Datenpanne bei Uber-Tochter Drizly: 2,5 Millionen Nutzerdaten geleakt

Worum ging es genau?

• Drizly verarbeitet und speichert eine Vielzahl personenbezogener Kundendaten.
• Dazu gehören Adressen, Standortdaten, Mailadressen, Telefonnummern und Geräte-Identifikationsnummern.
• Bei einem Vorfall zwei Jahre vor dem hier verhandelten Fall waren die Server von Drizly ungeschützt für Angreifer zugänglich gewesen. 2020 war es einem Hacker dann gelungen, über den Account eines Mitarbeiters Zugriff auf das Github-Verzeichnis des Unternehmens bekommen. Darüber war er wiederum in der Lage, auf die interne Datenbank Drizlys zuzugreifen und Kundendaten zu stehlen.
• Schon beim Vorfall 2018 hatte man den CEO des Unternehmens auf Sicherheitsprobleme bei Drizly aufmerksam gemacht. Rellas unternahm jedoch nichts, um die Daten seiner Kunden zu schützen.
• Dies führte letztendlich zum Datenleck von 2020, bei dem die Daten von mehr als 2,5 Millionen Drizly-Nutzern für Fremde zugänglich wurden.

In einer offiziellen Mitteilung versicherte Drizly, dass „mit 100%iger Sicherheit“ „keine finanziell relevanten Daten“ ungeschützt gewesen wären.

Leider ist Drizly nicht das erste Unternehmen, das von einer solch massiven Datenpanne betroffen war. Tatsächlich war es Drizlys Mutterunternehmen Uber, über das in den vergangenen zehn Jahren immer wieder neue große Datenlecks öffentlich wurden.

Die Beispiele zeigen, dass gerade große Tech-Firmen häufig Opfer großabgelegter Hacking-Angriffe sind und dementsprechend gute Sicherheitsmaßnahmen implementieren sollten.

Das wirft die FTC Drizly vor:

Im Zusammenhang mit 2020er Datenleck werden Drizly und seinem CEO nun eine Vielzahl von Versäumnissen vorgeworfen:

• Der FTC zufolge hatten Drizly und sein CEO es versäumt, einige grundlegende Sicherheitsvorkehrungen für die Daten ihrer Kunden zu treffen:

• Um auf das Unternehmens-GitHub zuzugreifen, mussten die Mitarbeiter sich nicht per Zwei-Faktor-Authentifizierung legitimieren.

• Der Zugang zu Kundendaten war für Mitarbeiter in keiner Form eingeschränkt (z.B. durch unterschiedliche Rechte je nach Mitarbeiterrolle).

• Es gab keinerlei Dokumentation von Sicherheitsrichtlinien, geschweige denn ausreichende Schulungen für Mitarbeiter, um diese Richtlinien umzusetzen.

• Zudem verletzte Drizly die Sicherheitsrichtlinien von GitHub, indem sie sensible Informationen (Logindaten) auf ihrer nicht abgesicherten Plattform speicherten.
• Zusätzlich hatte Drizly seine Netzwerke nicht überwacht und nicht vor unautorisiertem Zugriff geschützt. Es gab außerdem keinen dezidierten Datenschutzbeauftragten auf Managementebene.
• Die Kundendaten tauchten nach dem Leck im Darknet auf. Damit wurden hochsensible personenbezogene Daten für Identitätsdiebe, Hacker und andere Kriminelle zugänglich und für entsprechende Aktivitäten nutzbar.

Nach einem Skandal dieses Ausmaßes ist es nicht unüblich, dass sich Mitarbeiter der höchsten Managementebene einen neuen Arbeitgeber suchen. Diesen Fall hat die FTC jedoch einkalkuliert und möchte Rellas auch für die kommenden zehn Jahre verpflichten, bestimmte Vorgaben zu befolgen – egal, für welches Unternehmen er arbeitet.

Samuel Levine, Leiter der Verbraucherschutzabteilung der FTC, sagte dazu: „Unsere Vorgaben verpflichten nicht nur Drizly, bei der Sammlung und Verarbeitung von Daten die gebotene Vorsicht walten zu lassen. Auch der CEO muss nun für die Versäumnisse seines Unternehmens Verantwortung übernehmen.“

Was genau bedeutet das nun für Drizly und Rellas und was verlangt die FTC von Drizly und seinem CEO?

Der Vorfall hatte Auswirkungen auf Millionen von Kunden. Entsprechend schwerwiegend sind die Folgen des Lecks auch für Drizly und Rellas. Der Vorschlag der FTC umfasst folgende Bedingungen, an die sie sich sowohl als Organisation als auch als Einzelperson halten sollen:

Anforderungen an Drizly:

• Alle personenbezogenen Daten, die nicht für konkrete Aufgaben verwendet werden, müssen gelöscht werden. Zusätzlich ist die FTC darüber zu informieren, welche Daten gelöscht wurden.
• Der Umfang, in dem Daten gesammelt und gespeichert werden, muss begrenzt werden. Die Daten sind in Kategorien zu unterteilen, die unter anderem ihren Verwendungszweck und die maximale Dauer ihrer Aufbewahrung definieren.
• Das Unternehmen muss ein umfassendes Informationssicherheitsprogramm implementieren. Dieses Programm muss insbesondere die Sicherheitsprobleme ansprechen, die in diesem Fall eine Rolle gespielt hatten. Drizly muss also:
  • Mitarbeiter schulen,
  • einen Datenschutzbeauftragten auf Managementebene bestellen,
  • Zugriffsbeschränkungen für personenbezogene Daten implementieren und
  • Zwei-Faktor-Authentifizierungen für den Zugriff auf Daten einführen.

