Themenüberblick

Fahrdienstvermittler bezahlte Hacker

Der Fahrdienstvermittler Uber hat ein Jahr lang den Diebstahl von Daten über rund 50 Millionen Fahrgäste und sieben Millionen Fahrer verschwiegen. Das Unternehmen ließ sich auf eine Abmachung mit den Hackern ein und informierte die Öffentlichkeit erst jetzt.

Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber am Dienstag. Außerdem verschafften sich die Angreifer im Oktober 2016 auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern. Bei der Attacke seien nach bisherigen Erkenntnissen aber keine Kreditkartendaten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.

Statt Behörden oder Betroffene zu benachrichtigen, bezahlte Uber den Hackern 100.000 Dollar (rund 85.000 Euro), damit sie die gestohlenen Daten vernichten, berichteten der Finanzdienst Bloomberg und die „New York Times“. Die New Yorker Staatsanwaltschaft leitete ein Ermittlungsverfahren zum Hackerangriff ein.

Uber beschwichtigt

Nur wenige Stunden nach der Enthüllung gab es die erste Klage gegen Uber. Ein Mann aus Los Angeles warf der Firma unter anderem vor, Daten von Fahrern und Passagieren nicht ausreichend geschützt zu haben. Er will eine Sammelklage vieler Betroffener auf die Beine stellen.

Uber gehe davon aus, dass die gestohlenen Informationen nicht verwendet worden seien, so das Unternehmen. Die Hacker verschafften sich über Zugangsdaten, die in einem Cloud-Dienst gespeichert wurden, Zugriff auf ein System des Konzerns. Dort befand sich ein Archiv mit Informationen über Kunden und Fahrer. Danach kontaktierten laut Uber die Hacker den Konzern per Mail, um ihre Forderungen zu stellen.

Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs, wie Uber weiter mitteilte. Sullivan war zuvor Sicherheitschef bei Facebook. Er gelangte in der Vergangenheit bereits mehrfach in die Kritik: Eine von ihm geleitete Abteilung beauftragte laut einem Bloomberg-Bericht andere Unternehmen, um Informationen über Mitbewerber einzuholen. Das galt auch als Auslöser für eine Untersuchung von Sullivans Sicherheitsabteilung, die Uber genehmigte. Die Untersuchung wurde von einer externen Anwaltskanzlei durchgeführt, diese deckte laut Uber den Hack und den darauffolgenden Vertuschungsprozess auf.

Nächster Skandal für Fahrdienst-Start-up

Die Vertuschung wirft einen weiteren Schatten auf die Amtszeit des Mitgründers und langjährigen Uber-Chefs Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienstvermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Regeln verstoßen.

Zuletzt sorgte auch eine Klage der Google-Schwesterfirma Waymo für Aufsehen, in der Uber der Einsatz gestohlener Roboterwagen-Technologie vorgeworfen wird. Eine Untersuchung zu Vorwürfen von Sexismus und Diskriminierung förderte große Defizite im Management des in Finanzierungsrunden mit bis zu 68 Mrd. Dollar (58 Mrd. Euro) bewerteten Start-ups zutage. Kalanick räumte im Sommer unter dem Druck von Investoren den Chefposten. Der Datendiebstahlsskandal könnte seine Ambitionen, irgendwann an die Spitze zurückzukehren oder auch nur eine aktivere Rolle im Tagesgeschäft zu spielen, endgültig beenden.

„Nichts davon hätte passieren dürfen“

Der neue Uber-Chef Dara Khosrowshahi sagte am Dienstag zum Hackerangriff und der nachfolgenden Vertuschung: „Nichts davon hätte passieren dürfen, und wir werden nicht nach Ausreden dafür suchen.“ Er selbst habe erst vor Kurzem von dem Datendiebstahl erfahren, schrieb der seit Anfang September amtierende Khosrowshahi. „Ich kann die Vergangenheit nicht ausradieren, aber ich kann im Namen aller Uber-Mitarbeiter versprechen, dass wir aus unseren Fehlern lernen werden.“ Uber ändere die Art, wie es sein Geschäft führe.

Besonders brenzlig für Uber könnte nun werden, dass sich die Hacker auch Zugriff auf Namen und Fahrerlaubnisnummern von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden in Amerika oft als Ausweisdokumente verwendet, was die Daten für Betrüger wertvoll machen kann. Uber werde den Betroffenen nun helfen, nach einem möglichen Missbrauch der gestohlenen Daten Ausschau zu halten, kündigte Khosrowshahi an. Als weitere Maßnahme engagierte der Konzern einen früheren Chefjuristen des US-Geheimdiensts NSA, Matt Olsen, als Berater. Er solle dabei helfen, die Sicherheit bei Uber neu zu gestalten.

Es ist die zweite große Altlast der Ära Kalanick, mit der sich Khosrowshahi öffentlich auseinandersetzen muss: Im September beschloss London, Uber die Lizenz zu entziehen, unter anderem weil die Firma nicht genug für die Sicherheit unternehme. Es läuft noch ein Berufungsverfahren.

Bereits im Jahr 2014 Tausende Daten gestohlen

Was das Ausmaß und den Wert der gestohlenen Daten betrifft, verblasst der Uber-Hack neben anderen Fällen. So verschafften sich bei der Wirtschaftsauskunftei Equifax Unbekannte Zugriff auf die wichtigen Sozialversicherungsnummern von mehr als 40 Prozent der US-Bevölkerung. Beim Internetkonzern Yahoo waren 2013 Daten zu allen drei Milliarden Nutzer-Accounts gestohlen worden. Dass ein Konzern einen Datendiebstahl in diesem Ausmaß verschweigt, gilt jedoch als eher ungewöhnlich.

Die Uber-Verantwortlichen hatten einen einfachen Grund, den Diebstahl zu verschweigen: Die Firma war bereits in Verhandlungen mit der Aufsichtsbehörde FTC wegen eines ähnlichen Vorfalls im Jahr 2014. Damals ging es um Daten von 50.000 Fahrern. Uber wurde vorgeworfen, die Betroffenen nicht rechtzeitig informiert zu haben. Am Ende kam Uber mit einer Strafe von 20.000 Dollar davon.

In der EU hätte das Vorgehen von Uber ab 2018 schwere finanzielle Konsequenzen. Wie der deutsche grüne Europaabgeordnete Jan Albrecht im Kurznachrichtendienst Twitter vorrechnet, müsste Uber aufgrund des neuen Datenschutzgesetzes ab Mai nächsten Jahres eine Strafe in Höhe von bis zu vier Prozent seines Jahresumsatzes an die EU zahlen. Im Fall von Uber würde diese Summe rund 300 Millionen Dollar (rund 255 Mio. Euro) betragen.

Links: