Der ehemalige Sicherheitschef von Uber vertuschte ein Datenleck und entging nur knapp einer Haftstrafe

Es liegt in der menschlichen Natur, peinliche Dinge zu verbergen, um sich selbst gut aussehen zu lassen. Wenn es um die Arbeit geht, kann es bedeuten, die eigenen Fehler oder die des Unternehmens zu verbergen, in der Hoffnung, dass niemand sie bemerkt — eine Vorgehensweise, die nach Unprofessionalität riecht und unweigerlich nach hinten losgehen und langfristig mehr Probleme oder Schaden verursachen wird. Dieser Teil der menschlichen Natur ist es, der laut Staatsanwaltschaft zum Untergang von Joe Sallivan, dem ehemaligen Chief Security Officer (CSO) des Fahrdienstes und Essenslieferdienstes Uber, geführt hat.

Am 4. Mai erhielt Sullivan eine Bewährungsstrafe von drei Jahren wegen Behinderung der Justiz und Vertuschung von Straftaten im Zusammenhang mit der Datenpanne von 2016. Bei diesem Verstoß hatten zwei Hacker Zugriff auf die persönlichen Daten (Namen, E-Mail-Adressen und Telefonnummern) von 57 Millionen Uber-Fahrer:innen, einschließlich der Führerscheinnummern von etwa 600.000 Fahrer:innen in den USA. Datenschutzverletzungen dieses Ausmaßes sind zwar selten, aber nicht ungewöhnlich. Was diesen Fall jedoch besonders interessant macht, ist die Tatsache, dass es das erste Mal ist, dass der Sicherheitschef eines Unternehmens wegen eines Fehlverhaltens strafrechtlich belangt wird, mit der realen Aussicht, im Gefängnis zu landen.

Uber hat seine Kunden und Vertragspartner ein Jahr lang über die Sicherheitsverletzung im Unklaren gelassen. Diese Geheimhaltung hat nicht nur das Unternehmen rund 148 Millionen Dollar an Geldstrafen gekostet, sondern vor allem den Kund:innen und Fahrer:innen die Möglichkeit genommen, rechtzeitig Maßnahmen zu ergreifen, um sich vor Identitätsdiebstahl, Betrug und anderen Risiken zu schützen, denen sie infolge des möglichen Missbrauchs ihrer Daten durch Hacker ausgesetzt waren.

Das Gefängnis wartet auf die nächsten Straftäter

Die Staatsanwaltschaft behauptete, dass Sullivan ohne die „zufällige Ankunft“ des neuen Uber-CEO Dara Khosrowshahi im August 2017 höchstwahrscheinlich einer Strafe für die Vertuschung entgangen wäre. „Es gibt allen Grund zu der Annahme, dass die Millionen von Opfern der Datenpanne von 2016 nie davon erfahren hätten“, sagten sie.

Sie forderten, dass Sullivan eine echte Gefängnisstrafe absitzen sollte — 15 Monate auf der Anklagebank. Richter William Orrick erklärte, er habe nur deshalb Gnade gezeigt, weil Sullivan der erste Sicherheitschef sei, der wegen Verheimlichung und Lüge über durchgesickerte Daten strafrechtlich belangt wurde. Er warnte, dass diejenigen, die nicht aus diesem abschreckenden Beispiel lernen und das gleiche Vergehen begehen, mit einer härteren Behandlung rechnen müssen: „Wenn ich morgen einen ähnlichen Fall habe, wird der Angeklagte, selbst wenn er den Charakter von Papst Franziskus hat, ins Gefängnis gehen.“

Für diejenigen unter Ihnen, die den Fall nicht genau verfolgt haben oder eine Auffrischung benötigen, hier unser kurzer Überblick über die Ereignisse, die zu Sullivans Sündenfall führten.

Ein steiniger Start

Sullivan kam im April 2015 als erster Chief Security Officer zu Uber, um sich um die Folgen der Datenpanne von 2014 zu kümmern, bei der die Online-Systeme von Uber offengelegt wurden. Das Unternehmen muss große Hoffnungen in Sullivan gesetzt haben, da er zuvor als Bundesstaatsanwalt tätig war, bei PayPal und eBay arbeitete und fünf Jahre lang als CSO von Facebook tätig war. Nachdem der Ruf von Uber durch die Sicherheitsverletzung von 2014 beschädigt wurde, hoffte das Unternehmen, dass Sullivan ihm helfen würde, seine Sicherheitspraktiken und sein Image zu verbessern.

