Uber-Hack: Ehemaliger Sicherheitschef angeklagt

Die US-Justiz erhebt Anklage gegen Ubers ehemaligen Sicherheitschef. Er soll den 2017 bekannt gewordenen Hack von Millionen Kundendaten vertuscht haben.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Jeramey Lende/Shutterstock.com)

Von
  • Volker Briegleb

Der von Uber zunächst vertuschte und Ende 2017 eingeräumte Hack von Kundendaten hat nun strafrechtliche Konsequenzen für einen der verantwortlichen Manager. Die US-Bundesstaatsanwaltschaft erhebt Anklage gegen Ubers ehemaligen Sicherheitschef Joseph "Joe" Sullivan wegen Behinderung der Justiz und der Vertuschung einer Straftat. Für beide Anklagepunkte zusammen drohen Sullivan bis zu acht Jahre Haft. Der Beschuldigte ließ die Vorwürfe durch einen Sprecher zurückweisen.

2016 hatten zunächst unbekannte Hacker eine Datenbank mit Daten von rund 50 Millionen Fahrgästen und 7 Millionen Fahrern aus Amazons Cloudservice AWS abgezogen. Der Anklage zufolge wandten sie sich an Sullivan und forderten ein Lösegeld. Uber bezahlte und das Management unter dem damaligen CEO und Gründer Travis Kalanick versuchte, die Affäre unter der Decke zu halten.

Kalanick musste ein Jahr später nach einer Reihe von Skandalen zurücktreten. Als sein Nachfolger Dara Khosrowshahi über den Hack in Kenntnis gesetzt wurde, entschied er sich, damit an die Öffentlichkeit zu gehen und feuerte Sullivan. Das anschließende Ermittlungsverfahren der US-Aufsichtsbehörde Federal Trade Commission (FTC) endete mit einem Vergleich, in dessen Rahmen sich Uber zur Zahlung einer Strafe in Höhe von 148 Millionen US-Dollar verpflichtet hatte. Auch in den Niederlanden musste Uber nach einer behördlichen Untersuchung zahlen.

Die Staatsanwaltschaft wirft Sullivan vor, dass er den Hack und die Lösegeldzahlung vor den US-Behörden, mit denen er bereits wegen eines früheren Vorfalls in Kontakt stand, verborgen habe. Die Lösegeldzahlung von 100.000 US-Dollar in Bitcoin sei als "Bug Bounty" für das Auffinden einer Sicherheitslücke getarnt worden.

Darüber hinaus soll Sullivan gegenüber der FTC sowie später auch seinem neuen CEO wissentlich falsche Angaben über die Ereignisse gemacht haben. Nachdem Ubers Sicherheitsteam die Identität der Hacker herausgefunden hatte, habe Sullivan die Angreifer Verschwiegenheitserklärungen unterschreiben lassen. Darin hätten sie wahrheitswidrig erklären müssen, dass sie keine Daten abgegriffen hätten.

"Das Silicon Valley ist nicht der Wilde Westen", erklärte US-Bundesanwalt David Anderson. "Wir erwarten, dass kriminelle Machenschaften sofort angezeigt werden. Wir erwarten Kooperation bei unseren Ermittlungen. Wir werden die Vertuschung durch Unternehmen und illegale Schweigegeldzahlungen nicht tolerieren. Was wir in diesem Fall gesehen haben, war das Gegenteil von verantwortungsvoller Unternehmensführung."

Sullivan weist die Vorwürfe zurück. Die Anklage entbehre jeglicher Grundlage, erklärte ein Sprecher des Managers, der inzwischen Chief Security Officer beim Cloud-Dienstleister Cloudflare ist. Ubers Rechtsabteilung habe darüber entschieden, was und wem über den Vorfall berichtet wurde, und nicht Sullivan und sein Team. "Ohne die Anstrengungen von Sullivan und seinem Team wären die Verantwortlichen für diesen Vorfall womöglich nie identifiziert worden."

Die Verantwortlichen für den Vorfall wurden inzwischen angeklagt. Der US-Amerikaner Brandon G. und der kanadische Staatsbürger Vasile M. bekannten sich Ende Oktober 2019 schuldig und warten nun auf die Strafzumessung. Sie hatten im Internet kursierende Zugangsdaten per Brute-Force-Attack auf GitHub-Accounts von Unternehmen getestet. In den geknackten GitHub-Konten suchten sie dann nach weiteren Zugangsdaten etwa für AWS-Accounts. So erlangten sie Zugriff auf Datenbanken von Uber und der Bildungswebsite Lynda.

(vbr)