Uber zahlte Schweigegeld an Hacker


Es hatte so schön begonnen für Uber. Die Serie der Skandale schien in jüngster Zeit abgerissen zu sein. Die Debatten über Sexismus, Macho-Kultur und Managementprobleme beim Fahrdienst waren nahezu verstummt. Stattdessen war viel vom „Kulturwandel“ die Rede, die CEO Dara Khosrowshahi, der leise Nachfolger des großspurigen Travis Kalanick, der Firma verordnet hatte.

Der neue Investor Softbank und die Roboter-Auto-Flotte aus dem Hause Volvo sollten der Firma den Weg in eine Eklat freie Zukunft ebnen. Aus der Traum. Wieder mal bestätigt sich der fatale Eindruck, dass es Uber bei seinem aggressiven Expansionskurs mit Gesetzen oder Vorschriften nicht so ernst nahm.

Wie der neue Chef nun einräumen musste, war die Firma im Oktober 2016 von Hackern attackiert worden. Zwei Angreifer hatten persönliche Daten von 57 Millionen Fahrern und Fahrgästen illegal kopiert. Statt den Vorfall bei den Betroffenen oder den Behörden zu melden, wie es das Gesetz vorsieht, vertuschte Uber das Sicherheitsproblem ein Jahr lang und zahlte den Kriminellen ein Schweigegeld von 100.000 Dollar.


„Nichts von dem hätte passieren dürfen”, entschuldigte sich Khosrowshahi. Er selbst habe von dem Vorfall erst „kürzlich” erfahren. Uber arbeite hart daran, „das Vertrauen unserer Kunden zu verdienen”. Der Manager bemüht sich um Schadensbegrenzung.

Wie massive Datenverluste bei Yahoo oder dem US-Kreditinstitut Equifax zeigen, kommen Einbrüche in der Techbranche immer häufiger vor. Und sie sind angesichts der zunehmenden Vernetzung aller Lebensbereiche auch kaum mehr zu vermeiden. Doch der Mangel an Transparenz wiegt schwer. Das Schweigen sei ein „Fehler” gewesen, räumte Khosrowshahi ein.


Insgesamt erbeuteten die Hacker 57 Millionen Datensätze von Uber-Nutzern aus aller Welt mit Informationen über Namen, E-Mail-Adressen und Mobilfunknummern. Zum Diebesgut gehörten auch Führerscheininformationen von 600.000 Fahrern in den Vereinigten Staaten. Erheblich sicherheitskritischere Daten von Kreditkarten, Kontos, Sozialversicherungsnummern oder Details zu Fahrten seien hingegen nicht abgegriffen worden, beteuert Uber.



Der New Yorker Generalstaatsanwalt ermittelt nun


Die Angreifer hätten sich die Daten über einen Einbruch bei einem externen Cloud-Dienstleister verschafft, die eigene IT sei nicht geknackt worden, versichert Khosrowshahi. Alle bekannten Sicherheitslücken habe man sofort geschlossen, kompromittierte Profile würden nun sehr genau beobachtet. Einen Missbrauch der erbeuteten Daten will Uber bisher nicht festgestellt haben.

Den Diebstahl will Uber durch eine vom Aufsichtsrat veranlasste interne Untersuchung gegen das eigene Sicherheitsteam selbst aufgedeckt haben. Der bisherige Sicherheitschef Joe Sullivan und einer seiner Angestellten verloren daraufhin ihren Job.

Khosrowshahi beauftragte stattdessen den ehemaligen NSA-Berater Matt Olsen, das Sicherheitsteam neu aufzustellen. Auch die inzwischen zum IT-Sicherheitsdienst Fireeye gehörende Firma Mandiant ist mit der Aufarbeitung des Falls betraut.