Nach eineinhalb Jahren in seinem neuen Job sah sich Sullivan jedoch mit einer eigenen Sicherheitskrise konfrontiert. Im November 2016 entdeckte Sullivan eine neue Sicherheitslücke, die die persönlichen Daten von Millionen von Uber-Nutzer:innen und -Fahrer:innen gefährdete. Das Timing hätte nicht schlechter sein können: Dieser Verstoß ereignete sich nur 10 Tage, nachdem er vor der FTC über den Verstoß von 2014 und die seitdem von Uber eingeführten Sicherheitsmaßnahmen ausgesagt hatte. In seiner Aussage hatte Sullivan behauptet, dass Uber die Kontodaten verschlüsselt und die Schlüssel des Amazon Web Services-Kontos aus den GitHub-Repositories entfernt habe, was einige der Schwachstellen waren, die zu dem Verstoß von 2014 führten.

Nun, das war nicht ganz die Wahrheit. Der Verstoß von 2016 war „auf einige der gleichen mangelhaften Sicherheitspraktiken zurückzuführen, die zu dem Datenschutzverstoß von 2014 führten“, die Ermittler stellten später fest. Das Problem war, dass Sullivan die Verschlüsselungspraktiken von Uber und den Umfang des Zugriffs der Mitarbeiter auf die Daten bereits in seiner Aussage vor der FTC falsch dargestellt hatte, auch in seinen Erklärungen unter Eid. So log Sullivan gegenüber der FTC, dass Uber seit März 2015 keine unverschlüsselten personenbezogenen Daten mehr auf Amazon Web Services (Amazons Cloud-Computing-Plattform) speichere, obwohl in Wirklichkeit „unverschlüsselte personenbezogene Daten bis mindestens November 2016 auf AWS verblieben, als zwei Hacker eine große Menge dieser Daten stahlen.“.

Sullivan stand vor einer schwierigen Entscheidung: Entweder er gab die jüngste Datenschutzverletzung gegenüber den Aufsichtsbehörden zu und riskierte damit seinen Ruf und den des Unternehmens, oder er kehrte alles unter den Teppich und hoffte, dass niemand etwas herausfinden würde. Er entschied sich für Letzteres.

Schweigegeld als Bug-Bounty getarnt

Laut dem ehemaligen Uber-Anwalt Craig Clark, der gegen Sullivan ausgesagt hat, entwickelte Sullivan, als er von dem Diebstahl persönlicher Nutzerdaten erfuhr, einen Plan, um die Sicherheitslücke als „Standard-Interaktion mit Sicherheitsforschern im Rahmen des Bug-Bounty-Programms von Uber“ zu verstecken. Obwohl eine Zahlung im Rahmen des Bug-Bounty-Programms von Uber damals 10.000 Dollar für ein kritisches Problem betrug, bot Sullivan den immer noch anonymen Hackern eine Pauschalsumme von 100.000 Dollar an, was ihrer Erpressungsforderung entsprach. Sullivan einigte sich dann mit den Hackern (die ihren wahren Namen immer noch nicht preisgaben) darauf, eine Geheimhaltungsvereinbarung zu unterzeichnen, in der sie sich verpflichteten, über die Sicherheitsverletzung zu schweigen.

Zu diesem Zeitpunkt nach Angaben des US-Justizministeriums verheimlichte der ehemalige Sicherheitschef von Uber die Wahrheit sogar vor dem internen Anwaltsteam. Während Uber gerade dabei war, den Verstoß von 2014 mit der FTC zu regeln, sagte Sullivan den Uber-Anwälten nichts über den neuen Verstoß und „pries stattdessen die Arbeit an, die er und sein Team im Bereich der Datensicherheit geleistet hatten“. Sullivan jedoch bestritt diese Version der Ereignisse während des Prozesses und behauptete, dass die Rechtsabteilung von Uber und andere Manager Bescheid wussten.

