{"id":33175,"date":"2023-05-03T01:43:19","date_gmt":"2023-05-03T08:43:19","guid":{"rendered":"https:\/\/pathlock.com\/?p=33175"},"modified":"2026-03-06T00:25:27","modified_gmt":"2026-03-06T05:25:27","slug":"kommentar-von-piyush-pandey-zum-erneuten-datenleck-bei-uber","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/kommentar-von-piyush-pandey-zum-erneuten-datenleck-bei-uber\/","title":{"rendered":"Kommentar von Piyush Pandey zum erneuten Datenleck bei Uber"},"content":{"rendered":"\n

Uber ist erneut das Ziel eines Datenmissbrauchs geworden, diesmal \u00fcber ihre Anwaltskanzlei mit Sitz in New Jersey, die der Mitfahrdienst f\u00fcr seine Rechtsvertretung genutzt hat.<\/p>\n\n\n\n

In einem Schreiben an die Betroffenen teilte die Anwaltskanzlei Genova Burns mit, dass sie erst Ende Januar 2023 von der Datenpanne erfahren hat und dass ein unbefugter Dritter auf ihre Systeme zugegriffen habe und so Daten entwendet wurden. Die Untersuchung ergab, dass zu den betroffenen Daten die von den Fahrern an Uber \u00fcbermittelten Informationen, darunter Namen und Sozialversicherungs- und\/oder Steueridentifikationsnummern, geh\u00f6rten. Es g\u00e4be jedoch keine Anzeichen f\u00fcr einen tats\u00e4chlichen Missbrauch der Uber-Fahrer Daten.<\/p>\n\n\n\n

Drei erfolgreiche Cyberangriffe innerhalb von sechs Monaten<\/h2>\n\n\n\n

Der Vorfall war bereits die dritte Daten-Sicherheitsl\u00fccke im Zusammenhang mit Uber innerhalb von sechs Monaten. Auch die ersten beiden waren das Ergebnis von Angriffen auf Drittunternehmen, die mit Uber in Verbindung stehen.<\/p>\n\n\n\n

Im Dezember 2022 wurde der Verm\u00f6gensverwaltungs- und Ortungsdienst Teqtivity angegriffen. Die Angreifer erbeuteten E-Mail-Adressen von Uber-Mitarbeitern, Unternehmensberichte sowie Informationen \u00fcber IT-Anlagen. Schon im September 2022 best\u00e4tigte Uber einen Hackerangriff, bei dem Systeme und Konten des Unternehmens bei verschiedenen Drittanbietern kompromittiert wurden.<\/p>\n\n\n\n

Hacker haben es oftmals auf kleine und mittlere Firmen abgesehen, die mit gr\u00f6\u00dferen Unternehmen zusammenarbeiten, sagt Piyush Pandey CEO bei Pathlock. Sie sind in der Regel viel leichtere Ziele, weil es ihnen an Sicherheitsbewusstsein, Security Know-how und finanziellen Mitteln fehle. „Sie haben vielleicht den Anspruch an Sicherheit und Datenschutz, der den gesetzlich Mindestvorgaben entspricht, aber abgesehen davon verf\u00fcgen sie in der Regel kaum \u00fcber wirklich robuste Kontrollmechanismen <\/strong>f\u00fcr ihre IT-Systeme“, so Pandey. „Dadurch geraten sie proportional h\u00e4ufiger ins Fadenkreuz von Angreifern, weil sie sich nicht angemessen gegen Bedrohung wehren k\u00f6nnen.“<\/p>\n\n\n\n

Die gr\u00f6\u00dfte Herausforderung ist der \u00dcberblick \u00fcber alle sensiblen Daten<\/h2>\n\n\n\n

Heutzutage sind die meisten Unternehmen in hohem Ma\u00dfe auf Dienste von Drittanbietern angewiesen, ein typisches Unternehmen nutzt nicht selten mehr als 1.000 Anwendungen oder Cloud-Dienste.<\/p>\n\n\n\n

„Das eigentliche Problem ist jedoch der Austausch und die Monetarisierung von sensiblen Daten zwischen verschiedenen Parteien“, so Pandey. „F\u00fcr jedes Unternehmen ist es eine Herausforderung, den \u00dcberblick dar\u00fcber zu behalten, wo sich ihre sensiblen Daten<\/strong> zu jeder Zeit befinden und ob sie richtig gesch\u00fctzt sind. Da immer mehr Unternehmen mobile Endger\u00e4te nutzen, wird sich dieser Trend noch beschleunigen, denn sie sind gesch\u00e4ftlich und wirtschaftlich sinnvoll. Aber wenn Unternehmen keine risikobasierten Zugriffsstrategien implementieren, werden sie mit der Privatsph\u00e4re ihrer Kunden bezahlen.“<\/p>\n\n\n\n

Segregation of Duties als Schutzma\u00dfnahme f\u00fcr externe Systemzugriffe<\/h2>\n\n\n\n

Piyush Pandey f\u00fcgte hinzu, dass Unternehmen den Zugriff Dritter auf ihre Kerngesch\u00e4ftssysteme mit strengsten Zugangskontrollen <\/strong>verwalten sollten. F\u00fcr \u00f6ffentliche, regulierte Unternehmen wie Uber gibt es in der Regel strenge gesetzliche Vorschriften f\u00fcr externe Zugriffe \u2013 in den USA genauso wie in Europa. Die Einhaltung dieser Vorgaben muss \u00fcberwacht werden, wie etwa die Funktionstrennung (Segregation of Duties<\/a>), die gew\u00e4hrleisten soll, dass kein User so viele Rechte erh\u00e4lt, IT-Systeme eigenst\u00e4ndig missbr\u00e4uchlich nutzen zu k\u00f6nnen.<\/p>\n\n\n\n

„Ausgehend vom Prinzip der geringsten Befugnisse sollten Unternehmen Dritten nur das Minimum an Zugangsberechtigungen<\/strong> gew\u00e4hren, das f\u00fcr die Durchf\u00fchrung der vom Unternehmen ben\u00f6tigten Prozesse erforderlich ist“, so Pandey. „Von da an sollte jede Erweiterung der Berechtigungen \u00fcber Ausnahmen geregelt werden. Regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen der Aktivit\u00e4ten und der Antr\u00e4ge auf Zugriffserweiterung w\u00fcrden zeigen, ob ein Unternehmen die Berechtigungen im Laufe der Zeit ausweiten oder einschr\u00e4nken sollte.“<\/p>\n\n\n\n

M\u00f6chten Sie mehr \u00fcber die M\u00f6glichkeiten zum Schutz sensibler Daten von Pathlock erfahren? Dann besuchen Sie unsere Website<\/a> oder schreiben Sie uns<\/a>.<\/p>\n\n\n\n

\"Piyush Piyush Pandey, CEO (Pathlock Inc.)<\/strong><\/p>\n\n\n\n