der Zertifizierung nach ISO 27001 – mit einer Erfolgsrate von bisher 100%.
  2. Wir helfen Ihnen bei der Digitalisierung und Automatisierung von Prozessen und Aufgaben. Auf einer zentralen Plattform laufen alle Anfragen zusammen und bieten Ihnen so eine Single Source of Truth (SSoT).
  3. Durch unsere Unterstützung bei der Zertifizierung nach ISO 27001 helfen wir Ihnen, Ihre Marktposition zu verbessern.

Unsere Experten für Informationssicherheit und ISO 27001-Zertifizierungen unterstützen Sie bei der Implementierung von Maßnahmen zur Eindämmung von Datenschutzrisiken. So können Sie sich weiterhin auf Ihr Kerngeschäft konzentrieren und wir übernehmen das, was wir am besten können: Die Menschen hinter den Daten schützen.

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren