Die juristische Aufarbeitung des Angriffs auf Uber sorgt auch ein Jahr nach der Verhandlung im Oktober 2022 in der CISO-Szene für reichlich Aufregung. Insbesondere die Frage nach der persönlichen Verantwortung und Haftung wird dabei immer noch kontrovers diskutiert. Was diesen Fall besonders macht, ist das Verhalten des damaligen Uber-CISOs Joe Sullivan, der versucht hatte, die Zahlungen an die Cyberkriminellen über das unternehmenseigene Bug-Bounty-Programm abzuwickeln.
Wir können zum ersten Mal überhaupt einen zeitlichen Ablauf der Reaktion auf einen Vorfall bei einem großen Unternehmen vor Gericht einsehen.
Was war passiert? Cyberkriminelle erlangten Zugriff auf personenbezogene Daten von Uber und verlangten hierfür ein Lösegeld. So weit, so normal. „Die Reaktion von Uber bestand jedoch im Wesentlichen darin, die Sache so zu drehen, dass sie die Sicherheitsverletzung nicht melden mussten und im Rahmen ihres Bug-Bounty-Programms ein Vielfaches dessen auszahlen konnten, was sie normalerweise für ein Bug-Bounty auszahlen würden“, erklärt Mario DiNatale, CISO des US-amerikanischen Rückversicherers OdysseyRe im Rahmen des Varonis Data-First-Forums. „Was im Zusammenhang mit dem Sicherheitsverstoß bei Uber wirklich hervorsticht, ist die Tatsache, dass wir zum ersten Mal überhaupt einen zeitlichen Ablauf der Reaktion auf einen Vorfall bei einem großen Unternehmen vor Gericht einsehen können, da er vollständig veröffentlicht wurde. Wir können genau nachlesen, wann der CISO von dem Vorfall erfuhr, wann der CEO und der Vorstand informiert wurden und wie sie darauf reagiert haben. Das liegt daran, dass die Rechtsabteilung nicht nur nicht informiert, sondern sogar umgangen wurde. Nur so konnte der Ablauf in den öffentlichen Aufzeichnungen festgehalten werden.“
Das wirft ein schlechtes Licht auf die Branche und ist sicherlich nicht die Art von Ruf, die wir als ethische CISOs fördern wollen.
Und dieser protokollierte Ablauf zeigt auch, wo die Aktionen Ubers problematisch wurden. „Man kann Fehler machen. Man kann Sicherheitslücken haben. Man kann über Bereiche in der Infrastruktur verfügen, die nicht von Sicherheitslösungen abgedeckt sind, die keine MFA verwenden. Es gibt eine ganze Reihe von Dingen, die man tun kann und mit denen man davonkommt. Das Einzige, was man nicht machen darf, ist, es in irgendeiner Weise so aussehen zu lassen, als würde man etwas vertuschen wollen“, sagt Charles Garzoni, Deputy CISO and Staff VP of Cyber Defense Operations von Centene. „Für mich ist es der Moment, in dem sie sich dazu entschieden haben, die Angreifer durch das Bug-Bounty-Programm laufen zu lassen, der Moment, wo sie die falsche Richtung eingeschlagen haben“, erklärt Matt Radolac, Vice President Incident Response and Cloud Operations von Varonis. DiNatale stimmt dem zu: „Sobald Uber die Entscheidung traf, die Cyberkriminellen durch das Bug-Bounty-Programm still und leise auszuzahlen, begannen sie auf kriminelle Weise zu handeln. Das wirft ein schlechtes Licht auf die Branche und ist sicherlich nicht die Art von Ruf, die wir als ethische CISOs fördern wollen.“
Durch die versuchte Vertuschung wird zudem eine echte Aufarbeitung des Angriffs verhindert, sodass sich hieraus kaum Erkenntnisse gewinnen lassen – zum Schaden für die gesamte Cybersecurity-Community: „Uber hat heruntergespielt, wo ihre Systeme versagt haben, und das hilft der Community nicht, aus diesem Vorfall zu lernen“, so Matt Radolac. „Denn was sind die Erkenntnisse aus dem Uber-Breach? Dass der ganze Vorfall fast nicht ans Tageslicht gekommen wäre oder eher, dass man Passwörter und den Zugang zum Passwortspeicher nicht im Klartext irgendwo speichern sollte? Gerade letzteres geht in meinen Augen in der Betrachtung des Falls ein wenig unter.“
CISOs sollten aber auf jeden Fall zur Verantwortung gezogen werden, wenn sie versuchen, etwas zu verbergen, sie nicht ehrlich sind und keine Informationen weitergeben.
„CISOs müssen sich entscheiden: Nehme ich einen ethischen und moralischen Standpunkt ein, wenn es um Integrität in Bezug auf die Meldung geht, oder nehme ich einen Standpunkt ein, der lediglich bei Geschäftsentscheidungen hilft“, sagt Radolac. „Man kann als CISOs Cyberrisiken in Kauf nehmen und einige Bereiche nicht schützen, weil es zu teuer ist oder nicht sinnvoll erscheint. Aber das ist eine bewusste und auf Tatsachen beruhende Entscheidung. Und das ist etwas anderes als einfach nicht zu wissen, wo die Risiken liegen.“ Wesentlich dabei ist auch die Qualifikation, Erfahrung und Position im Unternehmen eines CISOs: „Joe ist ein ehemaliger Anwalt und war nicht qualifiziert für das Amt eines CISOs. Im Grunde war er eine Art Marionette des CEO, anstatt das Unternehmen so zu schützen, wie es der Vorstand und die Aktionäre von ihm erwartet haben“, ergänzt DiNatale.
Dies wirft auch die Frage nach der Verantwortlichkeit und Haftung eines CISOs auf. „Wenn das IT-Team kein sicheres E-Mail-Gateway für die E-Mails eingerichtet haben, ist das die Schuld der CISOs?“, so Garzoni. „CISOs sollten aber auf jeden Fall zur Verantwortung gezogen werden, wenn sie versuchen, etwas zu verbergen, sie nicht ehrlich sind und keine Informationen weitergeben. Wir CISOs sind alle auf irgendeine Weise Opfer von Cyberangriffen. Und wenn man nicht daran denkt, wie man die eigenen Erfahrungen nutzen kann, um den Rest der Community zu schützen, liegt man falsch. Aber die Sicherheitsverantwortlichen bei Uber hatten diesen Gedanken nicht. Ihr Gedanke war, sich selbst um jeden Preis zu retten.“
Was sind also die Erkenntnisse? Welche Ratschläge lassen sich aus dem Vorfall ableiten? „Mein Rat: Lügen Sie nicht, versuchen Sie nicht, etwas zu vertuschen. Es wird herauskommen. Und holen Sie sich Hilfe von den Behörden“, so Garzoni.
