Persönliche Haftung ist für CISOs Realität

Die Historie des US-Fahrdienstleisters Uber ist von Kontroversen und Sicherheitsvorfällen geprägt. Neben dem im Jahr 2022 bekannt gewordenen Hack sorgte bereits im Jahr 2018 ein massiver Datendiebstahl für Schlagzeilen. Dieser hatte sich im Jahr 2016 abgespielt und betraf die persönlichen Daten von mehr als 57 Millionen Uber-Mitarbeitern und -Kunden.

Der Datendiebstahl kam allerdings erst ein Jahr später an die Öffentlichkeit, weil Uber den Angreifern ein Schweigegeld von 100.000 Dollar bezahlt und den Vorfall nicht den zuständigen Behörden gemeldet hatte. Nachdem die Umstände bekannt wurden, veröffentlichte Uber-CEO Dara Khosrowshahi ein Statement - das Unternehmen verständigte sich mit der kalifornischen Staatsanwaltschaft auf eine Strafzahlung in Höhe von 148 Millionen Dollar.

Nun stellte ein US-Geschworenengericht fest, dass sich mit Joe Sullivan, dem Ex-CSO von Uber, auch ein hochrangiges, ehemaliges Mitglied des Uber-Managements in diesem (und einem anderen) Fall schuldig gemacht hat - und zwar sowohl der Behinderung der Justiz als auch der bewussten Verschleierung eines Verbrechens.

Breaking News: Joe Sullivan, the former Uber security chief, was found guilty of hiding a hack from the FTC. The case may change how security professionals handle data breaches. https://t.co/b7OH0Hw15d

— The New York Times (@nytimes) October 5, 2022

Der tiefe Fall eines CSO

Den Gerichtsdokumenten zufolge hatte Sullivan seine Stelle als Chief Security Officer im Jahr 2015 angetreten - ein Jahr nachdem Uber von einem massiven Data Breach betroffen war. Eine seiner ersten Amtshandlungen war es demnach, gegenüber der Federal Trade Commission (FTC) Rechenschaft über die Datenschutzpraktiken und -maßnahmen bei Uber abzulegen. Ende 2016 sagte der Manager darüber sogar unter Eid aus und legte gegenüber der Behörde dar, wie Uber - angeblich - die Daten seiner Kunden schützt. Kurze Zeit später kam es allerdings zum eingangs genannten Hackerangriff, bei dem 57 Millionen Datensätze gestohlen wurden. Die Angreifer wandten sich per E-Mail (unter anderem) direkt an den CSO und forderten ein hohes Lösegeld.

Die Beweise, die dem Gericht vorlagen, belegen demnach, dass Sullivan, kurz nachdem ihm das Ausmaß der Sicherheitsverletzung im Jahr 2016 bekannt wurde, ein Komplott schmiedete um zu verhindern, dass die FTC oder andere Behörden Kenntnis von der Sicherheitsverletzung erlangen. Er teilte einem Untergebenen mit, dass 'die Angelegenheit nicht nach außen dringen darf' und wies ihn an, die Informationen dazu 'streng zu kontrollieren'. Außerhalb des Security Teams sollte das Narrativ lauten, dass 'keine Untersuchung existiert'. Anschließend arrangierte Sullivan die Bezahlung der Hacker, die im Gegenzug Geheimhaltungsvereinbarungen unterschrieben. Darin versicherten sie nicht nur, über ihre Angriffsvektoren Stillschweigen zu bewahren, sondern auch fälschlicherweise, keinerlei Daten gestohlen zu haben.

Uber bezahlte den kriminellen Hackern laut den Dokumenten im Dezember 2016 100.000 Dollar in Bitcoin, obwohl die Angreifer sich zunächst geweigert hatten, ihre echten Namen anzugeben. Nachdem die Personalien Uber bekannt wurden, legte Sullivan nach und ließ die Täter neue Non-Disclosure-Agreements unterzeichnen - obwohl er gewusst habe, dass diese neben Uber auch andere Unternehmen erpressten. Darüber hinaus habe der CSO auch die Anwälte von Uber über die wahren Umstände getäuscht und mit diesen an der Aufarbeitung des Vorfalls "gearbeitet" sowie den im Jahr 2017 neu angeheuerten CEO Dara Khosrowshahi über die tatsächlichen Vorgänge belogen.

