Wie kürzlich bekannt wurde, verschafften sich Kriminelle bereits im Oktober 2016 Zugang zu den Daten von 57 Millionen Fahrgästen und Fahrern. Uber verschwieg das Datenleck und zahlte Erpressern 100.000 Dollar. Jetzt drohen empfindliche Strafen und Schadensersatzforderungen.
Der Vermittler von Laien-Taxis gab am Dienstag zu, dass Hacker die persönlichen Daten von 57 Millionen Menschen aus Ubers Datenbanken gestohlen hatten. Uber zahlte den Hackern 100.000 Dollar, damit sie die Beweise vernichten und schweigen. Unter den Daten, die Uber in einer Cloud speicherte, waren Mobiltelefonnummern, E-Mail- und Postadressen von Kunden auf der ganzen Welt. Auch etwa 600.000 Fahrer seien laut CNBC betroffen, bei denen die Datensätze auch ihre Führerscheinnummern enthielten.
Uber selbst behauptete, dass delikatere Informationen wie Sozialversicherungsnummern und Kreditkartendaten nicht betroffen seien. Einem Experten von McAffee, Vincent Weafer, zu Folge habe sich herausgestellt, dass die Angreifer über Login-Daten für Github, welche den Login-Daten der eigenen Datenbank von Uber sehr ähneln, verfügten und sich somit Zugang „zu allen gespeicherten Informationen“, inklusive Kreditkartendaten, verschaffen konnten. Uber gab laut CNBC offiziell an, nach Bekanntwerden des Vorfalls „sofortige Maßnahmen ergriffen“ zu haben, „die Daten zu sichern und den unerlaubten Zugang zu schließen. Wir erhielten anschließend die Versicherung [der Erpresser], dass die Daten vernichtet wurden. Wir haben außerdem Sicherheitsmaßnahmen eingebaut.“ Zur Geldzahlung äußerte sich Uber nicht genauer.
Weltweite Ermittlungen und hohe Strafen
Da Daten von Personen weltweit betroffen sind, könnte Uber nun in etlichen Ländern für den Fehler juristisch haftbar gemacht werden. Behörden in den USA, Kanada, Großbritannien, Australien, und den Philippinen gaben gestern bereits bekannt, dass Untersuchungen begonnen werden. Behörden der Philippinen und Kanada haben Uber zur Aufklärung aufgefordert.
In den USA ermittelt sowohl die nationale Gewerbeaufsicht FTC wie auch die Behörden der Bundesstaaten. Die FTC ist bekannt dafür, dass insbesondere in Fällen von unzureichender Information der Öffentlichkeit bei Gefahren sehr hohe Strafen verhängt werden. Sie sprach bereits von einer „gründlichen Untersuchungen über die sehr ernstzunehmenden Probleme“. Ein derartiges verschwiegenes Datenleck ist The Guardian zu Folge in 48 US-Staaten mit gesetzlichen Sanktionen bewehrt. New York, Illinois, Connecticut und Massachusetts haben bereits Untersuchungen gegen Uber eingeleitet. Die Strafen erhöhen sich bei vorsätzlichem Verschweigen und werden meist je betroffener Person verhängt.
Es ist auch nicht Ubers erstes Datenleck. Einbrüche in die Datenbanken erlebte Uber bereits im Mai 2014. Bekanntgegeben wurde das Hacking aber erst im Februar 2015. Bei dieser Attacke wurden die Daten von über 50.000 Fahrern gestohlen. Die FTC rügte damals das Risikokapitalunternehmen scharf: Uber habe in zweifacher Weise die Kunden enttäuscht. „Zum einen stellte Uber das Ausmaß, in dem persönliche Daten von Angestellten und Fahrern betroffen waren, falsch dar und zum zweiten durch die Falschdarstellung, vernünftige Schritte zur Datensicherung unternommen zu haben.“
Die Erhöhung der Strafen bei vorsätzlichem Verschweigen gälte auch für Großbritannien, sagt der oberste Datenschützer Großbritanniens, James Dipple-Johnstone. Ubers Bekanntmachung erzeuge „riesige Bedenken“ über Ubers Datenschutzpolitik und die Ethik der Firma. Die Anschuldigungen werden dadurch um so schwerer, denn die eindringlichen Warnungen sämtlicher Sicherheits- und Ermittlungsbehörden, auf keinen Fall auf Erpressungen einzugehen, dürften jedem IT-Experten bekannt sein. Andernfalls würden nur kriminelle Strukturen finanziert und ein Markt für kriminelle Hacker geschaffen.
Zudem stehen nach amerikanischem Recht den Betroffenen Privatklagen auf Schadensersatz zu. Bereits wenige Stunden nach der Bekanntmachung wurde die erste Sammelklage bei einem kalifornischen Gericht eingereicht.
Unklare Rolle der Führungsebene
Der neue CEO, Dara Khosrowshahi entschuldigte sich einmal mehr. Er könne die Vergangenheit nicht auslöschen, sondern nur „im Auftrag“ von Ubers Angestellten geloben, dass man aus den Fehlern der Vergangenheit lernen wolle. Allerdings war das Leck auch Khosrowshahi bekannt. Er selbst ist erst später in die Firma eingetreten. Die für Sicherheit zuständigen Leiter Joe Sullivan und sein Assistent, Craig Clark, wurden bereits gefeuert. Khosrowshahi rechtfertigte die Verzögerung mit „gründlichen Untersuchungen“, die Uber erst habe durchführen müssen, bevor man an die Öffentlichkeit ging. Kalanick, der der CNBC zu Folge von dem Vorkommnis gewusst hatte, ließ seine Sprecher jegliche Auskunft verweigern.
Ubers „Board“, das oberste Gremium der Firma, habe, so Uber, erst durch Untersuchungen über die Geschäftspraktiken der Vergangenheit Kenntnis erhalten. Mit den internen Ermittlungen wurde die private Sicherheitsfirma eines früheren NSA-Agenten beauftragt. Er würde auch die Neuorganisation der Datensicherheitsabteilung bei Uber planen. Der Japan Times zu Folge könnte es möglich sein, dass weder Travis Kalanick noch die -inzwischen auch gegangene- Chefin der Rechtsabteilung, Salle Yoo, von Sullivan und seinem Assistenten von dem Vorgang unterrichtet wurden.
Doch das würde es nicht besser machen. Professorin Cynthia Clark von der Bentley University wies in der Japan Times daraufhin, dass dies ein ernstzunehmender Mangel in Ubers Kontrolle und von strategischer Bedeutung wäre. Das Vorkommnis könnte auch Ubers Deal mit SoftBank negativ beeinflussen. Der Verkauf von Anteilen wurde demnach bereits in der New York Times öffentlich bekanntgegeben. Auf diese Weise versucht man, die Anleger zum Verkauf ihrer Anteile an SoftBank zu bewegen. Das Problem addiere sich nämlich auch zu weiteren, bestehenden Problemen, wie etwa die Untersuchungen wegen Bestechung ausländischer Behörden oder die Klage von Waymo. Jede einzelne dieser Bedrohungen könnte leicht Kosten in Milliardenhöhe, in Form von Strafen, Schadensersatz, Untersuchungs- und Rechtsanwaltskosten, nach sich ziehen. prh
Symbolfoto: Anonim Adam, Lizenz: cc by-sa 3.0
Hinweis in eigener Sache: Diese und andere Neuigkeiten aus der Taxibranche können Sie auch jede Woche in unserem kostenlosen Newsletter nachlesen. Am besten gleich anmelden.
Hahaha da gackern ja die Hühner vor lauter lauter Lachen!Das Gschichtl, dass sie nur 85.000;- Euro den Hackern bezahlt haben,können sie auch nur den Nutzern erzählen, die wahrscheinlich noch immer glauben, die Autoreparaturen kosten nichts für Uber-Fahrer!Wer so einen Milliardenschweren Konzern erpresst, wird sich sicher nicht mit Almosen abspeisen lassen! . . . und dass die Hacker die Kreditkarten“vergessen“ haben, ist auch a Gschichtl. Nun heisst es aufpassen undschön die Kreditkartenabrechnungen studieren, ob da nicht vielleichtso ein kleiner Betrag abgebucht wurde, wo man genau weiss, dass mannichts gekauft hat?!Dass diese tolle Firma erst jetzt mit der halben Wahrheit herausrücktspricht Bände!Danke UBER – Danke Sicherheit!!