Deutschland
 

Nach dem Uber-Urteil

Wie CISOs Haftungsrisiken entgehen

Nachdem bei Uber Datendiebstähle verschleiert wurden, hat ein Gericht entschieden, dass der CSO haften muss. Das sorgt in CISO-Kreisen für Unruhe.
Von 
CSO | 14. Oktober 2022 09:41 Uhr
Die Verurteilung des ehemaligen CSO von Uber macht manche CISOs nervös - nicht nur in den USA.
Die Verurteilung des ehemaligen CSO von Uber macht manche CISOs nervös - nicht nur in den USA.
Foto: Joni Hanebutt - shutterstock.com

Nachdem Joe Sullivan, der ehemalige Chief Security Officer von Uber von einem US-Gericht schuldig befunden wurde, einen massiven Datendiebstahl verschleiert zu haben, wächst die Unruhe unter CISOs mit weltweiter Verantwortung. Die Reaktionen dabei sind unterschiedlich:

  • Da sind zum einen die besorgten CISOs, die oft vorher schon gestresst waren und nun, nach dem Gerichtsurteil, zweifeln, ob dieser Job angesichts des persönlichen Haftungsrisikos überhaupt noch der richtige für sie ist. Wenn CSO nun für "Chief Sündenbock Officer" steht, dann scheint ihnen das Risiko zu groß. Seinen Job zu verlieren, wäre schon dramatisch genug, aber auch noch persönlich zu haften, das will niemand.

  • Auf der anderen Seite gibt es viele gelassene CISOs, die nicht verstehen, was denn nun das Problem sein soll. Aus ihrer Sicht handelt es sich um eine Einzelfallentscheidung, in der es um Uber geht - ein Unternehmen, das wahrlich nicht zum ersten Mal wegen dubioser Vorgänge in den Schlagzeilen steht.

Joe Sullivan ist der erste prominentere CISO, der für Sicherheitsverfehlungen haften muss. Es ist also verständlich, dass der eine oder andere Cybersicherheits-Chef, insbesondere in den USA, die Geschehnisse persönlich nimmt - auch wenn sich wohl die wenigsten CISOs die Schuhe von Sullivan anziehen würden. Im Fall von Uber waren dem Gericht jede Menge Beweise vorgelegt worden, wobei immer strittig war, wer welche Details des Datendiebstahls kannte. War es nur Joe Sullivan? Was wussten die übrigen Führungskräfte und die Anwälte des Unternehmens?

CISO-Haftung: So vermeiden Sie Risiken

Die Startup-Kultur von Uber wurde stark von ihrem Gründer Travis Kalanick geprägt - Stichwort: Techbro. Wenn man in einem solch gehypten Unternehmen ankommt, kann es verlockend sein, den Helden spielen und als Macher herüberkommen zu wollen. Damit steigen die Risiken, Verfehlungen einzugehen. Zum einen locken bequeme Abkürzungen, denn Stress gibt es schon genug. Zum anderen dürfte das bisherige Sicherheitsprogramm im Unternehmen noch nicht ausgereift sein und Schwachstellen aufweisen. Im Fall von Sullivan war es riskant zu einem Unternehmen zu wechseln, das von Datenschutz auch dann noch nicht viel wissen wollte, als schon die Aufmerksamkeit der Regulierungsbehörden geweckt war.

Uber hatte den Angreifern ein Schweigegeld von 100.000 Dollar bezahlt und den Vorfall nicht den zuständigen Behörden gemeldet. Offenbar hat das Unternehmen den Unterschied zwischen einem Security Researcher und einem Angreifer nicht verstanden. Ersterer kann Ihre Systeme kompromittieren und sich Zugang zum Data Repository verschaffen, aber er wird aufhören, bevor es zur Datenexfiltration kommt. Er macht dann vielleicht noch einen Screenshot oder nimmt eine Probe und vollzieht anschließend die Abläufe nach. Dann wird er das betreffende Unternehmen unter seinem echten Namen kontaktieren und darauf hoffen, eine Bug-Bounty-Prämie zu erhalten.

Mit Angreifern ist indes nicht zu spaßen: Sie stehlen Ihre Daten, bewahren diese als Druckmittel auf und verlangen Lösegeld. Weigert sich das Unternehmen zu zahlen, werden die Daten im Darknet verkauft oder im Internet veröffentlicht. Der Schaden ist dann bereits angerichtet - auch in Sachen Reputation.

Messen Sie nicht mit zweierlei Maß

Unabhängig davon, ob Sie eine Datenschutzverletzung erlitten oder Dritte bei Ihnen "nur" eine Schwachstelle entdeckt haben: Sie sind verpflichtet, diese zu melden. Diese Pflicht ergibt sich aus gesetzlichen oder regulatorischen Bestimmungen - möglicherweise gilt auch eine zeitliche Frist für die Offenlegung. In anderen Fällen besteht die Pflicht in der Schadensminimierung: Unternehmen müssen bekannte Sicherheitslücken beheben und das publik machen.

Auch Datenschutzverletzungen dürfen nicht unter den Teppich gekehrt werden. Wenn die Behörden gegen Ihr Unternehmen ermitteln, sollten Sie nichts vor den Ermittlern verbergen. Nicht zu kooperieren - vor allem in Bereichen, die aktiv untersucht werden - kann Sie in ernsthafte Schwierigkeiten bringen.

Wenn Ihr Unternehmen gegen diese Regeln verstößt, sollten Sie sicherstellen, dass Sie nicht zum Sündenbock werden. Wenn andere Führungskräfte Sie drängen, gegen Regeln zu verstoßen: Dokumentieren Sie es! Konsultieren Sie Ihren persönlichen Anwalt, nicht den Ihres Unternehmens (der verfolgt mit Sicherheit andere Interessen). Wenn Sie das Unternehmen verlassen sollten, sind Sie gut beraten, entsprechende Beweise zu sichern.

Sicherheitsexperten, die eine Karriere als CISO anpeilen oder bereits auf dieser Position angekommen sind, s sollten sich durch das Urteil gegen den Uber-CSO nicht von ihrem Weg abbringen lassen. Beim Fahrdienst sind schwere Fehler gemacht worden, die gut aufgestellte Unternehmen normalerweise vermeiden können. (hv/fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Andy Ellis ist Advisory CISO bei Orca Security.
Folgen: