Datenpanne bei Uber-Tochter Drizly: 2,5 Millionen Nutzerdaten geleakt

  • Als Bestell- und Lieferplattform von Alkohol für lokale Einzelhändler in den USA verarbeitet Drizly über seine mobile App und Website zahlreiche personenbezogene Daten. Wegen eines massiven Datenlecks verhängte die US-Verbraucherschutz- und Kartellbehörde FTC nun Sanktionen gegen das Unternehmen selbst und seinen CEO, James Cory Rellas.
  • Der Grund für die Sanktionen: 2020 kam es zu einem Vorfall bei dem Daten von etwa 2,5 Millionen Kunden geleakt worden wurden.
  • Das Brisante: Bereits 2018 waren Defizite in Drizlys Umgang mit sensiblen Daten bekannt geworden. Unternommen wurde jedoch scheinbar nichts.
  • „Drizly & Rellas wurden bereits zwei Jahre vor dem Vorfall auf Sicherheitsprobleme aufmerksam gemacht – aktiv wurden sie nicht. Stattdessen wurden sensible Informationen weiterhin auf einer nicht abgesicherten Plattform gespeichert, regelmäßige Kontrollen auf Sicherheitsrisiken blieben aus und Kunden waren Hackern und Identitätsdieben schutzlos ausgeliefert,“ kommentierte FTC-Vorsitzende Lina Khan in einem Tweet Anfang November.
  • Drizly soll nun verpflichtet werden, viele kurz- und langfristig wirksame Auflagen zu erfüllen – einige davon gelten für einen Zeitraum von bis zu 20 Jahren.
  • Die FTC fordert von CEO Cory James Rellas zusätzlich, in jedem Unternehmen umfangreiche Sicherheitsmaßnahmen einzuführen, für das er innerhalb der kommenden zehn Jahre als CEO oder Mehrheitseigner tätig wird und das personenbezogene Daten von mehr als 25.000 Personen verarbeitet.

Worum ging es genau?

  • Drizly verarbeitet und speichert eine Vielzahl personenbezogener Kundendaten.
  • Dazu gehören Adressen, Standortdaten, Mailadressen, Telefonnummern und Geräte-Identifikationsnummern.
  • Bei einem Vorfall zwei Jahre vor dem hier verhandelten Fall waren die Server von Drizly ungeschützt für Angreifer zugänglich gewesen. 2020 war es einem Hacker dann gelungen, über den Account eines Mitarbeiters Zugriff auf das Github-Verzeichnis des Unternehmens bekommen. Darüber war er wiederum in der Lage, auf die interne Datenbank Drizlys zuzugreifen und Kundendaten zu stehlen.
  • Schon beim Vorfall 2018 hatte man den CEO des Unternehmens auf Sicherheitsprobleme bei Drizly aufmerksam gemacht. Rellas unternahm jedoch nichts, um die Daten seiner Kunden zu schützen.
  • Dies führte letztendlich zum Datenleck von 2020, bei dem die Daten von mehr als 2,5 Millionen Drizly-Nutzern für Fremde zugänglich wurden.

In einer offiziellen Mitteilung versicherte Drizly, dass „mit 100%iger Sicherheit“ „keine finanziell relevanten Daten“ ungeschützt gewesen wären.

Leider ist Drizly nicht das erste Unternehmen, das von einer solch massiven Datenpanne betroffen war. Tatsächlich war es Drizlys Mutterunternehmen Uber, über das in den vergangenen zehn Jahren immer wieder neue große Datenlecks öffentlich wurden.

Die Beispiele zeigen, dass gerade große Tech-Firmen häufig Opfer großabgelegter Hacking-Angriffe sind und dementsprechend gute Sicherheitsmaßnahmen implementieren sollten.

