Der ehemalige Sicherheitsbeauftragte von Uber, Joe Sullivan, steht diese Woche vor Gericht in dem vermutlich ersten Fall, in dem eine Führungskraft im Zusammenhang mit einer Datenschutzverletzung angeklagt wird.
Das US-Bezirksgericht in San Francisco wird mit der Anhörung von Argumenten darüber beginnen, ob Sullivan, der frühere Sicherheitschef des Mitfahrriesen, eine Datenpanne im Jahr 2016, von der 57 Millionen Uber-Fahrer und -Fahrer auf der ganzen Welt betroffen waren, nicht ordnungsgemäß offengelegt hat.
Zu einer Zeit, in der Berichte über Ransomware-Angriffe gestiegen sind und Versicherungsprämien für Cybersicherheit aufgetaucht sind, könnte der Fall einen wichtigen Präzedenzfall in Bezug auf die Schuld von US-Sicherheitsmitarbeitern und -führungskräften für die Art und Weise schaffen, wie die Unternehmen, für die sie arbeiten, mit Cybersicherheitsvorfällen umgehen.
Der Einbruch wurde zuerst bekannt November 2017, als der Vorstandsvorsitzende von Uber, Dara Khosrowshahi, enthüllte, dass Hacker Zugriff auf die Führerscheinnummern von 600.000 Uber-Fahrern in den USA sowie auf die Namen, E-Mail-Adressen und Telefonnummern von bis zu 57 Millionen Uber-Fahrern und -Fahrern erhalten hatten.
Offenlegungen wie die von Khosrowshahi sind in vielen US-Bundesstaaten gesetzlich vorgeschrieben, wobei die meisten Vorschriften vorschreiben, dass die Benachrichtigung „in der am besten geeigneten Zeit und ohne unangemessene Verzögerung“ erfolgen muss.
Aber Khosrowshahis Ankündigung kam mit einem Eingeständnis: Ein ganzes Jahr war vergangen, seit die Informationen kompromittiert worden waren.
„Sie fragen sich vielleicht, warum wir erst jetzt, ein Jahr später, darüber sprechen“, sagte Khosrowshahi damals und fügte hinzu, dass das Unternehmen die Verzögerung untersucht und zwei Führungskräfte entlassen habe, die die Reaktion auf den Verstoß geleitet hatten, von denen einer war Sullivan.
Die Offenlegung von Uber löste mehrere bundes- und landesweite Untersuchungen aus. 2018, Uber zahlte 148 Millionen Dollar wegen seines Versäumnisses, die Datenschutzverletzung in einem landesweiten Vergleich mit 50 Generalstaatsanwälten offenzulegen. 2019 haben die beiden Hacker bekannte sich schuldig Uber zu hacken und dann Ubers „Bug Bounty“-Sicherheitsforschungsprogramm zu erpressen. Im Jahr 2020 reichte das Justizministerium Strafanzeige gegen Sullivan ein.
In Gerichtsaktenbehaupteten Bundesanwälte, dass Sullivan in einem Versuch, die Sicherheitsverletzung zu vertuschen, „sein Team angewiesen habe, das Wissen über die Verletzung von 2016 streng zu kontrollieren“ und den Vorfall als Teil des Bug-Bounty-Programms zu behandeln.
Dieses Programm sollte Hacker und Sicherheitsforscher dazu anregen, Schwachstellen gegen Geldprämien zu melden, aber es erlaubte nicht, „einen Hacker zu belohnen, der auf von Uber kontrollierte Systeme zugegriffen und personenbezogene Daten von Benutzern und Fahrern erhalten hatte“, so die Beschwerde sagt.
Die Hacker im Jahr 2016 wurden mit 100.000 US-Dollar belohnt, heißt es in der Beschwerde, mehr als jede Prämie, die das Unternehmen im Rahmen des Programms bis zu diesem Zeitpunkt gezahlt hatte.
Sullivan ließ die Hacker angeblich auch eine ergänzende Geheimhaltungsvereinbarung (NDA) unterzeichnen, die „fälschlicherweise darstellte, dass die Hacker während ihres Eindringens keine Daten erhalten oder gespeichert hatten“, schrieb die Bundesanwaltschaft.
2018 Monate nachdem er entlassen wurde, Sullivan bestritt jegliche Behauptungen einer Vertuschung und sagte, er sei „überrascht und enttäuscht, als diejenigen, die Uber in einem negativen Licht darstellen wollten, schnell darauf hinwiesen, dass dies eine Vertuschung sei“.
Weder Sullivan noch Uber reagierten sofort auf eine Bitte um Stellungnahme.
In der Beschwerde des Justizministeriums wurde behauptet, dass nur Sullivan und der ehemalige Uber-Chef Travis Kalanick Kenntnis vom vollen Ausmaß des Hacks hatten und an der Entscheidung beteiligt waren, ihn als autorisierte Offenlegung durch das Bug-Bounty-Programm zu behandeln. Allerdings, wie die New York Times zuerst gemeldet, ist die Sicherheitsbranche uneins darüber, ob Sullivan es verdient, allein für den Verstoß verantwortlich gemacht zu werden. Einige haben in Frage gestellt, ob die Rolle anderer Führungskräfte des Unternehmens und seines Vorstands ebenfalls untersucht werden sollte, während andere sagen, dass Sullivans Rolle darin klar sei.
„Ich weiß nicht, ob das Uber-Management von der Verschleierung wusste … oder ob Sullivan angewiesen wurde, die 100.000-Dollar-Zahlung zu leisten, um den Verstoß zu verbergen. Der Prozess wird all das aufspüren“, schrieb Jamil Farshchi, Chief Information Security Officer bei Equifax, in a Linkedin-Beitrag. „Was ich weiß, ist, dass niemand bestreitet, dass ein Verstoß gegen 57 Millionen Menschen stattgefunden hat, Uber ihn verschwiegen hat und dass Joe Sullivan … an der Verschleierung beteiligt war.“
Der Prozess wird stattfinden, da die Berichte über Ransomware-Angriffe weiter zunehmen. Laut dem verzeichneten die USA im Jahr 2021 einen Anstieg der Ransomware-Angriffe um mehr als 95 % Threat-Intelligence-Firma SonicWall. Viele dieser Angreifer haben Gesundheitseinrichtungen und Schulen ins Visier genommen. Hacker zielten am Wochenende des Labor Day mit einem Cyberangriff auf den Unified School District von Los Angeles, den zweitgrößten Schulbezirk in den USA.