Was die Frage anbelangt, ob der damalige Uber-CEO Travis Kalanick in den Betrug verwickelt war... Nun, Kalanick wurde nicht wegen irgendetwas angeklagt, das mit dem Datenschutzverstoß zusammenhängt. Dennoch bezeichnete Richter Orrick bei der Verurteilung von Sullivan den ehemaligen CEO als „genauso schuldig“ wie Sullivan.

Die Enthüllung der Wahrheit

Man sagt, die Wahrheit kommt immer ans Licht, und das stimmt ja auch. Nachdem Dara Khosrowshahi im August 2017 zum neuen CEO von Uber ernannt worden war, hielt Sullivan laut Staatsanwaltschaft die Scharade noch einige Zeit aufrecht. Insbesondere schrieb Sullivan laut Staatsanwaltschaft an Khosrowshahi, dass die Hacker nie Daten gestohlen hätten und identifiziert worden seien, bevor sie Geld erhalten hätten.

Aber im November 2017 wurde Sullivan entlassen, während Uber den Verstoß öffentlich bekannt gab. In einer Erklärung zum Verstoß räumte Khosrowshahi ein, dass die Hacker „Dateien mit Nutzerdaten heruntergeladen hatten“, und entschuldigte sich dafür, die Betroffenen nicht informiert zu haben. Im Sullivan-Prozess sagten die (inzwischen identifizierten) Hacker tatsächlich aus, dass sie unter ihren falschen Namen eine Geheimhaltungsvereinbarung mit Uber unterzeichnet hatten und fälschlicherweise behaupteten, dass sie keine der Daten heruntergeladen oder gespeichert hatten.

Nach der Entlassung von Sullivan stellte Uber ein neues Sicherheitsteam ein und versprach, solche Vorfälle in Zukunft zu verhindern. Aber auch wenn Uber seine Meldepraktiken geändert hat, hat das nicht verhindert, dass das Unternehmen seit 2016 mehrere große Datenschutzverletzungen erlitten hat, darunter im September 2022, als es Opfer der Hacker der Lapsus$-Gruppe wurde.

Persönliche Konsequenzen

Was Sullivan betrifft, so hat sein nicht gerade nobler Abgang bei Uber seine Karriereaussichten nicht beeinträchtigt. Sechs Monate nach seinem Ausstieg bei Uber trat Sullivan bei Cloudflare als Director of Security ein. Im Juli 2022 ließ er sich bei Cloudflare beurlauben, um sich auf seinen Prozess vorzubereiten, und laut seiner LinkedIn-Seite verließ er das Unternehmen im Oktober, gerade als ein Geschworenengericht ihn wegen zweier Straftaten im Zusammenhang mit der Zurückhaltung von Informationen für schuldig befand.

Im Januar 2023 wurde Sullivan zum Geschäftsführer von Ukraine Friends, einer humanitären gemeinnützigen Organisation, ernannt. Bei seiner Verurteilung räumte Sullivan seine Fehler im Umgang mit der Datenpanne ein. „Ich hätte mich für Transparenz einsetzen sollen, und in jeder Situation, in der ich seitdem war, habe ich dafür gesorgt. Ich habe diese Lektion gelernt“, sagte er.

Bedeutung für die Branche

Dieser Fall kann zu einem Wendepunkt für die gesamte Branche werden. In erster Linie sendet er die klare Botschaft aus, dass es die schlimmstmögliche Praxis ist, Datenschutzverletzungen unter den Teppich zu kehren. Er wird auch (hoffentlich) als starke Abschreckung für diejenigen dienen, die glauben, sie könnten ihren Ruf oder den ihres Unternehmens auf Kosten der Sicherheit der Nutzer:innen retten.

Sicherheitsmanager und andere hochrangige Sicherheitsexperten werden sich stärker bewusst sein, dass Datenlecks nicht verheimlicht werden können, auch und gerade dann nicht, wenn ihre eigene Nachlässigkeit zu dem Ereignis beigetragen hat.

Dieser Fall beweist auch, dass die Zahlung von Lösegeld an Hacker, insbesondere an solche, die sich nicht zu erkennen geben und deren Verhalten nicht dem von „White Hats“ ähnelt, eine schreckliche Entscheidung ist, die sich ihnen zum Nachteil gereichen könnte.

Wird dieser Fall eine ausreichende Warnung sein? Das müssen wir noch abwarten.