Was CISOs aus dem Uber-Breach lernen sollten

Die juristische Aufarbeitung des Angriffs auf Uber sorgt auch ein Jahr nach der Verhandlung im Oktober 2022 in der CISO-Szene für reichlich Aufregung. Insbesondere die Frage nach der persönlichen Verantwortung und Haftung wird dabei immer noch kontrovers diskutiert. [...]

Foto: WilfriedPhonke/Pixabay

Was diesen Fall besonders macht, ist das Verhalten des damaligen Uber-CISOs Joe Sullivan, der versucht hatte, die Zahlungen an die Cyberkriminellen über das unternehmenseigene Bug-Bounty-Programm abzuwickeln.

Was war passiert? Cyberkriminelle erlangten Zugriff auf personenbezogene Daten von Uber und verlangten hierfür ein Lösegeld. So weit, so normal.

„Die Reaktion von Uber bestand jedoch im Wesentlichen darin, die Sache so zu drehen, dass sie die Sicherheitsverletzung nicht melden mussten und im Rahmen ihres Bug-Bounty-Programms ein Vielfaches dessen auszahlen konnten, was sie normalerweise für ein Bug-Bounty auszahlen würden“, erklärt Mario DiNatale, CISO des US-amerikanischen Rückversicherers OdysseyRe im Rahmen des Varonis Data-First-Forums.

„Was im Zusammenhang mit dem Sicherheitsverstoß bei Uber wirklich hervorsticht, ist die Tatsache, dass wir zum ersten Mal überhaupt einen zeitlichen Ablauf der Reaktion auf einen Vorfall bei einem großen Unternehmen vor Gericht einsehen können, da er vollständig veröffentlicht wurde. Wir können genau nachlesen, wann der CISO von dem Vorfall erfuhr, wann der CEO und der Vorstand informiert wurden und wie sie darauf reagiert haben. Das liegt daran, dass die Rechtsabteilung nicht nur nicht informiert, sondern sogar umgangen wurde. Nur so konnte der Ablauf in den öffentlichen Aufzeichnungen festgehalten werden.“

Unethisches bis kriminelles Verhalten des Uber-CISO

Und dieser protokollierte Ablauf zeigt auch, wo die Aktionen Ubers problematisch wurden. „Man kann Fehler machen. Man kann Sicherheitslücken haben. Man kann über Bereiche in der Infrastruktur verfügen, die nicht von Sicherheitslösungen abgedeckt sind, die keine MFA verwenden. Es gibt eine ganze Reihe von Dingen, die man tun kann und mit denen man davonkommt. Das Einzige, was man nicht machen darf, ist, es in irgendeiner Weise so aussehen zu lassen, als würde man etwas vertuschen wollen“, sagt Charles Garzoni, Deputy CISO and Staff VP of Cyber Defense Operations von Centene.

„Für mich ist es der Moment, in dem sie sich dazu entschieden haben, die Angreifer durch das Bug-Bounty-Programm laufen zu lassen, der Moment, wo sie die falsche Richtung eingeschlagen haben“, erklärt Matt Radolac, Vice President Incident Response and Cloud Operations von Varonis.

DiNatale stimmt dem zu: „Sobald Uber die Entscheidung traf, die Cyberkriminellen durch das Bug-Bounty-Programm still und leise auszuzahlen, begannen sie auf kriminelle Weise zu handeln. Das wirft ein schlechtes Licht auf die Branche und ist sicherlich nicht die Art von Ruf, die wir als ethische CISOs fördern wollen.“

Durch die versuchte Vertuschung wird zudem eine echte Aufarbeitung des Angriffs verhindert, sodass sich hieraus kaum Erkenntnisse gewinnen lassen – zum Schaden für die gesamte Cybersecurity-Community: „Uber hat heruntergespielt, wo ihre Systeme versagt haben, und das hilft der Community nicht, aus diesem Vorfall zu lernen“, so Matt Radolac.

„Denn was sind die Erkenntnisse aus dem Uber-Breach? Dass der ganze Vorfall fast nicht ans Tageslicht gekommen wäre oder eher, dass man Passwörter und den Zugang zum Passwortspeicher nicht im Klartext irgendwo speichern sollte? Gerade letzteres geht in meinen Augen in der Betrachtung des Falls ein wenig unter.“

Die Rolle und Verantwortung des CISO

„CISOs müssen sich entscheiden: Nehme ich einen ethischen und moralischen Standpunkt ein, wenn es um Integrität in Bezug auf die Meldung geht, oder nehme ich einen Standpunkt ein, der lediglich bei Geschäftsentscheidungen hilft“, sagt Radolac.

„Man kann als CISOs Cyberrisiken in Kauf nehmen und einige Bereiche nicht schützen, weil es zu teuer ist oder nicht sinnvoll erscheint. Aber das ist eine bewusste und auf Tatsachen beruhende Entscheidung. Und das ist etwas anderes als einfach nicht zu wissen, wo die Risiken liegen.“

Wesentlich dabei ist auch die Qualifikation, Erfahrung und Position im Unternehmen eines CISOs: „Joe ist ein ehemaliger Anwalt und war nicht qualifiziert für das Amt eines CISOs. Im Grunde war er eine Art Marionette des CEO, anstatt das Unternehmen so zu schützen, wie es der Vorstand und die Aktionäre von ihm erwartet haben“, ergänzt DiNatale.

Dies wirft auch die Frage nach der Verantwortlichkeit und Haftung eines CISOs auf. „Wenn das IT-Team kein sicheres E-Mail-Gateway für die E-Mails eingerichtet haben, ist das die Schuld der CISOs?“, so Garzoni.

„CISOs sollten aber auf jeden Fall zur Verantwortung gezogen werden, wenn sie versuchen, etwas zu verbergen, sie nicht ehrlich sind und keine Informationen weitergeben. Wir CISOs sind alle auf irgendeine Weise Opfer von Cyberangriffen. Und wenn man nicht daran denkt, wie man die eigenen Erfahrungen nutzen kann, um den Rest der Community zu schützen, liegt man falsch. Aber die Sicherheitsverantwortlichen bei Uber hatten diesen Gedanken nicht. Ihr Gedanke war, sich selbst um jeden Preis zu retten.“

Was sind also die Erkenntnisse? Welche Ratschläge lassen sich aus dem Vorfall ableiten? „Mein Rat: Lügen Sie nicht, versuchen Sie nicht, etwas zu vertuschen. Es wird herauskommen. Und holen Sie sich Hilfe von den Behörden“, so Garzoni.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*