Rellas wird mit sehr großer Wahrscheinlich in Zukunft Eigentümer oder Manager eines anderen großen Unternehmens werden. Sollte dieses Unternehmen ebenfalls mit personenbezogenen Daten von mehr als 25.000 bettoffenen Personen arbeiten, ist Rellas für die kommenden zehn Jahre zu einigen Maßnahmen verpflichtet. Diese wurden noch nicht final festgelegt, der Vorschlag besagt jedoch Folgendes:

Anforderungen an den CEO:

• Rellas wird verpflichtet, den Inhalt, die Einführung und Durchführung eines Informationssicherheitsprogramms für das Unternehmen schriftlich zu dokumentieren.
• Er wird außerdem verpflichtet, die Unternehmensleitung und weitere Mitglieder der obersten Managementebene über das Informationssicherheitsprogramm in Kenntnis zu setzen.
• Um sicherzustellen, dass das Informationssicherheitsprogramm entsprechend umgesetzt wird, muss Rellas hierfür zuständiges Personal einstellen oder zuordnen.
• Er hat Bedrohungen für die Sicherheit des Unternehmens zu identifizieren und zu dokumentieren, sowie jährlich zu prüfen, ob die Sicherheitsmaßnahmen geeignet sind, diesen zu begegnen.
• Rellas wird verpflichtet, jährlich zu prüfen, ob die eingeführten Sicherheitsmaßnahmen effektiv und geeignet sind. Dies beinhaltet mindestens drei unternehmensweite Schwachstellenanalysen pro Jahr und Penetrationstest mindestens einmal pro Jahr.
• Er muss Dienstleister genau prüfen und die Implementierung geeigneter Sicherheitsmaßnahmen fordern und vertraglich festlegen.
• Er wird verpflichtet, das Informationssicherheitsprogramm mindestens einmal im Jahr genau zu prüfen und entsprechend der Änderungen auf Unternehmens- und technologischer Ebene anzupassen.

Datenpannen können schwerwiegende Folgen haben. Entsprechend groß sind die Anforderungen an diejenigen, die die Datensicherheit im Unternehmen an höchster Stelle verantworten. Die FTC folgt mit dem Urteil nun diesem Anspruch und fordert verstärkt die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten ein.

In einer gemeinsamen Mitteilung verweisen FTC-Vorsitzende Lina M. Khan und Alvaro M. Bedoya auf Drizlys „Nachlässigkeit in Bezug auf die Daten- und Informationssicherheit“ und warnen andere „Marktteilnehmer“, den Umfang ihrer „Datensammlung und Datenspeicherung“ sinnvoll zu begrenzen. Sie verdeutlichen außerdem, wie wichtig es ist, Führungskräfte für Datenpannen in die Verantwortung zu nehmen. Nur so sei sichergestellt, dass sie „ihre Verantwortung in Bezug auf den Schutz von Daten wahrnehmen und gesetzliche Vorgaben einhalten.“

Fazit: sichern Sie sich frühzeitig ab

• Sicherheitsvorfälle können vermieden werden. Dafür ist es aber unabdingbar, Risiken für die Informationssicherheit in einem systematischen Prozess zu identifizieren, zu dokumentieren, zu bewerten und geeignete Gegenmaßnahmen festzulegen. Wird dies nicht getan, können Führungskräfte wie im Fall Drizly/Rellas persönlich zur Verantwortung gezogen werden.
• Informationssicherheit ist Führungsaufgabe. Entsprechend ernst sollten Führungskräfte ihre Verantwortung in diesem Bereich nehmen und wirksame Maßnahmen implementieren – insbesondere Richtlinien für die Informationssicherheit und regelmäßige Mitarbeiterschulungen und -trainings.
• Setzen Sie überall dort Multi-Faktor-Authentifizierung ein, wo sie sich sinnvoll einsetzen lässt. Der Aufwand ist gering, die Sicherheit von Daten und Informationen erhöht sich immens.
• Erheben und speichern Sie nur die Daten, die Sie auch wirklich benötigen. Das hilft Ihnen, die Risiken in Bezug auf Datenlecks zu minimieren.
• Die gesetzlichen Rahmenbedingungen rund um Informationssicherheit und Datenschutz werden immer wieder überarbeitet. Informieren Sie sich daher laufend, welche Anforderungen in puncto Datenschutz derzeit an Ihr Unternehmen gestellt werden.

Drizly und Rellas ignorierten über Jahre hinweg Warnungen in Bezug auf bestehende Sicherheitsprobleme – mit schwerwiegenden Folgen. So gelangten nicht nur tausende sensibler Daten an die Öffentlichkeit. Auch das Ansehen des Unternehmens und das Vertrauen der Kunden in seine Geschäftspraktiken litten stark unter dem Vorfall.

Datenpannen wie die 2020 bei Drizly sind vermeidbar. Mit geeigneten Maßnahmen, die den Schutz von Daten gewährleisten und Ihre Informationen schützen stärken Sie zudem Ihre Reputation unter Stakeholdern.

Vereinbaren Sie noch heute einen Gesprächstermin mit unseren Experten für Informationssicherheit und erfahren Sie, wie Sie das Thema von Anfang an richtig angehen.