Die beiden Cyberkriminellen, die für den Datendiebstahl bei Uber im Jahr 2016 verantwortlich waren, haben sich bereits im Oktober 2019 des Computerbetrugs schuldig bekannt und warten derzeit auf die Verkündung ihres Strafmaßes. Gleiches gilt auch für Ex-CSO-Joe Sullivan, der bis zu diesem Zeitpunkt gegen Kaution auf freiem Fuß bleibt. Dem ehemaligen Uber-Manager drohen bis zu acht Jahre Gefängnis.

"Die Botschaft des heutigen Schuldspruchs ist klar: Unternehmen, die die Daten ihrer Kunden speichern, stehen in der Verantwortung, diese zu schützen und die richtigen Entscheidungen zu treffen, wenn es zu Verstößen kommt", kommentiert der für die Ermittlungen in diesem Fall zuständige FBI Special Agent Robert K.Tripp das Juryurteil und fügt hinzu: "Wir werden nicht zulassen, dass skrupellose Führungskräfte von Technologieunternehmen die persönlichen Daten von US-Verbrauchern zu ihrem eigenen Vorteil aufs Spiel setzen."

Sullivans Anwalt, David Angeli, äußerte sich nach dem Schuldspruch gegenüber der New York Times: "Obwohl wir mit dem Urteil der Geschworenen natürlich nicht einverstanden sind, schätzen wir ihr Engagement und ihre Bemühungen in diesem Fall. Herr Sullivans einziger Fokus - bei diesem Vorfall und während seiner gesamten herausragenden Karriere - war es, die Sicherheit der persönlichen Daten der Menschen im Internet zu gewährleisten."

CISOs, die persönlich haften?

Allerdings ging es bei Sullivans Prozess nicht nur um seine persönliche Verantwortung, sondern auch darum, einen Wandel in der Haftung herbeizuführen. Folglich beschäftigen sich viele Führungskräfte, die für die Sicherheit eines Unternehmens und seiner Daten verantwortlich sind, mit der Frage, unter welchen Umständen sie für die Folgen einer Sicherheitsverletzung persönlich haften. In Zukunft werden CSOs und CISOs möglicherweise im Streit mit ihren leitenden Angestellten und C-Level-Kollegen stehen, wenn es um strategische Entscheidungen geht, die das Unternehmen einem Risiko aussetzen - selbst wenn es sich um ein relativ geringes Risiko handelt.

Wird der Schuldspruch dazu führen, dass die Opfer von Datenschutzverletzungen nicht nur die Unternehmen verklagen, dem sie ihre Daten anvertraut haben, sondern auch die verantwortlichen Führungskräfte? Ob es sich um eine willkommene Wendung oder ein Schock für das System handelt, dürfte sich in den kommenden Monaten herausstellen, wenn die Rechtsteams in den Unternehmen, die über personenbezogene Daten verfügen, ihre Positionen im Lichte dieses Schuldspruchs bewerten.

Dabei muss in den Führungsetagen der Unternehmen auch die Frage erörtert werden, wie weit die Haftpflichtversicherung nach unten reichen sollte und welche Richtlinien die Personal- und Rechtsabteilung ihren Führungskräften in Bezug auf die persönliche Haftung und die Notwendigkeit einer persönlichen Haftpflichtversicherung gibt.

David Shackleford, Chef von Voodoo Security erklärte gegenüber der Washington Post: "Die persönliche Haftung für Unternehmensentscheidungen, an denen Führungskräfte beteiligt sind, ist ein neues Gebiet, das für Führungskräfte im Bereich der Sicherheit noch nicht erforscht ist. Ich befürchte, dass das zu einer größeren Skepsis gegenüber der Informationssicherheit insgesamt führen wird."

Die wohl wichtigste Schlussfolgerung aus dem Uber-Schuldspruch ist die Notwendigkeit, Entscheidungen zu dokumentieren - selbst die kleinsten. Zudem sollten Sie darauf vorbereitet zu sein, diese Entscheidungen zu verteidigen, nicht nur intern, sondern auch gegenüber Aufsichtsbehörden. Fakt ist: Persönliche Haftung ist für CISOs in den USA nun Realität. (fm)

Dieser Artikel basiert in Teilen auf Material unserer Schwesterpublikation CSO Online.