Uber wurde diesen Monat gehackt. Das Unternehmen sagte, dass der Angreifer – ein Teenager, der möglicherweise mit dem Vorfall in Verbindung gebracht wurde, gerade in London festgenommen wurde – höchstwahrscheinlich das Firmenpasswort eines Uber-Auftragnehmers erhalten hat. Mit Hilfe dieser Person verschaffte sich der Hacker Zugriff auf einige der internen Systeme von Uber: interne Slack-Nachrichten, ein Finanztool für Rechnungen und das Dashboard, auf dem die Sicherheitsforscher des Unternehmens Fehler und Schwachstellen melden. Es ist eine große Sache und eine Verlegenheit für das Unternehmen.
Uber hat gesagt, dass es glaubt, dass der Angreifer mit einer Hacking-Gruppe namens Lapsus $ verbunden ist, deren Mitglieder hauptsächlich Teenager sind und die kürzlich mehrere Technologieunternehmen ins Visier genommen hat. Uber sagte auch, es habe keine Beweise dafür gesehen, dass Benutzerdaten während des Vorfalls kompromittiert worden seien. In den Gerichtsverfahren, die unweigerlich daraus resultieren, werden wir mehr darüber erfahren, was passiert ist.
Aber alle Rechtsstreitigkeiten gegen das Unternehmen, sei es von Regierungsbehörden wie der Federal Trade Commission oder Sammelklagen von Aktionären oder vielleicht sogar Kunden, werden sich auf die unmittelbaren Ursachen des Hacks konzentrieren. Grundlegender sind die zugrunde liegenden Ursachen von Sicherheitsverletzungen: Aktuelle wirtschaftliche und politische Kräfte verleiten Unternehmen dazu, auf Kosten der persönlichen und nationalen Sicherheit an der Sicherheit zu sparen. Wenn wir jemals hoffen wollen, es besser zu machen, müssen wir die Marktanreize ändern.
Wenn Sie ein High-Tech-Start-up-Unternehmen sind, werden Sie wahrscheinlich in vielen Bereichen Abstriche machen. Es ist wirtschaftlich sinnvoll – Ihr Hauptaugenmerk liegt darauf, Kunden zu gewinnen und schnell genug zu wachsen, um im Geschäft zu bleiben, wenn Ihre Risikokapitalfinanzierung ausläuft. Alles, was nicht unbedingt erforderlich ist, um das Geschäft zum Laufen zu bringen, wird später aufgehoben, und dazu gehören Sicherheitskultur und -praktiken. Es ist ein Glücksspiel: Geld für Geschwindigkeit und Funktionen statt für Sicherheit auszugeben, ist ein wahrscheinlicherer Weg zum Erfolg, als sicher zu sein, aber unterfinanziert, unterfunktioniert oder – am schlimmsten – ein Jahr später auf den Markt zu kommen.
Die Sicherheit kann später verbessert werden, aber nur bei Bedarf. Wenn Sie die Start-up-Welt überlebt haben und ein durchschlagender Erfolg geworden sind, mussten Sie skalieren, um Ihren Kunden oder Benutzern gerecht zu werden. Sie waren gezwungen, Leistung und Zuverlässigkeit zu verbessern, weil Ihre neuen hochkarätigen Kunden mehr verlangen. Sie mussten dafür sorgen, dass Ihre internen Systeme für Ihre Hunderte und vielleicht Tausende von Mitarbeitern funktionieren. Sie sind jetzt ein etabliertes Unternehmen, und Sie sollten besser so aussehen und handeln.
Aber bei all dem hatten Sie nie einen Anreiz, Ihre Sicherheit zu verbessern. Die Quick-and-Dirty-Systeme, die Sie am Anfang erstellt haben, funktionieren immer noch, und Ihre Kunden oder Benutzer wissen nicht, was hinter den Kulissen vor sich geht. Von Ihren Mitarbeitern wird erwartet, dass sie es niemandem sagen, so wie Köche angewiesen werden, in der Küche zu bleiben. Und um ehrlich zu sein, es ist teuer und zeitaufwändig, alles von Grund auf mit Blick auf die Sicherheit neu aufzubauen.
Das sehe ich immer wieder in Unternehmen, nicht nur in Start-ups. Dasselbe wirft dem Unternehmen sogar der ehemalige Twitter-Sicherheitschef Peiter Zatko (besser bekannt als Mudge) vor. Große und kleine Unternehmen knausern bei der Sicherheit, wenn der Markt es nicht belohnt, besser zu werden. Das Ergebnis ist, dass es Hackern leichter fällt, in Netzwerke einzubrechen, und bevor sie einbrechen, gibt es nur wenige Kontrollen, die sie daran hindern, auf alles zuzugreifen.
Einige Unternehmen schaffen es, die Änderung vorzunehmen. Wir haben es bei Microsoft gesehen, als Bill Gates 2002 mit einem mittlerweile berühmten Memo die Richtung des Unternehmens änderte. Der Wechsel von Google zu einer robusteren Sicherheitskultur erfolgte 2010, nachdem es von Angreifern in China gehackt worden war.
Der Mangel an Anreizen hat offensichtlich tiefgreifende Auswirkungen auf die Sicherheit all unserer personenbezogenen Daten, die von einer scheinbar unerkennbaren Anzahl verschiedener Unternehmen gespeichert werden, die alle Dossiers über unsere Bewegungen und Gewohnheiten sammeln. Es hat auch Auswirkungen auf die nationale Sicherheit. Wir wissen, dass Länder so viele Daten wie möglich für ihre eigenen Zwecke stehlen. Insbesondere China nutzt offenbar seine Ressourcen, um Daten über Amerikaner im Allgemeinen zu sammeln. Es wird angenommen, dass staatlich geförderte chinesische Hacker hinter dem Diebstahl personenbezogener Daten von US-Regierungsangestellten, insbesondere solchen mit Sicherheitsfreigaben, aus dem US-Personalverwaltungsamt im Jahr 2015 stecken. Hacker bezweifeln, dass sie im Auftrag der zivilen Spionagebehörde des Landes arbeiten offenbar auch hinter Datendiebstahl von 500 Millionen Gästen der Hotelkette Marriott im Jahr 2018 und rund 80 Millionen ehemaligen und aktuellen Patienten und Mitarbeitern des Krankenversicherers Anthem im Jahr 2015.
In all diesen Fällen hätten die betroffenen Organisationen unsere Daten sehr wahrscheinlich besser schützen können, aber die Realität ist, dass der Markt gesunde Sicherheit nicht belohnt. Oft sind Kunden nicht einmal in der Lage, Unternehmen mit schlechten Sicherheitspraktiken im Stich zu lassen, da viele von ihnen „digitale Gräben“ bauen, um ihre Benutzer einzusperren. Kunden verlassen Unternehmen mit schlechten Sicherheitspraktiken nicht. Schläge auf die Aktienkurse erholen sich schnell. Es ist ein klassisches Marktversagen einiger weniger Mächtiger, die die vielen ausnutzen, und dieses Versagen kann nur durch Repräsentation durch Regulierung behoben werden.
Wir brauchen strenge Vorschriften, die Unternehmen dazu zwingen, gute Sicherheitspraktiken einzuhalten. Der Fokus muss auf belastbarer Sicherheit der dem Unternehmen anvertrauten Nutzerdaten liegen. Staatliche Vorschriften sollten (zum Beispiel) nicht involviert sein, wenn Uber den Quellcode seiner Telefon-Apps oder seines Mitarbeiter-Slack-Kanals verliert. Staatliche Regulierung sollte einbezogen werden, wenn Uber Daten über die Fahrten seiner über 100 Millionen Nutzer verliert. (Ein Risiko dieser Daten für Uber: Sie können verwendet werden, um One-Night-Stands zu finden, entweder zum Spaß oder zur Erpressung.)
Die Befürchtung, dass jede Regulierung Innovation irgendwie in Frage stellen wird, ist übertrieben. Gute Sicherheit ist nicht unvereinbar mit Funktionen, Agilität oder Time-to-Market. Trotzdem wird sich ein intelligentes Regulierungssystem für die Internetsicherheit von erfolgreichen Branchenvorschriften wie dem Bankenwesen abheben und die Anforderungen an die Größe der Organisation anpassen. So wie eine kleine lokale Bank nicht das gleiche Maß an Vorschriften befolgen muss wie eine große nationale Bank oder ein Jumbo-Jet eine umfangreichere Vorflug-Checkliste hat als ein einmotoriger Zweisitzer, gibt es keinen Grund, einen kleinen Anfang zu machen. up mit nur wenigen Kunden muss den gleichen Regeln folgen wie ein Twitter oder ein Uber. Und wenn ein Unternehmen größer und erfolgreicher wird, sollten seine Sicherheitsanforderungen steigen, da die Auswirkungen von Unsicherheit zunehmen.
Im Jahr 2020 überfielen russische Hacker das Internetinfrastrukturunternehmen SolarWinds. SolarWinds folgte dem Weg vom Start-up zum etablierten Unternehmen. Dieser spezielle Hack war eine nationale Sicherheitskatastrophe. Die Hacker konnten ihren Zugang nutzen, um in die Computernetzwerke von rund 18.000 SolarWinds-Kunden einzudringen, darunter US-Regierungsbehörden wie das Homeland Security Department und das State Department, Regierungsauftragnehmer, Nuklearforschungslabore, IT-Unternehmen und Nichtregierungsorganisationen auf der ganzen Welt. Auch hier belohnte der Markt schlechte Sicherheitspraktiken im Namen kurzfristiger Gewinne. Wenn die Regierung bessere angeordnet hätte, wären die Dinge vielleicht anders gekommen.
Die Anhörung des Justizausschusses des Senats letzte Woche zum Thema „Schutz der privaten Informationen der Amerikaner vor feindlichen ausländischen Mächten“ betonte weiter, dass der Schutz personenbezogener Daten jetzt eine Angelegenheit der nationalen Sicherheit ist. Und obwohl Regulierung kein Allheilmittel ist – nichts gibt es in der Welt der Sicherheit – wird sie dazu dienen, Unternehmensanreize mit unseren umfassenderen gesellschaftlichen Zielen in Einklang zu bringen. Es wird uns alle sicherer vor Hackern und Ausländern halten.
Bruce Schneier ist Sicherheitstechnologe und Autor von 14 Büchern, darunter das in Kürze erscheinende „A Hacker’s Mind: How the Powerful Bend Society’s Rules, and How to Bend them Back“. Er ist Fellow am Belfer Center der Harvard Kennedy School und am Berkman Klein Center for Internet and Society in Harvard.
Die Times ist der Veröffentlichung verpflichtet eine Vielzahl von Buchstaben Zum Herausgeber. Wir würden gerne wissen, was Sie über diesen oder einen unserer Artikel denken. Hier sind einige Tipps . Und hier ist unsere E-Mail: letters@nytimes.com .
Folgen Sie dem Meinungsbereich der New York Times auf Facebook , Twitter (@NYTopinion) und Instagram .
Die New York Times
