Uber verschwieg massiven Datendiebstahl

Uber-Nutzung in Washington

Der US-Fahrdienstvermittler Uber ist wegen seines Umgangs mit einem massiven Hackerangriff auf Nutzerdaten in die Kritik geraten. Der seit August amtierende Firmenchef Dara Khosrowshahi räumte am Dienstag ein, dass Uber den Datendiebstahl ein Jahr lang verschwieg. Informierten Kreisen zufolge zahlte Uber den Hackern zudem 100.000 Dollar (85.000 Euro), damit diese die Daten löschen.

Khosrowshahi zufolge ereignete sich der Hackerangriff, bei dem Daten von 57 Millionen Nutzern und hunderttausenden Fahrern gestohlen wurden, Ende 2016. Er verurteilte den Umgang der damaligen Unternehmensführung mit dem Datenleck und versprach, "dass wir aus unseren Fehlern lernen werden".

Khosrowshahi erklärte, er habe erst vor kurzem erfahren, dass bei einem Hackerangriff auf einen Cloud-basierten Server Uber-Daten in bedeutendem Umfang abgegriffen worden seien. Zu den gestohlenen Daten zählten demnach die Namen, E-Mail-Adressen und Mobilfunknummern von Nutzern des international tätigen Fahrdienstleisters sowie die Namen und Führerscheindaten von rund 600.000 Uber-Fahrern.

"Nichts davon hätte passieren dürfen und ich werde das nicht rechtfertigen", erklärte Khosrowshahi. Eine externe Untersuchung habe aber ergeben, dass Daten über Fahrtrouten, Bankkarten und -konten, Sozialversicherungsnummern und Geburtsdaten der Kunden nicht abgegriffen worden seien. Der Datenklau sei außerdem nicht über die eigenen Systeme des Unternehmens gelaufen, Hinweise auf einen Betrug mit den Daten gebe es bislang nicht.

Die Hacker sollen damals 100.000 Dollar erhalten haben, damit sie ihre Datensammlung zerstören. Der damalige Uber-Chef Travis Kalanick erfuhr demnach von dem Hackerangriff bereits kurz nach dem Vorfall, Öffentlichkeit und Behörden wurden aber nicht informiert.

"Sie mögen sich fragen, warum wir erst jetzt darüber sprechen, ein Jahr später", erklärte Uber-Chef Khosrowshahi. "Ich hatte die selbe Frage und daher habe ich sofort eine gründliche Untersuchung darüber gefordert, was passiert ist und wie wir damit umgegangen sind." Seinen Angaben zufolge wurden zwei Mitarbeiter des Sicherheitsteams von Uber von ihren Aufgaben entbunden.

Uber werde "nicht das letzte Unternehmen sein, das eine Cyberattacke oder Datendiebstahl verheimlichen wird", erklärte James Lyne vom Sicherheitssoftwarehersteller Sophos. "Kunden nicht zu informieren, setzt sie aber einem viel größeren Risiko aus, Opfer von Erpressung zu werden."

Sicherheitsexperte Vincent Weafer von der Softwarefirma McAfee bezeichnete die Zahlung an die Hacker als "ungewöhnlich." Zugleich zweifelte er den Nutzen an: "Du verlässt dich darauf, Dieben zu vertrauen, dass sie die Daten nicht kopiert oder auf andere Weise haben durchsickern lassen", erklärte er.

Die betroffenen Uber-Fahrer werden dem Unternehmenschef zufolge nun über den Datenklau informiert. Zudem solle ihnen Hilfe wie etwa beim Schutz vor Identitätsdiebstahl angeboten werden. Die Nutzerkonten der Kunden würden auf Betrugsversuche untersucht. Außerdem würden die zuständigen Behörden verständigt.

Ubers Image war bereits vor Bekanntwerden des Datendiebstahls stark ramponiert. Unternehmenschef Kalanick trat im Juni nach Berichten über Sexismus und unfaire Arbeitsbedingungen sowie unter dem Druck einflussreicher Investoren zurück. Ende August ernannte der Verwaltungsrat Khosrowshahi, damals Leiter des Online-Reisebüros Expedia, zum Nachfolger.

Uber existiert seit 2009 und ist mittlerweile in mehr als 600 Städten in dutzenden Ländern weltweit aktiv, darunter auch in Deutschland. Das Unternehmen vermittelt über Smartphone-Apps Fahrten in verschiedenen Angebots- und Preisklassen und ist vor allem etablierten Taxiunternehmen ein Dorn im Auge. Für 2019 ist der Börsengang von Uber geplant.