23.11.2017 Diebstahlverheimlichung

Uber wurde gehackt – 100.000 Dollar Lösegeld gezahlt

Von: Lea Sommerhäuser

Über 600.000 persönliche Daten von über 57 Millionen Kunden und Fahrern sollen bei einem Daten-Hack auf den Fahrdienst Uber kompromittiert worden sein. Und das schon im Jahr 2016, wie sich jetzt herausstellte. Uber zahlte damals ein Lösegeld und versuchte den Diebstahl zu verheimlichen.

Rund 100.000 Dollar Lösegeld soll Uber an die Erpresser bezahlt haben.

Rund 100.000 Dollar Lösegeld soll Uber an die Erpresser bezahlt haben.

100.000 Dollar Lösegeld – diesen Betrag soll Uber an die Erpresser bezahlt haben, damit diese die ergaunerten Daten nicht weitergegeben oder anderweitig missbrauchen. Wie der Angriff genau ablief, ist noch nicht so ganz klar. Laut Uber konnten sich Hacker Zugriff auf den „privaten“ Bereich von Github verschaffen. Genutzt wird dieser webbasierte Hosting-Dienst von den App-Entwicklern, um Kunden und Fahrerdaten zu speichern.

Nun wird natürlich scharfe Kritik geübt. Insbesondere melden sich wieder einmal sämtliche Sicherheitsanbieter und -experten zu Wort, um ihren Senf hinzuzugeben. „Wie auch immer die Angreifer vorgegangen sind, diese Art von Angriff hätte früher entdeckt werden müssen, noch ehe wichtige Daten extrahiert werden konnten“, kritisiert etwa James Chappell, CTO und Mitgründer von Digital Shadow. „Im Fall Uber erfuhr man anscheinend erst etwas über den Datendiebstahl, nachdem eine entsprechende Lösegeldforderung einging.“ Wenn grundlegende Anmeldedaten gestohlen werden, liege das auch am fehlenden Monitoring von digitalen Lösungen, so Chappell weiter, insbesondere wenn es sich um Lösungen von Drittanbietern wie Github handle.

Imageverlust und gewaltige Strafen


Auch James Lyne, Cyber-Security-Berater von Sophos, übt Kritik an Ubers Vorgehen und warnt: „Uber ist nicht das einzige und wird nicht das letzte Unternehmen sein, das eine Cyberattacke oder Datendiebstahl verheimlichen wird. Kunden nicht zu informieren, setzt sie aber einem viel größeren Risiko aus, Opfer von Erpressung zu werden.“ Aus diesem Grund drängten viele Länder auf eine Regulierung mit rechtsverbindlicher Bekanntgabe eines Diebstahls. Ebenso verweist Vincent Weafer von McAfee auf solche rechtlichen Vorschriften, nach denen „Hacks dieser Art, vor allem wenn es sich um Diebstahl von Daten privater Personen handelt, den entsprechenden Behörden und allen Betroffenen zu melden“ sind.

Sicherheitsexperten wie Trend Micro warnen schon lange davor, dass die Methode, Unternehmen mit gestohlenen Daten zu erpressen, noch zunehmen wird. Der Grund: Personenbezogene Daten legen einiges an Wert zu, wenn sie unter die ab Mai 2018 gültigen Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) fallen. Ab dann gehe es nämlich nicht „nur“ um den Imageverlust, sondern auch um eine gewaltige Strafe – im Falle von Uber wohl um rund 260.000.000 Dollar (4 Prozent vom weltweiten Jahresumsatz). Das biete Hackern andere Ansatzmöglichkeiten der Erpressung.

Mangel an nötigen Werkzeugen und Know-how


Das Problem: Laut Vectra lagert eine wachsende Zahl an Unternehmen zunehmend sensible Daten und wichtige Anwendungen in die Public Cloud aus. Doch Unternehmen sollten sich über den Unterschied zwischen Public und Private Clouds im Klaren sein und verstehen, was dies für die Datensicherheit bedeutet. „Der aktuelle Fall zeigt, dass die Sicherheitsmaßnahmen, die für eine Private Cloud sinnvoll sein mögen, für den Schutz der Daten in einer Public Cloud eventuell nicht ausreichend sind“, so Gérard Bauer, VP EMEA von Vectra. Um verdächtige Vorgänge in der „öffentlichen Wolke“ zu erkennen und zu finden, müssten Unternehmen besser verstehen, was überhaupt angegriffen werden könnte und wie die Angreifer vorgehen würden.

Von essentieller Bedeutung ist es auch, sich nach „Stand der Technik“ zu schützen. Dies sollte für Unternehmen eigentlich keine Herausforderung darstellen, sollte man annehmen. Allerdings wurden laut Trend Micro bislang vielfach nur gesetzliche oder branchenspezifische Mindestanforderungen umgesetzt, weshalb viele moderne Sicherheitsprobleme nicht gelöst sind. Häufig mangle es auch an den nötigen Werkzeugen oder sogar am Know-how. Dadurch seien die erforderlichen Budgets nicht vorhanden und bestimmte Bereiche des Managements würden bewusst wegschauen – nach dem Motto: „Bislang ist ja nichts passiert, also kann es nicht so schlimm sein.“ All jene sollten sich allerdings den Fall Uber genau anschauen, um zumindest den Eindruck zu erhalten, wie eine Gefährdung tatsächlich aussehen kann. Für Unternehmen ist wohl nichts unangenehmer, als plötzlich von einem Hacker kontaktiert zu werden und nicht einmal nachvollziehen zu können, ob die gestohlenen Daten wirklich „verloren“ sind, geschweige denn das gesamte Ausmaß des möglichen Verlusts einzuschätzen.


7 Sicherheitstipps für die Datenspeicherung in der Cloud

  1. Unternehmen und Privatpersonen sollten genau abwiegen, wie sensibel die Daten sind, die sie in der Cloud abspeichern. Es ist nachdrücklich davon abzuraten, Zugangsdaten, kundenbezogene Daten, Informationen, die die eigene IT-Sicherheit betreffen, oder ähnlich sicherheitskritische Daten in einer Cloud zu speichern, ohne diese zusätzlich zu schützen (z.B. durch Verschlüsselung).
  2. Für Zugriffe auf die Daten in der Cloud sollten Zugriffskontrollen festgelegt werden. Zugriffe sind ständig zu überwachen (z.B. durch Privileged Access Management oder Audit-Log-Analyse). Diese Daten sollten in ein zentrales Security Information and Event Management (SIEM) integriert werden.
  3. Daten sollten ausschließlich verschlüsselt in die Cloud übertragen werden.
  4. Cloud-Nutzer sollten tatsächlich verstehen, wo – d.h. in welchem Rechenzentrum und in welchem Land – ihre Daten gespeichert werden. Sie sollten auch sichergehen, dass diese Angaben vom Cloud-Anbieter auch eingehalten werden.
  5. Cloud-Nutzer sollten jederzeit eine Backup-Strategie und Disaster-Recovery-Maßnahmen parat haben. Diese Prozesse sollten auch laufend getestet werden.
  6. Kontinuierliche Schwachstellenanalyse und Patch-Management sind essentiell.
  7. Cloud-Nutzer sollten sicherstellen, dass sie ihren Cloud-Anbieter problemlos wechseln können – eine starke Abhängigkeit von einem Anbieter birgt Gefahren.

    Quelle: Radarservices


Bildquelle: Thinkstock/Ingram Publishing

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH