Uber Datenverstoß: CSO angeklagt wegen Vertuschung
Der vormalige Verantwortliche für den Bereich Sicherheit beim Fahrdienstleister Uber, Joseph Sullivan, wurde im August von US-Staatsanwaltschaft angeklagt. Ihm wird zur Last gelegt, 2016 angeblich einen Datenverstoß vertuscht zu haben. Bei dem Vorfall wurden die persönlichen Daten von 57 Millionen Fahrern und Passagieren kompromittiert.
Der zuständige US-Staatsanwalt in Kalifornien klagte Sullivan wegen Justizbehinderung und pflichtwidriger Unterlassung der Meldung einer schweren Straftat an. Außerdem wird ihm die versuchte Vertuschung vorgeworfen. Die Anklage behauptet, er habe Ransomware-Hacker über das Uber Bug-Bounty-Programm bezahlt. 2016 konnten sich die Hacker in die Uber-Konten auf Amazon Web Services einhacken. Sie verwendeten dazu die Anmeldeinfos der Uber-Software-Ingenieure, die sie auf GitHub gefunden hatten. Eine riesige Menge an personenbezogenen Daten konnte abgegriffen werden. Anschließend wurde eine Lösegeldsumme von Uber gefordert für die Freigabe dieser Daten.
Obwohl Sullivan alleine für den ganzen Vorgang verantwortlich gemacht wird, ist es doch zweifelhaft, dass er dies seinerzeit völlig eigenmächtig entschieden hatte. Wie in allen Unternehmen ist es eine gemeinsame Sache des Vorstands, derartig wichtige Entscheidungen zu treffen. Sullivans Anwälte weisen darauf hin, dass die damalige Unternehmenspolitik bei Uber
„klargestellt hat, dass die Rechtsabteilung von Uber – und nicht Herr Sullivan oder sein Team – dafür verantwortlich war, zu entscheiden, ob und wem die Angelegenheit offengelegt werden sollte“.
Bereits nach der Bekanntgabe des Ransomware-Angriffs 2017 berichteten auch die amerikanischen Medien etwas anderes. Demnach segneten neben Sullivan auch andere Führungskräfte und Mitarbeiter bei Uber das Vorgehen ab. Der Vorfall sollte wie eine Prämie für die Meldung von Softwarefehlern im Bug-Bounty-Programm kaschierrt werden. Also, anstatt es als Lösegeldzahlung zu deklarieren, wurden die Hacker durch das Prämienprogramm ausbezahlt. Alle Verantwortlichen halfen dann auch bei der Umsetzung des Plans. Dass er alleine für eine „Vertuschung“ verantwortlich gemacht werden soll, überraschte und enttäuschte Sullivan bereits 2018.
Katie Moussouris, die das Beratungsunternehmen Luta Security leitet, hat seit vielen Jahren mit Bug-Bounty-Programmen zu tun. Sie wies darauf hin, dass Sullivan jetzt als Einziger für etwas angeklagt wird, an dem andere beteiligt waren, sei falsch. Verantwortliche in Unternehmen haften gemeinsam für Entscheidung und sollten demnach auch gemeinsam zur Rechenschaft gezogen. Laut Moussouris würde
„kein Unternehmen Sicherheits- und Transparenzentscheidungen auf eine einzige Führungskraft übertragen.“
Uber Datenverstoß: Fehler, die nicht hätten passieren sollen
Losgelöst von der Sullivan-Anklage können sich eigentlich alle Uber Vorstände nicht aus der Sache herausreden. Allen Verantwortlichen war bekannt, wie die Rechtslage zur Meldung von Datenpannen aussah. Und was den Fall verschlimmert ist, dass während Uber 2016 von Hacker erpresst wurde, man zeitgleich mit der US-Federal Trade Commission zusammen arbeitete in einen anderen Datenverstoß. Dieser hatte bereits im September 2014 stattgefunden.
Die US-Federal Trade Commission untersuchte diesen Fall im Verlauf des Jahres 2016 und wollte Antworten von Uber. Uber musste dazu einen zuständigen Verantwortlichen melden, der unter Eid aussagen sollte. Uber bestimmte, dass das Joseph Sullivan sein sollte. Und Sullivan gab seine eidesstattliche Erklärung ordnungsgemäß ab. Nur 10 Tage später, am 14. November 2016, erfuhr er von dem Ransomware-Angriff. Und von hier ab ging alles schief. Sullivan wurde vermutlich zum Sündenbock für grundlegend falsche Management-Entscheidungen bei Uber gemacht. Er und auch sonst niemand im Unternehmen meldete den Vorfall wie behördlich vorgeschrieben. Weder die Staatsanwaltschaft noch die Öffentlichkeit erfuhren davon. Zudem prüfte Sullivan die jeweiligen Erklärungen gegenüber der US-Federal Trade Commission und segnete sie offenbar alleinig ab.
