2 Min

Was uns die Uber Datenpanne über Informationssicherheit lehrt

Das Wichtigste auf einen Blick:

  • Im Jahr 2016 vertuschte der damalige Chief Security Officer (CSO) Joseph Sullivan des Car-Sharing Anbieters Uber ein massives Datenleck. Hacker hatten Daten von mehr als 50 Millionen Kunden und Fahrern erbeutet und öffentlich gemacht.
  • Sullivan kam vor Gericht – eines der ersten Male, dass sich eine hochrangige Führungsperson für die Folgen einer Cyberattacke vor Gericht verantworten musste. Der frühere CSO wurde entlassen und durch die US-Behörden wegen Strafvereitelung (US-Kartellbehörde) und bewusstem Verschweigen einer Straftat belangt.
  • Das Leck betraf auch Fahrer aus EU-Ländern (Großbritannien und den Niederlanden), sodass Uber auch den europäischen Datenschutzbehörden empfindliche Strafen zahlen musste (mehr als 1,2 Millionen US-Dollar). Wie das britische Koordinierungszentrum für Cybersicherheit (NCSC) berichtete, waren allein in Großbritannien „etwa 2,7 Millionen Nutzeraccounts betroffen.“

Worum ging es genau?

  • Cyberkriminelle erbeuteten die Daten von 57 Millionen Uber-Nutzern und -Fahrern und forderten 100.000 US-Dollar. Als Gegenleistung versprachen sie, ihre Kopien der gestohlenen Daten – Namen, Telefonnummern, Mailadressen und mehr als 600.000 Führerscheinnummern – zu löschen.
  • Der damalige Uber-CSO zahlte das Geld. Die Zahlung verbuchte er als Belohnung für ein sogenanntes „Bug-Bounty-Programm“, ein Programm, bei dem Einzelpersonen für das Entdecken und Melden von Software-Bugs belohnt werden.
  • Die Zahlung wurde in Bitcoin geleistet, die Hacker zur Unterzeichnung einer Erklärung verpflichtet, dass keine der gestohlenen Daten öffentlich gemacht wurden. Ob dennoch Daten nach außen gelangt sind, ist unklar.
  • Der Vorfall wurde weder gegenüber den Behörden noch der Öffentlichkeit gemeldet – bis zur Berufung eines neuen Uber-CEO im Jahr 2017, Dara Khosrowshani.
  • Am 05. Oktober 2022 wurde Sullivan schließlich für schuldig befunden. Ihn erwarten bis zu acht Jahre Haft wegen Strafvereitelung und Nichtmeldung des Datenlecks.
  • In einer offiziellen Mitteilung aus dem Jahr 2017 versicherte Khrosrowshahi die Uber-Community, dass die Kriminellen keine sensibleren Daten wie „Fahrtverläufe, Kreditkartennummern, Kontodaten, Sozialversicherungsnummern oder Geburtsdaten“ erbeutet hätten.

Während Sullivan noch auf die Verkündigung seines Strafmaßes wartet, wurde unlängst das nächste Datenleck im Hause Uber bekannt.

Ein Mitarbeiter hatte vermeintlichen IT-Mitarbeitern Passwörter mitgeteilt und so Hackern potenziell Zugriff auf Unternehmensaccounts gewährt. Solches „Social Engineering“, also Methoden, bei denen sich Kriminelle als vermeintlich vertrauenswürdige Personen ausgeben, kommt immer häufiger bei Cyberangriffen zum Einsatz.

Laut CEO Rachel Tobac von SocialProof sind inzwischen auch immer mehr Tech-Unternehmen Ziel solcher Attacken. Die Hacker nutzen die Methode nicht nur, um Daten zu erbeuten. Sie erhalten damit auch oft Zugang zu Unternehmensnetzen und können von hier aus später größer angelegte Angriffe fahren.

Nach der Entdeckung der Datenpanne im September versicherte Ubers aktuelle CISO Latha Maripuri ihren Mitarbeitern,
dass das Leck eingehend untersucht würde.

Umfassender Schutz vor Datenschutzvorfällen: ISO 27001 

Fehler passieren – auch und gerade im Arbeitsalltag.

Es gibt jedoch einige Maßnahmen, die Unternehmen präventiv umsetzen können, um Datenschutzvorfälle und Cyberangriffe zu verhindern.

So kann ein Managementsystem für Informationssicherheit (ISMS) nach ISO 27001 auch dabei helfen, Datenschutzrisiken zu erkennen und zu bewerten. Obwohl die ISO 27001 speziell eine Norm für die Informationssicherheit ist, ist eine ihrer zentralen Vorgaben das systematische Aufarbeiten von Datenlecks.

Ein ISMS ist daher ein holistischer Ansatz, um sowohl Ihre Informationssicherheit als auch Ihren Datenschutz zu regeln. Es hilft Ihnen zudem:

  • Bei der Prüfung und Optimierung des Datenschutzes in Ihrem Unternehmen. Sie implementieren Mechanismen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen jederzeit sicherzustellen.
  • Bei der Vermeidung von Strafen und Schadenersatzansprüchen Dritter, indem Sie die Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberangriffen erhöhen.
  • Bei der Erfüllung von Vorgaben, die Ihnen aus Gesetzen, Verordnungen, regulatorischen und vertraglichen Verpflichtungen entstehen.
  • Beim effizienten Risikomanagement. Sie stellen sicher, dass im Fall eines Sicherheitsvorfalls die Geschäftsabläufe schnell und möglichst reibungslos wieder wie gewohnt laufen.
  • Beim Einsatz neuer Technologie und Compliance zu Security-Vorgaben. Sie etablieren ein zentral verwaltetes System, mit dem Sie jederzeit über Sicherheitslücken und Bedrohungen informiert sind.
  • Beim Erhalt und der Verbesserung Ihrer Marktposition. Sie zeigen, wie wichtig Ihnen die Sicherheit der Daten Ihrer Kunden und Partner ist und schaffen so den entscheidenden Wettbewerbsvorteil für Ihr Unternehmen.

Was kann DataGuard für Sie tun?

Datenschutzpannen ziehen teils empfindliche Strafen nach sich und gefährden langfristig die Reputation Ihres Unternehmens. Für das Leck im Jahr 2016 zahlte Uber allein 148 Millionen Dollar Strafe für die versuchte Vertuschung an die 50 Bundestaaten und Washington D.C.

Cyberangriffe und somit teure Datenpannen können verhindert werden – wir helfen Ihnen dabei. Mit unserem Informationssicherheit-as-a-Service Angebot bieten wir Kunden ein ganzheitliches System, mit dem Sie die Informationssicherheit und letztlich auch den Datenschutz in Ihrem Unternehmen komfortabel und unkompliziert verwalten und sicherstellen.

  1. Wir unterstützen unsere Kunden bei der Zertifizierung nach ISO 27001 – mit einer Erfolgsrate von bisher 100%.
  2. Wir helfen Ihnen bei der Digitalisierung und Automatisierung von Prozessen und Aufgaben. Auf einer zentralen Plattform laufen alle Anfragen zusammen und bieten Ihnen so eine Single Source of Truth (SSoT).
  3. Durch unsere Unterstützung bei der Zertifizierung nach ISO 27001 helfen wir Ihnen, Ihre Marktposition zu verbessern.

Unsere Experten für Informationssicherheit und ISO 27001-Zertifizierungen unterstützen Sie bei der Implementierung von Maßnahmen zur Eindämmung von Datenschutzrisiken. So können Sie sich weiterhin auf Ihr Kerngeschäft konzentrieren und wir übernehmen das, was wir am besten können: Die Menschen hinter den Daten schützen.

 

Über den Autor

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000