Eine verheimlichte Datenpanne aus dem Jahr 2016 kommt das Ridehailing-Unternehmen Uber jetzt teuer zu stehen. Uber muss nach einer Einigung die Rekordsumme von 148 Millionen US-Dollar an 50 US-Bundesstaaten sowie Washington D.C. zahlen. Die Einigung zwingt Uber außerdem dazu, ein unabhängiges Datensicherheitsteam zu engagieren.
„Diese Rekord-Einigung sollte eine klare Botschaft senden: Wir haben keine Toleranz für diejenigen, die das Gesetz umgehen wollen, und die Informationen von Verbrauchern und Angestellten der Ausnutzung ausgeliefert lassen”, sagte Barbara D. Underwood, Generalstaatsanwältin für New York nach der Einigung.
Das Problem mit Ubers Datenpanne war weniger die Tatsache, dass empfindliche Nutzerdaten gehackt wurden. Ähnlich wie im Fall der aktuellen Datenpanne von Google geht es auch bei Uber vor allem darum, dass die Panne zu lange verheimlicht wurde.
Uber ließ sich erpressen und vertuschte Datenklau
Ubers Datenskandal begann im November 2016. Hacker aus Kanada und den USA teilten dem Sicherheitspersonal von Uber heimlich mit, dass sie im Besitz von empfindlichen Informationen von über 57 Millionen Fahrgästen und Fahrern waren.
Dazu gehörten Namen, E-Mail-Adressen, Handynummern sowie Informationen aus Führerscheinen von etwa 600.000 Uber-Fahrern aus den USA.
Die Hacker machten Uber ein „Angebot“: Sie würden die Informationen löschen sowie den Datenklau nicht öffentlich machen, wenn Uber ihnen eine sechsstellige Summe zahle.
Uber zahlte den Hackern 100.000 US-Dollar, um den Hack unter den Teppich zu kehren – und machte sich damit möglicherweise strafbar.
Denn das US-Gesetz verlangt von Unternehmen, dass sie die Behörden unmittelbar informieren müssen, wenn empfindliche Informationen gestohlen werden. Dazu gehören auch die Daten des Führerscheins, der in den USA einen ähnlichen Stellenwert hat wie der Personalausweis in Deutschland.
Datenpanne erst Monate später gemeldet
Uber meldete den Datenklau aber erst im Folgejahr, und zwar nur, nachdem eine von Uber angeheuerte Anwaltskanzlei im Zuge einer anderen Sicherheitsuntersuchung zufällig über den Hack aus dem Vorjahr stieß.
Die Anwaltsfirma teilte dies unverzüglich dem Unternehmen mit, woraufhin Uber ein eigenes Team auf den Vorfall ansetzte und schließlich den Behörden meldete. Dies geschah im Frühjahr 2017.
Das sei unverhältnismäßig spät und damit als absichtliche Verheimlichung zu werten, sagten die Kläger. Nun haben sich Uber und die klagenden Bundesstaaten außergerichtlich geeinigt.
Unabhängiges Team wird Ubers Datensicherheit bewerten
Neben der Geldstrafe von 148 Millionen US-Dollar, muss Uber künftig weitere Maßnahmen einführen, um künftig die Daten der Nutzer und Angestellten besser zu schützen.
Dazu gehören unter anderem folgende Auflagen:
- Uber muss die Passwort-Sicherheit seiner Angestellten erhöhen.
- Das Unternehmen muss Daten auch auf Plattformen außerhalb der eigenen Applikation besser schützen.
- Auch eine neue Datensicherheits-Strategie soll etabliert werden.
- Angestellte müssen die Möglichkeit bekommen, sich an einer Art „Integritäts-Abteilung“ über unethisches Verhalten bei Uber beschweren zu können.
- Das Unternehmen muss ebenfalls eine außenstehende Datensicherheitsfirma engagieren, die wiederum regelmäßig Ubers Datensicherheit analysieren und in einem Report bewerten wird.
Uber zeigt sich reumütig
Uber sagte nach der Einigung, dies zeige, dass man im Unternehmen ein neues Kapitel aufgeschlagen habe. Die Einigung belege, dass das Unternehmen „von heute“ auf Prinzipien wie Transparenz und Integrität setze. Außerdem sei man damit bereit, Verantwortung für die eigenen Taten zu übernehmen.
Diese Aussagen zeigen, dass Uber offensichtlich darum bemüht ist, sich gegenüber der Öffentlichkeit in einem neuen Licht zu zeigen. Denn auch wenn die finanzielle Strafe für Uber nominell nicht sehr hoch erscheinen mag, dürfte sie dem ohnehin schon ramponierten Ruf des Unternehmens weiteren Schaden hinzufügen.
Verschiedene andere Datenskandale, Ubers aggressive Einstellung gegenüber Gesetzgebern, der Skandal um Ubers ehemaligen CEO Travis Kalanick, der tödliche Uber-Unfall mit einem autonomen Fahrzeug – um nur einige Vorfälle zu nennen – haben an dem Image des Unternehmens gekratzt.
Das möchte Uber nun ändern. Doch, wie das Unternehmen selbst sagt: „Wir wissen, dass es keine einfache Aufgabe ist, das Vertrauen unserer Kunden und der Regulierungsbehörden, mit denen wir global zusammenarbeiten, zu gewinnen. Denn schließlich ist Vertrauen schwer zu gewinnen und leicht zu verlieren.“
