57 Millionen Daten aus der Cloud geklaut, aber Uber schweigt und zahlt

Es ist ein Mega-Hack und im Silicon Valley gilt dafür eine Meldepflicht. In der Schweiz wird jetzt darüber nachgedacht.
 
Dem Fahrdienst Uber wurden vor einem Jahr Daten von rund 50 Millionen Fahrgästen rund um die Welt gestohlen. Der erfolgreiche Hack wurde ein Jahr lang verschwiegen.
 
Uber räumte nun ein, weder Behörden noch Betroffene über den Hack informiert zu haben. Stattdessen seien den Hackern 100'000 Dollar bezahlt worden, damit sie die gestohlenen Daten vernichten.
 
Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber dem Finanzdienst 'Bloomberg'. Ausserdem hätten sich die Angreifer auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern verschafft. Darunter sind 600'000 Daten von Fahrausweisen, die in den USA oft als ID verwendet werden. Es seien aber keine Kreditkarten-Daten oder Informationen zu Fahrten heruntergeladen worden, hält die Firma in einer Medienmitteilung fest. Ob diese Daten aber offen lagen, wird nicht präzisiert.
 
Es gebe keine Indizien, dass die Informationen verwendet worden seien, hiess es.
 
Die Hacker seien an Daten in der Cloud gekommen. Dies ergab eine interne Security-Untersuchung bei Uber, welche von Mandiant, einer FireEye-Tochter, durchgeführt wurde.
 
Der Uber-CSO Joe Sullivan wurde jetzt entlassen, er war zuvor CSO von Facebook gewesen. Der damalige CEO, Travis Kalanick, sei ebenfalls informiert über den Hack gewesen, rapportieren Medien. Offen ist noch, wer sonst noch vom Diebstahl wusste und wer die Zahlung visiert hat. Ebenso offen ist, ob der Verwaltungsrat informiert wurde oder nicht.
 
Die New Yorker Staatsanwaltschaft hat nun eine Untersuchung eingeleitet, Sammelklagen dürften folgen. Uber selbst hat einen früheren NSA-Mann angeheuert, um im Security-Department aufzuräumen.
 
Nach einem Hack 2014 war Uber verpflichtet worden, Geo-Daten seiner Fahrer zu verschlüsseln und eine Multifaktor-Authentifizierung für den Zugang zur Fahrerdatenbank einzuführen. Dies schreibt 'Techcrunch'.
 
Und in der Schweiz?
Uber ist in San Francisco zuhause. Aber nicht nur im Silicon Valley, sondern in ganz Kalifornien gilt eine Meldepflicht, wenn mehr als 500 Kalifornier von einem Leck betroffen sind. In der Schweiz gibt es eine solche nicht. Noch nicht.
 
Diverse Kräfte, darunter der Verband Swico, fordern aber eine solche. Und der Bundesrat befürwortet eine solche, wenn auch zögerlich, mindestens bei "schwerwiegenden Vorfällen bei kritischen Infrastrukturen". Dies wegen einem Postulat, das elf Parlamentarier einreichten. Auch der Melani-Chef Pascal Lamia befürwortet eine Meldepflicht inzwischen.
 
Ob sie kommt, wird sich in der angekündigten "Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken 2018 bis 2022" zeigen. Das Informatiksteuerungsorgan des Bundes (ISB) arbeitet diese bis Ende Jahr aus. "Es ist korrekt, dass wir im Rahmen der Entwicklung der NCS 2018-2022 verschiedenste Möglichkeiten prüfen", antwortet Melani im Namen des ISB auf Anfrage. "Im Moment wäre es aber noch viel zu früh, entsprechende Aussagen zu machen". (Marcel Gamma)