Das wirft die FTC Drizly vor:

Im Zusammenhang mit 2020er Datenleck werden Drizly und seinem CEO nun eine Vielzahl von Versäumnissen vorgeworfen:

  • Der FTC zufolge hatten Drizly und sein CEO es versäumt, einige grundlegende Sicherheitsvorkehrungen für die Daten ihrer Kunden zu treffen:
  • Um auf das Unternehmens-GitHub zuzugreifen, mussten die Mitarbeiter sich nicht per Zwei-Faktor-Authentifizierung legitimieren.
  • Der Zugang zu Kundendaten war für Mitarbeiter in keiner Form eingeschränkt (z.B. durch unterschiedliche Rechte je nach Mitarbeiterrolle).
  • Es gab keinerlei Dokumentation von Sicherheitsrichtlinien, geschweige denn ausreichende Schulungen für Mitarbeiter, um diese Richtlinien umzusetzen.
  • Zudem verletzte Drizly die Sicherheitsrichtlinien von GitHub, indem sie sensible Informationen (Logindaten) auf ihrer nicht abgesicherten Plattform speicherten.
  • Zusätzlich hatte Drizly seine Netzwerke nicht überwacht und nicht vor unautorisiertem Zugriff geschützt. Es gab außerdem keinen dezidierten Datenschutzbeauftragten auf Managementebene.
  • Die Kundendaten tauchten nach dem Leck im Darknet auf. Damit wurden hochsensible personenbezogene Daten für Identitätsdiebe, Hacker und andere Kriminelle zugänglich und für entsprechende Aktivitäten nutzbar.

Nach einem Skandal dieses Ausmaßes ist es nicht unüblich, dass sich Mitarbeiter der höchsten Managementebene einen neuen Arbeitgeber suchen. Diesen Fall hat die FTC jedoch einkalkuliert und möchte Rellas auch für die kommenden zehn Jahre verpflichten, bestimmte Vorgaben zu befolgen – egal, für welches Unternehmen er arbeitet.

Samuel Levine, Leiter der Verbraucherschutzabteilung der FTC, sagte dazu: „Unsere Vorgaben verpflichten nicht nur Drizly, bei der Sammlung und Verarbeitung von Daten die gebotene Vorsicht walten zu lassen. Auch der CEO muss nun für die Versäumnisse seines Unternehmens Verantwortung übernehmen.“

 

Was genau bedeutet das nun für Drizly und Rellas und was verlangt die FTC von Drizly und seinem CEO?

Der Vorfall hatte Auswirkungen auf Millionen von Kunden. Entsprechend schwerwiegend sind die Folgen des Lecks auch für Drizly und Rellas. Der Vorschlag der FTC umfasst folgende Bedingungen, an die sie sich sowohl als Organisation als auch als Einzelperson halten sollen:

Anforderungen an Drizly:

  • Alle personenbezogenen Daten, die nicht für konkrete Aufgaben verwendet werden, müssen gelöscht werden. Zusätzlich ist die FTC darüber zu informieren, welche Daten gelöscht wurden.
  • Der Umfang, in dem Daten gesammelt und gespeichert werden, muss begrenzt werden. Die Daten sind in Kategorien zu unterteilen, die unter anderem ihren Verwendungszweck und die maximale Dauer ihrer Aufbewahrung definieren.
  • Das Unternehmen muss ein umfassendes Informationssicherheitsprogramm implementieren. Dieses Programm muss insbesondere die Sicherheitsprobleme ansprechen, die in diesem Fall eine Rolle gespielt hatten. Drizly muss also:
    • Mitarbeiter schulen,
    • einen Datenschutzbeauftragten auf Managementebene bestellen,
    • Zugriffsbeschränkungen für personenbezogene Daten implementieren und
    • Zwei-Faktor-Authentifizierungen für den Zugriff auf Daten einführen.

Rellas wird mit sehr großer Wahrscheinlich in Zukunft Eigentümer oder Manager eines anderen großen Unternehmens werden. Sollte dieses Unternehmen ebenfalls mit personenbezogenen Daten von mehr als 25.000 bettoffenen Personen arbeiten, ist Rellas für die kommenden zehn Jahre zu einigen Maßnahmen verpflichtet. Diese wurden noch nicht final festgelegt, der Vorschlag besagt jedoch Folgendes:

Anforderungen an den CEO:

  • Rellas wird verpflichtet, den Inhalt, die Einführung und Durchführung eines Informationssicherheitsprogramms für das Unternehmen schriftlich zu dokumentieren.
  • Er wird außerdem verpflichtet, die Unternehmensleitung und weitere Mitglieder der obersten Managementebene über das Informationssicherheitsprogramm in Kenntnis zu setzen.
  • Um sicherzustellen, dass das Informationssicherheitsprogramm entsprechend umgesetzt wird, muss Rellas hierfür zuständiges Personal einstellen oder zuordnen.
  • Er hat Bedrohungen für die Sicherheit des Unternehmens zu identifizieren und zu dokumentieren, sowie jährlich zu prüfen, ob die Sicherheitsmaßnahmen geeignet sind, diesen zu begegnen.
  • Rellas wird verpflichtet, jährlich zu prüfen, ob die eingeführten Sicherheitsmaßnahmen effektiv und geeignet sind. Dies beinhaltet mindestens drei unternehmensweite Schwachstellenanalysen pro Jahr und Penetrationstest mindestens einmal pro Jahr.
  • Er muss Dienstleister genau prüfen und die Implementierung geeigneter Sicherheitsmaßnahmen fordern und vertraglich festlegen.
  • Er wird verpflichtet, das Informationssicherheitsprogramm mindestens einmal im Jahr genau zu prüfen und entsprechend der Änderungen auf Unternehmens- und technologischer Ebene anzupassen.

Datenpannen können schwerwiegende Folgen haben. Entsprechend groß sind die Anforderungen an diejenigen, die die Datensicherheit im Unternehmen an höchster Stelle verantworten. Die FTC folgt mit dem Urteil nun diesem Anspruch und fordert verstärkt die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten ein.

In einer gemeinsamen Mitteilung verweisen FTC-Vorsitzende Lina M. Khan und Alvaro M. Bedoya auf Drizlys „Nachlässigkeit in Bezug auf die Daten- und Informationssicherheit“ und warnen andere „Marktteilnehmer“, den Umfang ihrer „Datensammlung und Datenspeicherung“ sinnvoll zu begrenzen. Sie verdeutlichen außerdem, wie wichtig es ist, Führungskräfte für Datenpannen in die Verantwortung zu nehmen. Nur so sei sichergestellt, dass sie „ihre Verantwortung in Bezug auf den Schutz von Daten wahrnehmen und gesetzliche Vorgaben einhalten.“

Fazit: sichern Sie sich frühzeitig ab

  • Sicherheitsvorfälle können vermieden werden. Dafür ist es aber unabdingbar, Risiken für die Informationssicherheit in einem systematischen Prozess zu identifizieren, zu dokumentieren, zu bewerten und geeignete Gegenmaßnahmen festzulegen. Wird dies nicht getan, können Führungskräfte wie im Fall Drizly/Rellas persönlich zur Verantwortung gezogen werden.
  • Informationssicherheit ist Führungsaufgabe. Entsprechend ernst sollten Führungskräfte ihre Verantwortung in diesem Bereich nehmen und wirksame Maßnahmen implementieren – insbesondere Richtlinien für die Informationssicherheit und regelmäßige Mitarbeiterschulungen und -trainings.
  • Setzen Sie überall dort Multi-Faktor-Authentifizierung ein, wo sie sich sinnvoll einsetzen lässt. Der Aufwand ist gering, die Sicherheit von Daten und Informationen erhöht sich immens.
  • Erheben und speichern Sie nur die Daten, die Sie auch wirklich benötigen. Das hilft Ihnen, die Risiken in Bezug auf Datenlecks zu minimieren.
  • Die gesetzlichen Rahmenbedingungen rund um Informationssicherheit und Datenschutz werden immer wieder überarbeitet. Informieren Sie sich daher laufend, welche Anforderungen in puncto Datenschutz derzeit an Ihr Unternehmen gestellt werden.

Drizly und Rellas ignorierten über Jahre hinweg Warnungen in Bezug auf bestehende Sicherheitsprobleme – mit schwerwiegenden Folgen. So gelangten nicht nur tausende sensibler Daten an die Öffentlichkeit. Auch das Ansehen des Unternehmens und das Vertrauen der Kunden in seine Geschäftspraktiken litten stark unter dem Vorfall.

Datenpannen wie die 2020 bei Drizly sind vermeidbar. Mit geeigneten Maßnahmen, die den Schutz von Daten gewährleisten und Ihre Informationen schützen stärken Sie zudem Ihre Reputation unter Stakeholdern.

Vereinbaren Sie noch heute einen Gesprächstermin mit unseren Experten für Informationssicherheit und erfahren Sie, wie Sie das Thema von Anfang an richtig angehen.

 
Image CTA Expert Male 1 MOBILE Image CTA Expert Male 1 MOBILE

Bleiben Sie auf dem Laufenden

Monatliche Updates zu Datenschutz & Informationssicherheit sowie Zugriff auf praktische Guides und Checklisten

Über den Autor

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000