Und Sullivan handelte entsprechend. Er überredete die Hacker, Geheimhaltungsvereinbarungen zu unterzeichnen. Sie mussten unterschreiben, dass sie keine Daten gestohlen oder gespeichert hatten. Es heißt, ein Uber-Angestellter hätte Sullivan auf den Vorgang angesprochen. Aber Sullivan hielt an der Geheimhaltungsvereinbarungen fest. Selbst nachdem Uber-Mitarbeiter zwei der für den Angriff verantwortlichen Personen identifiziert hatten, ließ Sullivan die Hacker neue Vereinbarungen unter ihrem richtigen Namen unterschreiben. Die Vereinbarungen enthielten aber immer noch Falschinformationen.
Uber Datenverstoß: Die Aufarbeitung des Ransomware-Angriffs
Mitte 2017 gab es einige Veränderungen im Management. Zunächst wechselte die Geschäftsleitung bei Uber. Neuer Vorstand war Dara Khosrowshahi. Er fackelte nicht lange und arbeitete den Fall auf. Köpfe rollten schon bald. John Flynn, verantwortlich für die Informationssicherheit, verließ Uber als erstes im Juli. Ihm folgte Travis Kalanick, seinerzeit Vorstand im Unternehmen der im August 2017 kündigte. Dann folgten Joseph Sullivan und Craig Clark, ein Rechtsanwalt für IT-Sicherheit – Khosrowshahi feuerte sie.
Khosrowshahi räumte auf, zwar spät, aber das war richtig so. Denn Sullivan hatte ihm den Vorfall im September 2017 endlich gemeldet. Zuvor hatte er jedoch bestimmte Einzelheiten zu den gestohlenen Daten entfernt. Er log und sagte Khosrowshahi, die Hacker hätten erst Lösegeld erhalten, nachdem sie namentlich identifiziert worden waren.
Im November 2017 wurde endlich öffentlich über den Vorfall berichtet. Dara Khosrowshahi schrieb in einem Blogpost:
„Sie fragen sich vielleicht, warum wir erst jetzt, ein Jahr später, darüber reden. Mir gings nicht anders. Nichts von all dem hätte geschehen dürfen, und ich werde hier keine Ausreden abliefern“.
Der Rest ist bereits Geschichte, wie man so schön sagt.
Die Anklage gegen Joseph Sullivan ist das erste Beispiel in den USA, in dem ein leitender Angestellter eines Unternehmens mit einer Strafanzeige und einer Gefängnisstrafe von bis zu acht Jahren rechnen muss. Das alles wegen des falschen Umgangs mit einem Vorfall bei einer Datenpanne. Vielleicht wird damit eine neue Ära der Rechenschaftspflicht von Unternehmensleitern eingeleitet.
SANS IT-Experte John Pescatore sagte, dass Uber zuletzt in vielen Bereichen ein Paradebeispiel für ein unfähiges Management gewesen sei. Es überrasche ihn nicht, dass dem IT-Sicherheitsmanagement nun vorgeworfen wird, ein Teil des Problems zu sein. Pescatore sieht dies als eine Warnung für alle Führungskräfte und Rechtsberater. Es sei ein hohes Risiko, solche Vorfälle herunterzuspielen oder gar zu vertuschen.
Dara Khosrowshahi hat bei Uber seitdem auch die Regeln zum Bug-Bounty-Programm verschärft. Die Grenzen zwischen IT-Forschung und Erpressung sind jetzt nicht mehr grau. Außerdem ließ er kürzlich eine Erklärung abgeben, die lautete:
„Unsere Entscheidung, den Vorfall 2017 aufzudecken, war nicht nur richtig, sie verkörpert auch die Prinzipien, nach denen wir heute unsere Geschäfte führen: Transparenz, Integrität und Rechenschaftspflicht“.
Die beiden verantwortlichen Hacker wurden bereits angeklagt. Sie hatten sich am 30. Oktober 2019 schuldig bekannt und warten nun auf ihre Verurteilung. Gegenüber den Staatsanwälten sagten sie, dass sie andere Tech-Unternehmen angegriffen hätten. Dank Sullivan waren sie ungeschoren davongekommen und versuchten ihr Glück einfach noch mal woanders.
Siehe auch:
Artikel von wired.com, 21.08.2020: A Former Uber Exec’s Indictment Is a Warning Shot
Artikel von threatpost.com, 21.08.2020: Former Uber CSO Charged With Paying ‘Hush Money’ in 2016 Breach Cover-Up
Artikel von justice.gov, 20.08.2020: Former Chief Security Officer For Uber Charged With Obstruction Of Justice
Urheberrechte Beitragsbild: shutterstock.com