Uber bezahlte Hacker, um Datendiebstahl zu vertuschen Mehr als 57 Millionen Datensätze gestohlen
23. November 2017Der wegen seiner Geschäftspraktiken bereits mehrfach auffällige Fahrdienstvermittler Uber erlitt bereits im Oktober 2016 einen massiven Datendiebstahl – hat diesen Vorfall aber bislang tot geschwiegen. 57 Millionen Fahrer- und Kundenkonten waren von diesem Sicherheitsvorfall betroffen. Uber hielt diesen Datenverlust nicht nur gegenüber den Betroffenen geheim, sondern bezahlte den Hackern 100.000 Dollar, damit diese die Daten löschen und darüber schweigen sollten. Die gehackten Daten umfassen angeblich Email-Adressen und Telefonnummer der Kunden sowie persönliche Informationen der Fahrer, wie Führerscheindetails.
Sicher Entwickeln
„Security by Design“ – das ist für viele Softwareentwickler nach wie vor ein Buch mit sieben Siegeln. Vor allem wenn es darum geht, schnelle Release-Zyklen für seine Software anzustreben. Die Programmierer bei Uber haben Sicherheitsberechtigungen an ein GitHub-Repository hochgeladen. Das lässt sich als eine Art Aufbewahrungsort für Quellcode verstehen, kein Ort jedoch um Sicherheitsschüssel abzulegen. Hier stolperten Hacker darüber, konnten auf Ubers Server, der von Amazon gehostet wird, zugreifen, und sich so den Zugang zu den persönlichen Informationen verschaffen.
Für den Sophos-Experten Chester Wisniewski ist das ein bekanntes Szenario: „Der Datenverlust bei Uber demonstriert einmal mehr, wie wichtig es für Entwickler ist, die Sicherheit ernst zu nehmen und niemals Zugangszeichen oder -schlüssel in Quellcode-Repositories einzubinden oder einzusetzen. Ich würde sagen, diesen Ablauf habe ich schon einmal gesehen, aber normalerweise werden Organisationen nicht ertappt, während sie aktiv an einer Verschleierung beteiligt sind. Lässt man das Drama und die möglichen Auswirkungen, die die kommende europäische Datenschutzgrundverordnung einfordert, einmal außer Acht, zeigt sich: Hier war wieder mal ein sorgloses Entwicklungsteam mit ungenügender Sicherheitspraxis am Werk, das Zugangsdaten geteilt hat. Traurig, dass das weitaus öfter der Fall in agilen Entwicklungsumgebungen ist, besonders in schnell wachsenden Technologie-Startups. “
Dazu ergänzt James Lyne, Sophos Cyber Security Berater: „Uber ist nicht das einzige und wird nicht das letzte Unternehmen sein, dass eine Cyber-Attacke oder Datendiebstahl verheimlichen wird. Kunden nicht zu informieren, setzt sie aber einem viel größeren Risiko aus, Opfer von Erpressung zu werden. Aus diesem Grund drängen viele Länder auf eine Regulierung mit rechtsverbindlicher Bekanntgabe eines Diebstahls.“ Deswegen empfehlen die Experten von Sophos den Kunden und den Fahrern von Uber, dass sie nicht in blinden Aktionismus verfallen, auch wenn das ganze Ausmaß des Datendiebstahls noch im Verborgenen liegt. Sie sollten erst einmal abwarten und die Augen für zusätzliche Informationen offenhalten. Es gilt zudem, auch den Blick für Veränderungen auf Kontoauszügen zu schärfen.
Programmierer sollten sich unbedingt merken: GitHub ist für Quellcode gut geeignet, nicht aber für Sicherheitsschlüssel. Für erfolgreich angegriffene Unternehmen gilt unbedingt – und das nicht erst mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO): Datendiebstahl muss öffentlich gemacht werden, ob gesetzlich verpflichtend oder nicht. Mindestens ein gut sichtbarer Hinweis auf der Webseite ist notwendig, um die Kunden zu informieren und auf dem Laufenden zu halten.
