Kommentar von Piyush Pandey zum erneuten Datenleck bei Uber

Uber ist erneut das Ziel eines Datenmissbrauchs geworden, diesmal über ihre Anwaltskanzlei mit Sitz in New Jersey, die der Mitfahrdienst für seine Rechtsvertretung genutzt hat.

In einem Schreiben an die Betroffenen teilte die Anwaltskanzlei Genova Burns mit, dass sie erst Ende Januar 2023 von der Datenpanne erfahren hat und dass ein unbefugter Dritter auf ihre Systeme zugegriffen habe und so Daten entwendet wurden. Die Untersuchung ergab, dass zu den betroffenen Daten die von den Fahrern an Uber übermittelten Informationen, darunter Namen und Sozialversicherungs- und/oder Steueridentifikationsnummern, gehörten. Es gäbe jedoch keine Anzeichen für einen tatsächlichen Missbrauch der Uber-Fahrer Daten.

Drei erfolgreiche Cyberangriffe innerhalb von sechs Monaten

Der Vorfall war bereits die dritte Daten-Sicherheitslücke im Zusammenhang mit Uber innerhalb von sechs Monaten. Auch die ersten beiden waren das Ergebnis von Angriffen auf Drittunternehmen, die mit Uber in Verbindung stehen.

Im Dezember 2022 wurde der Vermögensverwaltungs- und Ortungsdienst Teqtivity angegriffen. Die Angreifer erbeuteten E-Mail-Adressen von Uber-Mitarbeitern, Unternehmensberichte sowie Informationen über IT-Anlagen. Schon im September 2022 bestätigte Uber einen Hackerangriff, bei dem Systeme und Konten des Unternehmens bei verschiedenen Drittanbietern kompromittiert wurden.

Hacker haben es oftmals auf kleine und mittlere Firmen abgesehen, die mit größeren Unternehmen zusammenarbeiten, sagt Piyush Pandey CEO bei Pathlock. Sie sind in der Regel viel leichtere Ziele, weil es ihnen an Sicherheitsbewusstsein, Security Know-how und finanziellen Mitteln fehle. „Sie haben vielleicht den Anspruch an Sicherheit und Datenschutz, der den gesetzlich Mindestvorgaben entspricht, aber abgesehen davon verfügen sie in der Regel kaum über wirklich robuste Kontrollmechanismen für ihre IT-Systeme“, so Pandey. „Dadurch geraten sie proportional häufiger ins Fadenkreuz von Angreifern, weil sie sich nicht angemessen gegen Bedrohung wehren können.“

Die größte Herausforderung ist der Überblick über alle sensiblen Daten

Heutzutage sind die meisten Unternehmen in hohem Maße auf Dienste von Drittanbietern angewiesen, ein typisches Unternehmen nutzt nicht selten mehr als 1.000 Anwendungen oder Cloud-Dienste.

„Das eigentliche Problem ist jedoch der Austausch und die Monetarisierung von sensiblen Daten zwischen verschiedenen Parteien“, so Pandey. „Für jedes Unternehmen ist es eine Herausforderung, den Überblick darüber zu behalten, wo sich ihre sensiblen Daten zu jeder Zeit befinden und ob sie richtig geschützt sind. Da immer mehr Unternehmen mobile Endgeräte nutzen, wird sich dieser Trend noch beschleunigen, denn sie sind geschäftlich und wirtschaftlich sinnvoll. Aber wenn Unternehmen keine risikobasierten Zugriffsstrategien implementieren, werden sie mit der Privatsphäre ihrer Kunden bezahlen.“

Segregation of Duties als Schutzmaßnahme für externe Systemzugriffe

Piyush Pandey fügte hinzu, dass Unternehmen den Zugriff Dritter auf ihre Kerngeschäftssysteme mit strengsten Zugangskontrollen verwalten sollten. Für öffentliche, regulierte Unternehmen wie Uber gibt es in der Regel strenge gesetzliche Vorschriften für externe Zugriffe – in den USA genauso wie in Europa. Die Einhaltung dieser Vorgaben muss überwacht werden, wie etwa die Funktionstrennung (Segregation of Duties), die gewährleisten soll, dass kein User so viele Rechte erhält, IT-Systeme eigenständig missbräuchlich nutzen zu können.

„Ausgehend vom Prinzip der geringsten Befugnisse sollten Unternehmen Dritten nur das Minimum an Zugangsberechtigungen gewähren, das für die Durchführung der vom Unternehmen benötigten Prozesse erforderlich ist“, so Pandey. „Von da an sollte jede Erweiterung der Berechtigungen über Ausnahmen geregelt werden. Regelmäßige Überprüfungen der Aktivitäten und der Anträge auf Zugriffserweiterung würden zeigen, ob ein Unternehmen die Berechtigungen im Laufe der Zeit ausweiten oder einschränken sollte.“

Möchten Sie mehr über die Möglichkeiten zum Schutz sensibler Daten von Pathlock erfahren? Dann besuchen Sie unsere Website oder schreiben Sie uns.

Piyush Pandey, CEO (Pathlock Inc.)

Das könnte Sie auch interessieren: