Der Fahrten-Vermittlungsdienst Uber soll gegenüber Öffentlichkeit und Behörden den Diebstahl von 57 Millionen Datensätzen von Kunden und Fahrern verheimlicht haben. Das Unternehmen zahlte demnach rund 100.000 US-Dollar Lösegeld, um die gestohlenen Daten löschen zu lassen.
„Der Fall Uber zeigt, wie IT-Sicherheit die Reputation von Unternehmen beschädigen kann - und wie wichtig der richtige Umgang mit einem IT-Sicherheitsnotfall ist. Viele Unternehmen tabuisieren das Thema Cyberangriffe in der internen sowie externen Kommunikation. Wir empfehlen eine aktive Auseinandersetzung mit den Risiken sowie ihrer Vermeidung", erklärt Dr. Michael Littger von Deutschland sicher im Netz. Im Falle einer Lösegelderpressung sei der Umgang mit Lösegeld sorgfältig abzuwägen. „Durch Zahlung werde man als erpressbares Ziel eingestuft“, so Littger.
Der verantwortungsvolle Umgang mit Cyberrisiken beginne schon bei der richtigen Auswahl von IT-Dienstleistern. Empfehlungen bei der Auswahl bietet die Broschüre „IT-Dienstleistungen – aber sicher!“ von DsiN und DIHK. Idealerweise sollten auch Vorkehrungen für den Falle eines erheblichen Sicherheitsvorfällen in der Schublade liegen. Hier liefere der IT-Grundschutz des BSI wertvolle Tipps. Unterschätzt werde oftmals auch die Spurensicherungen (IT-Forensik). Damit lasse sich rückverfolgen, woher der Angriff kam und welche Sicherheitslücke ausgenutzt wurde. Betroffene können sich dafür an Experten oder CERTs wenden.
Grundsätzlich sollte jeder entdeckte Diebstahl den Ermittlungsbehörden gemeldet werden. Für Betreiber Kritischer Infrastrukturen (KRITIS) gelte mittlerweile eine Meldepflicht für erhebliche Störungen.