Vertuschung bei Uber

Der Datenverlust bei Uber sorgt zu Recht für Schlagzeilen. Das Abhandenkommen von 57 Millionen Kundendatensätzen alleine ist bereits gravierend, allerdings übertrifft sich Uber mit seinem Verhalten vor und nach dem Vorfall.

Die Attacke vor gut einem Jahr hat nicht das Ausmaß der Vorfälle bei Yahoo, jedoch sucht die Fahrlässigkeit von Uber seines gleichen. Es brauchte über ein Jahr, bis die Öffentlichkeit und die Betroffenen überhaupt informiert wurden. Stattdessen erkaufte sich Uber das Schweigen der Hacker mit rund 85.000 Euro – ohne Erfolg. Die Datensätze selbst waren nur unzureichend geschützt und nicht verschlüsselt. Die gehackte Datenbank hatte zudem keine hinreichenden Sicherheitsmechanismen gegen Fremdzugriffe oder Authentifizierung der Nutzer.

Der Vorfall ist ein Beispiel für gleich zwei kritische Zustände:

• Unternehmen sind immer noch der Meinung, dass sie Sicherheitsprobleme unter Verschluss halten können oder erst gar nicht ins Visier von Cyberkriminellen geraten würden. Dies belegt, dass man die veränderte und gefährlichere Bedrohungslage nicht wahrnimmt. Cyberattacken gehören mittlerweile zum Alltag und Unternehmen müssen sich organisatorisch und technologisch so aufstellen, dass sie auf Vorfälle angemessen reagieren können.
• Das BSI warnt im neuen Lagebericht zur IT-Sicherheit vor einer Zunahme an Angriffen und spricht erneut vom „Assume the Breach“-Paradigma. Genau deshalb müssen IT-Verantwortliche immer davon ausgehen, dass ihre Netzwerke gehackt werden. Konkret bedeutet dies, dass Schutzmechanismen wie Verschlüsselung über den kompletten Lebenszyklus von Dateien, sowie Access Management und starke Authentifizierung implementiert werden sollten. Sie alle hätten im Fall von Uber dem Angriff entgegengewirkt.

Allein im ersten Halbjahr 2017 gingen 1,9 Milliarden Datensätze weltweit verloren – nur etwa ein Prozent davon war durch Verschlüsselung geschützt. In Bezug auf Uber wurde zudem eine gestohlene Identität genutzt, um sich Zugriff auf Daten zu erschleichen. Speziell diese Art von Attacken ist in den letzten Monaten stark gewachsen und nimmt mittlerweile 74 Prozent aller Angriffe ein. Deshalb sollten Unternehmen diesen Gefahrenherd genau im Auge behalten.

Gerade „Born-Digital“-Unternehmen wie Uber müssen es eigentlich besser wissen. Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen. Das BSI schreibt passend: „Denn Cyber-Sicherheit ist keine Innovationsbremse, sondern ein Innovationsgarant“. Die Vorteile der Digitalisierung können nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss. Daher sind Unternehmen jetzt am Zug und müssen einen entsprechenden Schutz von Informationen gewährleisten.