linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Uber verschwieg Daten-Diebstahl bei über 50 Millionen Kunden

An Skandale hat sich die Öffentlichkeit beim Fahrdienst-Vermittler Uber inzwischen gewöhnt. Doch der jüngste Vorfall bei dem Start-up aus San Francisco schockiert selbst hartgesottene Beobachter. Jüngsten Medienberichten zufolge stahlen Hacker schon 2016 Daten von 57 Millionen Fahrgästen und Fahren – Uber versuchte das zu vertuschen.

100.000 US-Dollar Lösegeld
Nach einem Bericht des Finanzdienstes Bloomberg und der New York Times bezahlte Uber den Cyber-Kriminellen 100.000 US-Dollar (etwa 85.000 Euro), damit sie die gestohlenen Daten vernichten. Zwar sicherten die Hacker laut Uber zu, die gestohlenen Daten unbrauchbar gemacht zu haben. Sicher ist das jedoch nicht.

Behörden und Betroffene wurden nicht informiert. Das ist vor allem deshalb brisant, weil sich die Hacker laut Presseberichten auch Zugriff auf Namen und Fahrerlaubnis-Nummern von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden dort oft als Ausweisdokumente verwendet, was die Daten für Betrüger besonders wertvoll macht.

Die Hacker waren laut heise online im Oktober 2016 durch eine offenbar schlecht geschützte Datenbank in einem Cloud-Dienst an die Daten gekommen. Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs, teilte Uber mit.

Nicht der erste Skandal
Die Vertuschung des Cyber-Angriffs ist einer von vielen Skandalen, die einen langen Schatten auf das US-Unternehmen unter der langjährigen Führung von Travis Kalanick werfen. Uber vermittelt über Smartphone-Apps Fahrten und macht damit etablierten Taxiunternehmen Konkurrenz. Das 2009 gegründet Unternehmen entwickelte sich zu einem der wertvollsten Start-ups mit Beteiligungskapital. Nach Berichten über Sexismus, unfaire Arbeitsbedingungen und eine aggressiven Unternehmenskultur ist Uber aber schon lange umstritten.

Nichts davon hätte passieren dürfen
Nach dem erzwungenen Rücktritt von Travis Kalanick ernannte der Verwaltungsrat Dara Khosrowshahi, damals Leiter des Online-Reisebüros Expedia, zum Nachfolger. Khosrowshahi erklärte am Dienstag: „Nichts davon hätte passieren dürfen und wir werden nicht nach Ausreden dafür suchen.“ Uber arbeite daran, die Art zu ändern, wie es bislang sein Geschäft geführt habe.

Haftung und hohe Bußgelder bei Datendiebstahl
Für Uber hätte es noch schlimmer kommen können. Wäre der Datendiebstahl nämlich nach dem 25. Mai 2018 aufgedeckt worden, hätte Uber in Europa millionenschwere Strafzahlungen leisten müssen.

Ab dann gilt nämlich in den EU-Mitgliedsländern die Datenschutz-Grundverordnung (DSGVO). Unter Umständen haften dann sogar die Geschäftsführer und Vorstände bei IT-Sicherheitsvorfällen – zum Teil auch persönlich.

Außerdem sehen die Bestimmungen der DSGVO vor, dass die Unternehmen genaue Notfallpläne für den Fall eines Datendiebstahls vorlegen müssen. „In denen muss ganz klar geregelt sein, wie die Kunden und andere Betroffene informiert werden und wie der Datendiebstahl aufgeklärt wird“, erläutert Sicherheitsexperte Christian Nern von IBM gegenüber dem ZDF.

Außerdem müssen Unternehmen darlegen, welche Maßnahmen sie ergriffen haben, um den Sicherheitsvorfall zu beheben und seine negativen Folgen abzumildern. Stellt sich dann nach einem Datendiebstahl heraus, dass die Absicherung nicht dem Stand der Technik entsprochen hat oder organisatorisch unzureichend war, können die Aufsichtsbehörden in Zukunft hohe Bußgelder verhängen. (fl)

Quellen:

heise online vom 22.11.2017: Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden

SZ.de vom 22.11.2017: Uber verschwieg Diebstahl von Millionen Kundendaten

BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in DeutschlandSicherheitslücken machen Intel-Prozessoren anfällig für Attacken