Reaktion auf Identitätsdiebstahl
Generell sollten Nutzer einige Aspekte berücksichtigen, wenn ihre Identität gestohlen oder sensible Daten in Umlauf gebracht worden sind. Dazu hat Stefan Kühn, Director Consumer, Central Region von Norton by Symantec die folgenden Tipps auf Lager:
• Ändern Sie Ihren Nutzernamen und Ihre Passwörter für Onlinekonten. Verwenden Sie starke und einzigartige Passwörter für Computer, IoT-Geräte, WLAN-Netzwerke und Onlinezugänge. Verlassen Sie sich nicht auf Standardpasswörter wie „123456“ oder „Passwort“. Erstellen Sie komplexe Passwörter, die schwierig zu erraten sind, und ändern Sie diese regelmäßig. Außerdem sollten Sie unterschiedliche Nutzernamen und Passwörter für jeden Online-Account nutzen. Wenn die Zugangsdaten zu einem Account verloren gehen, erhalten Hacker keinen Zugang zu weiteren Nutzerkonten mit denselben Daten.
• Bei allen E-Mails, die (vorgeben) mit einer Datenpanne zu tun zu haben, ist äußerste Vorsicht geboten. Denn häufig gibt es im Zusammenhang mit spektakulären Datenpannen vermehrt Phishing-Versuche von Cyberkriminellen.
• Erhöhte Achtsamkeit ist auch bei Websites ratsam, die bei einer Datenpanne einen Check anbieten, ob die eigenen Daten betroffen ist. Unseriöse Anbieter könnten die übermittelten Informationen nutzen, um Nutzer zu ermitteln, die sich Sorgen um ihre Daten machen und versuchen, diese zu erpressen. Prüfen Sie deshalb mit frei zugänglichen Diensten wie Norton Safe Web, ob der jeweilige Anbieter seriös ist.
• Gehen Sie unter keinen Umständen auf Angebote ein, ihre Daten aus den geleakten Daten entfernen zu lassen. Das ist schlicht nicht möglich. Denn nach einer Datenpanne sind Informationen breit zugänglich. Zudem befinden sich in der Regel binnen kürzester Zeit unzählige Kopien im Umlauf.
• Beobachten Sie Ihre Bank-Accounts, Kontoauszüge etc. genau. Nutzen Sie die „Activity Alerts“ wie eine Kontoübersicht der Banken, Finanzinstitute etc. bei denen Sie Kunde sind. Bei Hinweisen auf ungewöhnliche Kontobewegungen sollten Sie sich umgehend mit der jeweiligen Bank in Verbindung setzen.
Konsequenzen fordert Gérard Bauer, VP EMEA von Vectra, vor allem was den Einsatz des Cloud Computings angeht: „Eine wachsende Zahl an Unternehmen lagert zunehmend sensible Daten und wichtige Anwendungen in die Public Cloud aus. Wie umfangreich dies geschieht, dass zeigt diese Cyber-Attacke auf Uber. Damit wird einmal mehr klar, dass Unternehmen sich dem Unterschied zwischen Public Clouds und Private Clouds bewusst werden müssen.“ Sie müssten verstehen, was dies für die Datensicherheit bedeutet. „Die einzige Möglichkeit für Unternehmen, solche schweren Vorkommnisse zu unterbinden ist es, sich so zu verhalten, als seien die Angreifer bereits im Netzwerk unterwegs und nun gilt es, sie schnell zu finden bevor sie Schaden anrichten und wichtige Daten stehlen“, stellt Bauer heraus.
