San Francisco Es hatte so schön begonnen für Uber. Die Serie der Skandale schien in jüngster Zeit abgerissen zu sein. Die Debatten über Sexismus, Macho-Kultur und Managementprobleme beim Fahrdienst waren nahezu verstummt. Stattdessen war viel vom „Kulturwandel“ die Rede, die CEO Dara Khosrowshahi, der leise Nachfolger des großspurigen Travis Kalanick, der Firma verordnet hatte.
Der neue Investor Softbank und die Roboter-Auto-Flotte aus dem Hause Volvo sollten der Firma den Weg in eine Eklat freie Zukunft ebnen. Aus der Traum. Wieder mal bestätigt sich der fatale Eindruck, dass es Uber bei seinem aggressiven Expansionskurs mit Gesetzen oder Vorschriften nicht so ernst nahm.
Wie der neue Chef nun einräumen musste, war die Firma im Oktober 2016 von Hackern attackiert worden. Zwei Angreifer hatten persönliche Daten von 57 Millionen Fahrern und Fahrgästen illegal kopiert. Statt den Vorfall bei den Betroffenen oder den Behörden zu melden, wie es das Gesetz vorsieht, vertuschte Uber das Sicherheitsproblem ein Jahr lang und zahlte den Kriminellen ein Schweigegeld von 100.000 Dollar.
„Nichts von dem hätte passieren dürfen”, entschuldigte sich Khosrowshahi. Er selbst habe von dem Vorfall erst „kürzlich” erfahren. Uber arbeite hart daran, „das Vertrauen unserer Kunden zu verdienen”. Der Manager bemüht sich um Schadensbegrenzung.
Wie massive Datenverluste bei Yahoo oder dem US-Kreditinstitut Equifax zeigen, kommen Einbrüche in der Techbranche immer häufiger vor. Und sie sind angesichts der zunehmenden Vernetzung aller Lebensbereiche auch kaum mehr zu vermeiden. Doch der Mangel an Transparenz wiegt schwer. Das Schweigen sei ein „Fehler” gewesen, räumte Khosrowshahi ein.
Insgesamt erbeuteten die Hacker 57 Millionen Datensätze von Uber-Nutzern aus aller Welt mit Informationen über Namen, E-Mail-Adressen und Mobilfunknummern. Zum Diebesgut gehörten auch Führerscheininformationen von 600.000 Fahrern in den Vereinigten Staaten. Erheblich sicherheitskritischere Daten von Kreditkarten, Kontos, Sozialversicherungsnummern oder Details zu Fahrten seien hingegen nicht abgegriffen worden, beteuert Uber.
Der New Yorker Generalstaatsanwalt ermittelt nun
Die Angreifer hätten sich die Daten über einen Einbruch bei einem externen Cloud-Dienstleister verschafft, die eigene IT sei nicht geknackt worden, versichert Khosrowshahi. Alle bekannten Sicherheitslücken habe man sofort geschlossen, kompromittierte Profile würden nun sehr genau beobachtet. Einen Missbrauch der erbeuteten Daten will Uber bisher nicht festgestellt haben.
Den Diebstahl will Uber durch eine vom Aufsichtsrat veranlasste interne Untersuchung gegen das eigene Sicherheitsteam selbst aufgedeckt haben. Der bisherige Sicherheitschef Joe Sullivan und einer seiner Angestellten verloren daraufhin ihren Job.
Khosrowshahi beauftragte stattdessen den ehemaligen NSA-Berater Matt Olsen, das Sicherheitsteam neu aufzustellen. Auch die inzwischen zum IT-Sicherheitsdienst Fireeye gehörende Firma Mandiant ist mit der Aufarbeitung des Falls betraut.
Mit den Neuigkeiten kam noch ein weiteres pikantes Detail ans Tageslicht. Der damalige Noch-Chef Travis Kalanick soll über das Sicherheitsproblem bereits im November 2016 informiert worden sein. Zu dieser Zeit einigte er sich gerade mit den US-Wettbewerbshütern der Federal Trade Commission (FTC) über neue Privatsphäre-Standards. Der New Yorker Generalstaatsanwalt Eric Schneiderman ordnete umgehend Ermittlungen zu dem Datendiebstahl an.
Mit dem verschwiegenen Sicherheitsproblem spitzt sich der juristische Ärger für Uber zu. In zwei Wochen muss der Mobilitätsservice sich vor einem Gericht in San Francisco bereits gegen eine Klage der Alphabet-Tochter Waymo wehren. Googles Auto-Einheit wirft Uber vor, sich illegal Zugriff auf Informationen über Forschung zu selbstfahrenden Autos verschafft zu haben.