Mit den Neuigkeiten kam noch ein weiteres pikantes Detail ans Tageslicht. Der damalige Noch-Chef Travis Kalanick soll über das Sicherheitsproblem bereits im November 2016 informiert worden sein. Zu dieser Zeit einigte er sich gerade mit den US-Wettbewerbshütern der Federal Trade Commission (FTC) über neue Privatsphäre-Standards. Der New Yorker Generalstaatsanwalt Eric Schneiderman ordnete umgehend Ermittlungen zu dem Datendiebstahl an.



Mit dem verschwiegenen Sicherheitsproblem spitzt sich der juristische Ärger für Uber zu. In zwei Wochen muss der Mobilitätsservice sich vor einem Gericht in San Francisco bereits gegen eine Klage der Alphabet-Tochter Waymo wehren. Googles Auto-Einheit wirft Uber vor, sich illegal Zugriff auf Informationen über Forschung zu selbstfahrenden Autos verschafft zu haben.

KONTEXT

Fünf Einfallstore für Hacker

"Todsichere Tipps"

Digitale Kompetenz ist im Mittelstand weiterhin ungleich verteilt. Der IT-Sicherheitsdienstleister Nexus hat fünf "todsichere Tipps" zusammengestellt für alle, die Opfer eines Hackerangriffs werden möchten.

Passwort mit weniger als acht Zeichen

Das zu knacken, dauert in der Regel nicht einmal eine Minute. Längere Passwörter sind zwar sicherer, empfehlenswert ist dennoch die Kombination mit einer weiteren Authentifizierungsmethode - beispielsweise einer Smartcard. Eine solche Zwei-Faktor-Authentifizierung bietet einen zuverlässigen Schutz und hilft, Sicherheitsrisiken zu vermeiden.

Verschiedene Schlüssel

Wer schon einmal seine Geldbörse oder seine Schlüssel verloren hat, weiß: Je mehr Schlüssel und je mehr Karten man besitzt, desto mehr Schlösser sind im Fall eines Verlusts oder Diebstahls auszutauschen und desto mehr Karten zu sperren. Wer sämtliche Zugänge auf einer geschützten Karte speichert, hat nicht nur eine bessere Übersicht über seine Datenträger, sondern muss sich bei Verlust auch nur noch um die Sperrung einer einzigen Karte kümmern.

Das passiert nur den anderen

Kein Unternehmen ist zu klein oder zu unwichtig für einen Cyberangriff. Zwar setzen viele IT-Chefs als gefährlich eingestufte Webseiten und Programme auf eine Blacklist - sicherer aber ist es, die als ungefährlich geltenden Programme über Whitelists zu erlauben und alle anderen Programme grundsätzlich zu blockieren. Whitelisting eignet sich besonders für vernetzte Geräte, die nur zu bestimmten Zwecken, aber von vielen verschiedenen Personen genutzt werden und selten Updates benötigen, etwa Drucker.

Unbekannte Links

Wer sie anklickt, lädt Erpresser geradezu ein: Die Wahrscheinlichkeit, Opfer dieser Form von Schadsoftware zu werden, hat sich 2016 noch einmal deutlich erhöht. Entdeckt wird eine Infektion mit Ransomware jedoch meist erst, nachdem das Programm die Daten des Nutzers verschlüsselt und unzugänglich gemacht hat. Um wieder auf die Daten zugreifen zu können, muss der Nutzer ein Lösegeld zahlen.

Updates alle drei Jahre

Eine Site, die nicht aktualisiert wird, ist ein Einfallstor für Datendiebe. Wer die Wartung und das Aktualisieren von Plug-Ins ignoriert und sich auf Instandhaltungsarbeiten alle drei Jahre verlässt, macht sich selbst zur Zielscheibe für alle, die Geheimnisse stehlen wollen. Also bitte keine Website online stellen und sie dann sich selbst überlassen.

Quelle: Creditreform 02 2017

Creditreform 02/2017.

Creditreform 02/2017.

KONTEXT

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software - wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

"Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort": Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein - obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. "Die Handbücher mit dem Passwort stehen oft im Internet", sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer - neben Kriminellen auch Geheimdienste - oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.