Unternehmen müssten deswegen technologisch so aufgestellt sein, dass Eindringlinge im Netzwerk schnell und automatisch aufgespürt werden. „Der aktuelle Fall zeigt, dass die Sicherheitsmaßnahmen, die für eine Private Cloud sinnvoll sein mögen, für den Schutz der Daten in einer Public Cloud eventuell nicht ausreichend sind“, stellt Bauer fest. „Um verdächtige Vorgänge in der Public Cloud zu erkennen und zu finden, müssen Unternehmen besser verstehen was angegriffen werden könnte und wie die Angreifer vorgehen würden.“
Totschweigen
Für Armin Simon, Regional Director IDP Deutschland bei Gemalto, verdeutlicht dieser Vorfall gleich zwei kritische Zustände: „Unternehmen sind immer noch der Meinung, dass sie Sicherheitsprobleme unter Verschluss halten können oder erst gar nicht ins Visier von Cyber-Kriminellen geraten würden. Dies belegt, dass man die veränderte und gefährlichere Bedrohungslage nicht wahrnimmt. Cyberattacken gehören mittlerweile zum Alltag und Unternehmen müssen sich organisatorisch und technologisch so aufstellen, dass sie auf Vorfälle angemessen reagieren können.“
Als zweiten Aspekt bringt er das „Assume the Breach“-Paradigma ins Spiel: „Das Bundesamt für Sicherheit in der Informationstechnik, BSI, warnt im neuen Lagebericht und verweist auf dieses Paradigma. Demzufolge müssen IT-Verantwortliche immer davon ausgehen, dass ihre Netzwerke gehackt werden. Konkret bedeutet dies, dass Schutzmechanismen wie Verschlüsselung über den kompletten Lebenszyklus von Dateien, sowie Access Management und starke Authentifizierung implementiert werden sollten. Sie alle hätten im Fall von Uber dem Angriff entgegengewirkt.“
Laut Simon gingen allein im ersten Halbjahr 2017 1,9 Milliarden Datensätze weltweit verloren – nur etwa ein Prozent davon war durch Verschlüsselung geschützt. „Beim Vorfall von Uber wurde eine gestohlene Identität genutzt, um sich Zugriff auf Daten zu erschleichen“, so Simon weiter. „Speziell diese Art von Attacken ist in den letzten Monaten stark gewachsen und nimmt mittlerweile 74 Prozent aller Angriffe ein. Deshalb sollten Unternehmen diesen Gefahrenherd genau im Auge behalten.“
Dabei sieht Simon vor allem die „Born-Digital“-Unternehmen wie Uber in der Pflicht: „Sie sind besonders stark auf das Vertrauen der Nutzer angewiesen.“ Das BSI kommentiert auch, dass es sich bei der Cyber-Sicherheit nicht um keine Innovationsbremse handle, sondern um einen Innovationsgarant. Die Vorteile der Digitalisierung könnten nicht genutzt werden, wenn die Öffentlichkeit Angst um die persönlichen Daten haben muss. Daher seien jetzt Unternehmen am Zug und müssen einen entsprechenden Schutz von Informationen gewährleisten.
In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100.000 Dollar an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren. Bei Trend Micro warnt man schon seit Monaten davor, dass die Methode, Unternehmen mit gestohlenen Daten zu erpressen, noch zunehmen werde, denn diese personenbezogenen Daten legen einiges an Wert zu, wenn sie unter die ab Mai 20018 gültigen Bestimmungen der Datenschutzgrundverordnung fallen. Ab dann geht es nämlich nicht „nur“ um den Imageverlust, sondern auch um eine gewaltige Strafe, im Falle von Uber wohl um die 260.000.000 Dollar (das wären bei Uber die 4 Prozent desweltweiten Jahresumsatzes). Das bietet Hackern andere Ansatzmöglichkeiten der Erpressung, und Unternehmen werden sich der bohrenden Frage stellen müssen, ob die Daten tatsächlich in der von Hackern behaupteten Größenordnung entwendet wurden.
Als Sicherheitsunternehmen kann Trend Micro nur wiederholt darauf hinweisen, dass es von essenzieller Bedeutung ist, sich nach „Stand der Technik“ zu schützen. Dies sollte für Unternehmen eigentlich keine Herausforderung darstellen, sollte man annehmen. Allerdings wurden bislang vielfach nur gesetzliche oder branchenspezifische Mindestanforderungen umgesetzt, weshalb viele moderne Sicherheitsprobleme nicht gelöst sind. In den meisten Fällen wissen das die IT-Sicherheitsverantwortlichen, haben aber keine Berechnungsgrundlage, um nachzuweisen, wie wahrscheinlich es ist, dass beispielsweise ein Angriff zum Zweck des Datendiebstahls im eigenen Unternehmen von Erfolg gekrönt wird.
Häufig mangelt es an den nötigen Werkzeugen oder sogar am Know-how. Dadurch sind die erforderlichen Budgets nicht vorhanden, und bestimmte Bereiche des Managements schauen bewusst weg nach dem Motto „bislang ist ja nichts passiert, also kann es nicht so schlimm sein“. All diesen lässt sich nur raten, sich den Fall Uber genau anzusehen, um zumindest einen Eindruck zu erhalten, wie eine Gefährdung tatsächlich aussehen kann. Nichts ist unangenehmer, als von einem Hacker kontaktiert zu werden und nicht einmal nachvollziehen zu können, ob die Daten tatsächlich „verloren“ sind, geschweige denn das Ausmaß des möglichen Verlusts einzuschätzen.